На вкладке Detections веб-интерфейса Kaspersky CyberTrace отображается информация о входящих событиях, которые привели к возникновению обнаруженных киберугроз в Kaspersky CyberTrace, в том числе источники событий и события обнаруженных киберугроз. Эту вкладку можно использовать для поиска событий и фильтрации событий по критериям. Вкладка Detections содержит следующие элементы:
Поиск по обнаруженным киберугрозам
С помощью строки поиска можно выполнять полнотекстовый поиск по обнаруженным киберугрозам. Текстовая строка в поисковом запросе токенизируется таким образом, чтобы результаты поиска содержали как точные, так и нечеткие совпадения. Подстановочные знаки не поддерживаются.
Результаты поиска отображаются в таблице ниже.
Если включен переключатель Search also in detection events, Kaspersky CyberTrace будет искать текстовую строку во входящих событиях и событиях обнаруженных киберугроз. В противном случае поиск выполняется только по входящим событиям. По умолчанию переключатель Search also in detection events включен.
Таблица с информацией об обнаруженных киберугрозах содержит следующие столбцы:
В этом столбце содержится системная дата и время обнаружения киберугрозы (в формате гггг-мм-дд ЧЧ: ММ: СС).
В этом столбце содержится имя тенанта. Отображается только в режиме мультитенатности при наличии нескольких тенантов.
В этом столбце содержится имя источника события.
Этот столбец может содержать имя источника, которого уже нет в Kaspersky CyberTrace. Такая ситуация может возникнуть для обнаружения ретроспективного сканирования в том случае, если источник был удален или переименован после сохранения входящего события.
В этом столбце содержится категория обнаруженного объекта.
Записанное имя категории не меняется, даже если изменится имя источника данных об угрозах.
В этом столбце содержится список тегов, присвоенных индикатору, на который сработало обнаружение киберугрозы.
В этом столбце содержится суммарный весовой коэффициент тегов в столбце Теги.
В этом столбце отображаются флажки или прочерки, указывающие на наличие или отсутствие обнаружений в результатах ретроспективного сканирования.
В этом столбце содержится индикатор из базы данных, сопоставленный с входящим событием.
В каждой строке таблицы содержится информация об отдельной обнаруженной киберугрозе. Нажатие на обнаружение киберугрозы позволяет просмотреть следующую подробную информацию:
В этом разделе содержатся подстроки, извлеченные из входящего события с помощью регулярных выражений, а также исходное событие целиком.
В этом разделе содержатся контекстные поля сопоставленного индикатора в формате %FieldName%=%Value% и событие обнаруженной киберугрозы целиком.
где:
%FieldName% — это имя регулярного выражения, которое использовалось для парсинга входящего события, или имя поля записи потока данных об угрозах, которое было успешно сопоставлено с обнаруженным индикатором.%Value% — это значение регулярного выражения, которое использовалось для парсинга входящего события, или значение записи потока данных об угрозах, успешно сопоставленное с обнаруженным индикатором.Обнаруженные киберугрозы в таблице сортируются по дате и времени в порядке убывания.
Если переключатель Auto-update table включен, Kaspersky CyberTrace добавляет в таблицу новую информацию об обнаруженных киберугрозах каждые 10 секунд.
Фильтрация обнаруженных киберугроз
Обнаруженные киберугрозы в таблице можно фильтровать по следующим критериям:
Можно указать период времени или конкретную дату.
Если добавлено несколько тенантов, можно указать одно или несколько имен тенантов.
Если добавлено несколько источников событий, можно указать один или несколько источников событий.
Если добавлено несколько категорий, можно указать одну или несколько категорий обнаруженного объекта.
Можно выбрать для отображения в таблице все обнаружения, обнаружения ретроспективного сканирования или обнаружения без ретроспективного сканирования.
Чтобы отфильтровать обнаруженные киберугрозы в таблице по определенным критериям, выполните следующие действия:
Содержимое таблицы обновится и в нее будут включены только обнаруженные киберугрозы, соответствующие заданным условиям.
Можно указать несколько критериев фильтрации.
По умолчанию условия фильтрации не применяются.
Ниже приведен список доступных категорий обнаружения. Эти категории применимы к каналам Kaspersky и OSINT, поддерживаемым Kaspersky CyberTrace.
Категория обнаружения киберугрозы |
Описание |
KL_APT_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_IP |
Kaspersky CyberTrace обнаруживает IP-адрес, используемый в APT-кампании. |
KL_APT_URL |
Kaspersky CyberTrace обнаруживает URL, используемый в APT-кампании. |
KL_BotnetCnC_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_URL |
Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) ботнета. |
KL_ICS_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_ICS_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_ICS_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_InternalTI_URL |
URL списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_IP |
IP-адрес списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_MD5 |
Хеш списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_SHA1 |
Хеш списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_SHA256 |
Хеш списка InternalTI Kaspersky CyberTrace. |
KL_IoT_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_URL |
Kaspersky CyberTrace обнаруживает URL, заражающий устройства с поддержкой интернета вещей (IoT). |
KL_IP_Reputation |
Kaspersky CyberTrace обнаруживает вредоносный IP-адрес. |
KL_IP_Reputation_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_IP_Reputation_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_IP_Reputation_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_Malicious_URL |
Kaspersky CyberTrace обнаруживает вредоносный URL. |
KL_Malicious_URL_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_URL_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_URL_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_Hash_MD5 |
Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Malicious_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Malicious_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Mobile_Malicious_Hash_MD5 |
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_Malicious_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_Malicious_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_BotnetCnC_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_URL |
Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) мобильного ботнета. |
KL_Phishing_URL |
Kaspersky CyberTrace обнаруживает фишинговый URL. |
KL_Ransomware_URL |
Kaspersky CyberTrace обнаруживает URL, на котором размещена программа-вымогатель. |
KL_Ransomware_URL_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
KL_Ransomware_URL_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
KL_Ransomware_URL_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
AbuseCh_Feodo_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Feodo_Block_IP. |
AbuseCh_Ransomware_Block_URL |
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Block_URL. |
AbuseCh_Ransomware_Block_Domain |
Kaspersky CyberTrace обнаруживает домен из потока данных об угрозах Abuse.Ch_Ransomware_Block_Domain. |
AbuseCh_Ransomware_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Ransomware_Block_IP. |
AbuseCh_Ransomware_Common_URL |
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Common_URL. |
AbuseCh_SSL_Certificate_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах AbuseCh_SSL_Certificate_Block_IP. |
AbuseCh_SSL_Certificate_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш из потока данных об угрозах AbuseCh_SSL_Certificate_Hash_SHA1. |
BlocklistDe_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах BlocklistDe_Block_IP. |
CyberCrime_Tracker_Block_Url |
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах CyberCrime_Tracker_Block_Url. |
EmergingThreats_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Block_IP. |
EmergingThreats_Compromised_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Compromised_IP. |