Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.
В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Indicators. Этот раздел позволяет выполнять следующие действия:
Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута supplier_name.
При применении этого фильтра и выборе нескольких источников данных об угрозах Kaspersky CyberTrace показывает только те индикаторы, каждый из которых был предоставлен всеми выбранными источниками данных об угрозах.
Чтобы использовать этот фильтр, нажмите на заголовок столбца Type и в открывшейся форме фильтра выберите типы индикаторов, которые должны отображаться в списке.
Источники данных об угрозах FalsePositive и InternalTI
Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:
Индикаторы поставщиков InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.