Просмотр результатов ретроспективного сканирования
В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Retroscan. Параметры ретроспективного сканирования можно настроить в разделе Retrospective scan settings.
Ретроспективное сканирование позволяет повторно проверять входящие события с объектами (IP-адрес, домен, URL или хеш), которые ранее не были признаны вредоносными. Причиной проверки результатов могло быть отсутствие в Kaspersky CyberTrace информации о связанных угрозах на момент получения этих объектов. Однако, поскольку потоки данных об угрозах постоянно обновляются, может быть полезно сохранять события, не содержащие обнаруженных индикаторов, а затем использовать обновленный список индикаторов, чтобы повторно проверять эти события вручную или по расписанию.
Обнаружения ретроспективного сканирования включаются в статистику и отображаются на вкладке Detections, а также на графике, как и все обычные обнаружения. Результаты ретроспективного сканирования отправляются в SIEM-систему. Так же, как и в случае обычных обнаружений, применяются фильтры для отправки обнаружений ретроспективного сканирования в SIEM.
Когда выполняется ретроспективное сканирование, все неконтекстные значения, полученные из событий путем применения регулярных выражений, указанных в настройках ретроспективного сканирования на вкладке Fields saved for retroscan, сопоставляются с новыми индикаторами потоков данных об угрозах, включенных на вкладке Feeds used in retroscan.
Для редактирования или добавления новых регулярных выражений перейдите на вкладку Settings > Matching. Сохраненные регулярные выражения будут доступны в параметрах ретроспективного сканирования на вкладке Fields saved for retroscan.
В случае обнаружения киберугрозы события, отображенные в Kaspersky CyberTrace после добавления индикатора в поток данных, будут отображаться в разделе Detections и не будут подвергаться ретроспективному сканированию.
Если индикатор был добавлен в поток данных об угрозах после получения его хеша, IP- или URL-адреса во время ретроспективного сканирования с помощью регулярного выражения и при отсутствии обнаружений, связанных с этим индикатором, то при следующем ретроспективном сканировании информация об этом индикаторе будет отображаться в разделе Detected indicators, а в поле Date будут отображаться дата и время обнаружения индикатора во время ретроспективного сканирования.
Для каждого события, связанного с этим индикатором, будет создана отдельная запись в отчете о ретроспективном сканировании.
Вкладка Retroscan позволяет запустить ретроспективное сканирование вручную и просмотреть результаты, после завершения процесса сканирования.
На этой вкладке можно выполнять следующие действия:
- Запуск ретроспективного сканирования вручную
- Настройка отображения результатов проверки
- Просмотр подробной информации об отдельном результате ретроспективного сканирования, содержащем обнаруженные индикаторы
На этой вкладке также отображается следующее:
- Дата и время следующей задачи ретроспективного сканирования
- Количество событий, сохраненных для ретроспективного сканирования
- Размер событий, сохраненных для ретроспективного сканирования
Размер событий отображается с задержкой до одного часа. Фактический текущий размер сохраненных событий может быть больше отображаемого значения.
- Таблица с результатами ретроспективного сканирования за указанный период
Таблица содержит следующие столбцы данных:
- Статус задачи ретроспективного сканирования
- Detected
Результат содержит обнаруженные индикаторы.
- Not detected
Результат не содержит обнаруженных индикаторов.
- Canceled
Процесс ретроспективного сканирования был отменен.
- Failed
Сбой процесса ретроспективного сканирования.
- Detected
- Дата и время завершения каждой задачи ретроспективного сканирования
- Количество проверенных индикаторов
- Количество обнаруженных индикаторов
Результаты ретроспективного сканирования
- Статус задачи ретроспективного сканирования
Запуск ретроспективного сканирования
Чтобы запустить ретроспективное сканирование, выполните следующие действия:
Нажмите на кнопку Start retroscan.
При необходимости процесс сканирования можно отменить.
Запуск ретроспективного сканирования может быть недоступен по нескольким причинам:
- Kaspersky CyberTrace в данный момент выполняет другую задачу ретроспективного сканирования.
- Ретроспективное сканирование отключено.
Настройка отображения результатов ретроспективного сканирования, содержащих события обнаруженных киберугроз
Чтобы отобразить только результаты, содержащие события обнаруженных киберугроз, выполните следующие действия:
Установите флажок Show only retroscan results with detection над таблицей Retroscan results.
Указание периода отображения результатов
Чтобы указать период времени для отображения результатов, можно выбрать один из вариантов Retroscan results period над таблицей Retroscan results. Можно выбрать один из следующих периодов:
- Day
- Week
- Month
- 3 months
- All time
- Custom range
Указание периода времени для результатов ретроспективного сканирования
Просмотр результатов отдельной задачи ретроспективного сканирования
Чтобы просмотреть подробную информацию об отдельной задаче ретроспективного сканирования:
- В таблице Retroscan results найдите результат (содержащий обнаруженные индикаторы), подробности о котором требуется просмотреть.
- Нажмите на ссылку в столбце Detected indicators.
На открывшейся странице приводится подробная информация о первых 50 событиях обнаруженных киберугроз. Чтобы просмотреть все события, скачайте полный отчет в формате CSV (см. ниже).
На странице отображается следующая информация:
- Дата и время ретроспективного сканирования
Дата и время, отображаемые на странице результатов сканирования, могут отличаться от даты и времени, указанных в отчете в формате CSV. Это связано с настройками времени в формате UTC: в отчете в формате CSV всегда используется часовой пояс UTC+0, а время на странице результатов сканирования зависит от пользовательских настроек.
- Количество обработанных событий
- Количество обнаруженных индикаторов
- Количество обработанных индикаторов
- Количество событий обнаруженных киберугроз по категориям
- Информация о каждом событии обнаружения киберугроз в разделе Detected indicators
Чтобы просмотреть подробную информацию о каждом индикаторе, следует нажать на соответствующий индикатор. Эта информация содержится в следующих полях:
- Category – категория обнаруженного объекта.
- Timestamp – дата и время обнаружения индикатора.
- tenant – имя тенанта, связанное с исходным событием.
- source – источник события, отправивший исходное событие.
- ioc – поле, по которому обнаружен индикатор.
- IP – поле, полученное с помощью регулярного выражения.
Загрузка отчета с результатами ретроспективного сканирования
Чтобы скачать отчет, выполните следующие действия:
Нажмите на ссылку Download report рядом с разделом Detected indicators.
Сгенерированный файл CSV содержит следующие данные:
- Дата и время получения события обнаруженной киберугрозы
Дата и время, отображаемые на странице результатов сканирования, могут отличаться от даты и времени, указанных в отчете в формате CSV. Это связано с настройками времени в формате UTC: в отчете в формате CSV всегда используется часовой пояс UTC+0, а время на странице результатов сканирования зависит от пользовательских настроек.
- Имя тенанта, связанное с исходным событием
- Имя источника события
- Категория обнаруженного объекта
- Обнаруженный индикатор, вызвавший событие
- Контекстная информация о событии обнаруженной киберугрозы
- Событие обнаруженной киберугрозы