Синтаксис поиска

Kaspersky CyberTrace позволяет выполнять поиск в базе индикаторов по следующим именам атрибутов:

Имя атрибута	Описание
`ioc_type`	Тип индикатора.
`ioc_value`	Значение индикатора.
`ioc_created_date`	Дата и время, когда запрошенный индикатор был добавлен в базу данных.
`ioc_updated_date`	Дата и время последнего обновления индикатора.
`ioc_comment`	Комментарий к индикатору.
`ioc_summary`	Сводная информация об индикаторе от источника данных об угрозах InternalTI.
`ioc_first_detected_date`	Дата и время, когда событие обнаруженной киберугрозы в было впервые получено.
`ioc_last_detected_date`	Дата и время последнего получения события обнаруженной киберугрозы.
`username`	Имя пользователя, добавившего индикатор в источник данных об угрозах InternalTI/FalsePositive.
`ioc_supplier_can_match`	Флаг, показывающий, что индикатор может использоваться в процессе сопоставления. Этот флаг применяется к индикаторам, которые должны были быть удалены во время обновления источника данных об угрозах или по истечении срока хранения, но не были удалены, поскольку они принадлежат источнику данных об угрозах InternalTI, или поскольку такие индикаторы были задействованы в процессе обнаружения киберугроз. Этот параметр может принимать значения `true` или `false`.
`ioc_supplier_last_updated_date`	Дата и время последнего обновления информации об индикаторе от источника данных об угрозах.
`ioc_supplier_send_match_event`	Флаг отправки событий обнаружений киберугроз в SIEM-систему.
`supplier_name`	Имя источника данных об угрозах, из которого был получен индикатор. В Kaspersky CyberTrace поддерживаются следующие типы источников данных об угрозах: Загруженный файл потока данных об угрозах Для этого типа источника данных об угрозах в качестве значения атрибута `supplier_name` выступает имя файла потока данных об угрозах, указанного в kl_feed_util.conf. Запрос REST API Для этого типа источника данных об угрозах значение атрибута `supplier_name` — это имя источника данных об угрозах, добавленного через REST API. Пользовательский веб-интерфейс (источники данных об угрозах InternalTI и FalsePositive) Для этого типа источника данных об угрозах значение атрибута `supplier_name` зависит от списка, в добавляется индикатор (InternalTI или FalsePositive). Если вы новый индикатор добавляется на вкладке Indicators в веб-интерфейсе Kaspersky CyberTrace, используется значение InternalTI. Если вы индикатор добавляется в список ложных срабатываний в окне False positives на вкладке Feeds или если индикатор отмечается как ложное срабатывание, используется значение FalsePositive.
`supplier_confidence`	Уровень доверия к источнику данных об угрозах.
`supplier_vendor_name`	Имя поставщика источника данных об угрозах.
`ioc_supplier_context`	Контекстная информация, относящаяся к индикатору. Этот атрибут может содержать вложенные атрибуты. Правило для поиска всех вложенных атрибутов описано ниже.

Для поисковых запросов используется следующий синтаксис:

Если в поисковом запросе для подстроки используются специальные символы ([пробел], +, -, =, &&, ||, >, <, !, (, ), {, }, [, ], ^, ", ~, *, ?, :, \, /), такие символы в теле запроса необходимо экранировать. Ниже приведены исключения для использования специальных символов в поисковых запросах.
Для экранирования в Kaspersky CyberTrace используется символ обратной косой черты \.
Использование пробела. Слово, следующее за неэкранированным символом пробела, не будет отнесено к подстроке поиска.
Пример 1: supplier_vendor_name: Vendor\ Test – возвращаются все индикаторы, принадлежащие к источникам с именем поставщика «Vendor Test».

Пример 2: supplier_vendor_name: Vendor Test – возвращаются все индикаторы, принадлежащие к источникам с именем поставщика «Vendor», и индикаторы, у которых в контексте есть слово «test».
Определенные подстроки могут заключаться в кавычки, а логические блоки могут заключаться в круглые скобки. При указании начальных или конечных значений для интервалов, исключающих граничные значения, используются фигурные скобки ({}), а для интервалов, включающих граничные значения, используются квадратные скобки ([]). Фигурные и квадратные скобки можно комбинировать в пределах одного интервала, если требуется указать начальное значение одного типа и конечное значение другого типа. Кавычки и скобки всех типов в поисковом запросе должны образовывать пары.
Не разрешается заключать подстроку поиска в кавычки, если подстрока не содержит специальных символов, перечисленных выше. В этом случае в результаты поиска будут включены только индикаторы, в которых указанная подстрока полностью совпадает с одним из значений любого поля. Поэтому если требуется найти индикаторы, в которых подстрока поиска является лишь частью значения поля, следует использовать подстановочные знаки (звездочка «*» или вопросительный знак «?» — см. ниже).

Кавычки и скобки всех типов можно использовать без соблюдения парности в следующих случаях:
- Если непарная скобка или кавычка используется с экранирующим символом.
  Пример: ioc_value:asd\]
- Если непарная скобка заключена в кавычки.
  Пример: ioc_value:"1234]"
Запрещается использовать символ табуляции.
Двоеточие (:) можно использовать только после имени атрибута индикатора; в противном случае двоеточие необходимо экранировать.
Не указывайте пустое значение в круглых скобках, за исключением случаев, когда это значение указывается с экранирующим символом или заключается в кавычки.
Пример неправильного запроса: ( )

Пример правильного запроса: (" ")
В фигурных скобках ({}) и квадратных скобках ([]) следует использовать шаблон %begin_value% TO %end_value%, где %begin_value% и %end_value% — это значения, предназначенные для открытых и закрытых интервалов (кроме случаев, когда квадратные скобки заключены в кавычки).
Пример неправильного запроса: [* 100]

Пример правильного запроса: [* TO 100]
Не указывайте пустое значение при поиске конкретного атрибута.
Пример неправильного запроса: ioc_type:

Пример правильного запроса: ioc_type:url
Логические операторы (AND, OR, NOT) использовать без кавычек и целиком в верхнем регистре.
Логические операторы AND, OR должны отбиваться пробелами слева и справа. При логическом операторе NOT не должно быть пробела слева, если оператор NOT указывается сразу после открывающей левой скобки или двоеточия.
Пример неправильного запроса: supplier_confidence:(89OR91)

Пример правильного запроса: supplier_confidence:NOT(89 OR 91)
Не следует указывать пустое значение после логического оператора.
Пример неправильного запроса: supplier_confidence:(89 OR )

Пример правильного запроса: supplier_confidence:(89 OR 91)
Для атрибута ioc_supplier_context при поиске определенного вложенного атрибута используется точка.
Пример: ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"
В случае атрибута ioc_supplier_context, если строка поиска содержит пробел, перед пробелом следует использовать экранирующий символ «\» (обратная косая черта).
Пример: ioc_supplier_context.details.SMS\ Number:1003
В случае атрибута ioc_supplier_context для поиска всех вложенных атрибутов следует использовать шаблон ioc_supplier_context.\\*.
Пример: ioc_supplier_context.\\*:HEUR
В качестве подстановочных знаков в заменителях для любой другой последовательности символов следует использовать звездочку (*), а для одиночного символа — вопросительный знак (?).
Пример 1: supplier_vendor_name: Vendor – поиск индикаторов, принадлежащих к источникам с именем поставщика «Vendor».

Пример 2: supplier_vendor_name: Vendor* – поиск индикаторов, принадлежащих к источникам с именем поставщика, которое начинается с «Vendor».

Использование звездочки (*) в начале запроса может привести к проверке всех значений атрибутов в базе данных индикатора. Обычно это приводит к долгому ожиданию ответа от базы данных.

Примеры

Следующий запрос отображает все индикаторы, содержащие подстроку at, ca, kr, ru, ir в любом из атрибутов индикатора:

"at, ca, kr, ru, ir"

Следующий запрос отображает все индикаторы, у которых значение атрибута supplier_confidence равно 89 или 91:

supplier_confidence:(89 OR 91)

Следующий запрос отображает все индикаторы, у которых значение атрибута ioc_value содержит подстроку 123321:

ioc_value:"123321"

Следующий запрос отображает все индикаторы, которые были добавлены в базу данных в период с 2012-01-01 по 2012-12-31 (включая границы):

ioc_created_date:[2012-01-01 TO 2012-12-31]

Следующий запрос отображает все индикаторы с уровнем доверия от 10 до 50 (без учета границ):

supplier_confidence:{10 TO 50}

Следующий запрос отображает все индикаторы, у которых значение поля контекста threat_score больше 75:

ioc_supplier_context.threat_score:[75 TO *]

Следующий запрос отображает все индикаторы, у которых атрибут контекста файлов/угроз содержит подстроку HEUR:Exploit.SWF.Generic:

ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

Следующий запрос отображает все индикаторы, у которых есть атрибуты контекста с любым уровнем вложенности, содержащие значение HEUR:

ioc_supplier_context.\\*:HEUR

В начало