Настройка хранилища обнаруженных киберугроз

Kaspersky CyberTrace позволяет сохранять исходные события с киберугрозами для дальнейшего анализа и расследования. В этом разделе описывается порядок настройки хранилища событий с обнаруженными киберугрозами.

Для управления параметрами хранилища событий с киберугрозами используется вкладка Settings > Detections.

Вкладка Detections позволяет выполнять следующие действия:

• Просмотр размера сохраненных событий с киберугрозами.
• Удаление сохраненных событий с киберугрозами.
• Включение или отключение сохранения событий обнаружения (включая обнаружения ретроспективного сканирования).
• Установка максимального размера (в гигабайтах) сохраняемых событий с киберугрозами.

  

  Вкладка Settings > Detections

Текущий размер (в гигабайтах) сохраненных событий с киберугрозами отображается в верхней части вкладки Detections.

Чтобы удалить сохраненные события с киберугрозами, выполните следующие действия:

1. Нажмите на кнопку Delete saved detections.
2. В открывшемся окне подтверждения нажмите Yes.

Чтобы отключить сохранение событий с киберугрозами, выполните следующие действия:

1. Выключите переключатель Save detections в разделе General settings на вкладке Settings > Detections.
2. Нажмите на кнопку Save в нижней части страницы.

Отключение сохранения событий с киберугрозами позволяет уменьшить требования к свободному месту на жестком диске хоста, на котором установлен Kaspersky CyberTrace. Это может быть целесообразно, если все исходные события с киберугрозами сохраняются в SIEM и расследование инцидентов безопасности также выполняется в SIEM.

Если отключить сохранение событий обнаружений киберугроз при применении критериев фильтрации для отправки событий в SIEM, события обнаружений киберугроз, содержащие индикаторы, не соответствующие указанным критериям, будут отбрасываться.

Чтобы установить максимальный размер сохраняемых событий с киберугрозами, выполните следующие действия:

1. В разделе General settings на вкладке Settings > Detections установите флажок Limit the maximum size of saved events (GB).
2. Укажите максимальный размер сохраняемых событий с киберугрозами в гигабайтах.
3. Нажмите на кнопку Save в нижней части страницы.

При превышении ограничения на размер сохраняемых событий с киберугрозами Kaspersky CyberTrace генерирует событие KL_ALERT_DetectsStorageExceeded.

Поскольку размер сохраненных событий с киберугрозами проверяется раз в час, время от времени ограничение может оказываться превышенным.

В начало