Указание правил фильтрации для потока данных об угрозах
В этом разделе объясняется, что такое правила фильтрации, и описывается порядок их настройки.
О правилах фильтрации
Правила фильтрации представляют собой критерии для потока данных об угрозах, которые позволяют исключать из потока данных об угрозах определенные записи.
Kaspersky CyberTrace использует правила фильтрации для фильтрации загружаемых файлов потоков данных во время обновления. Указанные правила фильтрации применяются к потокам данных после обновления, а не к существующим потокам.
В выходной файл включаются только те записи, которые соответствуют всем указанным критериям. Если для поля указан критерий фильтрации и при этом поле отсутствует в записи, такая запись не будет включена в выходной файл.
Раздел «Filtering rules»
Чтобы указать правило фильтрации для потока данных об угрозах, выполните следующие действия:
- Перейдите на страницу Настройка → Потоки индикаторов.
- В столбце Действия списка потоков данных выберите поток данных, который требуется настроить.
Для источника данных об угрозах InternalTI указать правила фильтрации невозможно.
- В разделе Правила фильтрации нажмите на кнопку Добавить правило.
- В раскрывающемся списке Имя поля выберите имя одного из полей, доступных для потока данных.
С каждым полем в потоке данных об угрозах может быть связано только одно правило фильтрации. Для одного поля нельзя указать два правила фильтрации.
- В раскрывающемся списке Условие выберите условие фильтрации.
Список возможных условий фильтрации приведен в разделе «Возможные условия фильтрации» ниже.
- В поле ввода Значение укажите критерий фильтрации для поля.
Для разделения значений в этом поле ввода запрещается использовать точку с запятой («
;»). Вместо этого выберите значение среди перечисленных (с разделением переносами строки) в раскрывающемся списке Условие и используйте символ переноса строк («\n») или нажимайте клавишу Enter для разделения значений. В противном случае правило фильтрации не будет применяться правильно.Дополнительная информация о порядке задания определенных критериев фильтрации приведена в подразделах «Определение критериев фильтрации для числовых значений», «Определение критериев фильтрации для строк» и «Определение критериев фильтрации для дат» в разделе Правила фильтрации.
- Прокрутите страницу до конца и нажмите кнопку Сохранить.
Возможные условия фильтрации
В таблице ниже перечислены условия фильтрации, которые можно применить к потокам данных об угрозах:
Возможные условия фильтрации
Условие фильтрации |
Описание |
Сопоставление с точным значением |
Поле в потоке данных об угрозах в точности соответствует указанному значению. Чтобы применить это условие, выберите значение равно в раскрывающемся списке Условие, затем укажите одно значение в поле ввода Значение. |
Сопоставление хотя бы с одним из нескольких возможных значений |
Поле в потоке данных об угрозах должно содержать одно или несколько указанных значений. Чтобы применить это условие, выберите значение среди перечисленных (с разделением переносами строки) в раскрывающемся списке Условие, затем укажите несколько значений в поле ввода Значение. Не указывайте пустые значения. Каждое следующее значение должно начинаться с новой строки. |
Принадлежит к диапазону числовых значений |
Поле в потоке данных об угрозах должно содержать значение из указанного диапазона. Чтобы применить это условие, выберите значение в диапазоне (включительно) в раскрывающемся списке Условие, затем укажите диапазон значений в полях ввода Значение. Обратите внимание, что граничные значения включаются в диапазон. Значения должны быть целыми числами. |
Принадлежит к диапазону числовых значений, которые равны или больше указанного значения |
Поле в потоке данных об угрозах должно содержать значение, равное указанному значению или превышающее его. Чтобы применить это условие, выберите значение больше (включительно) в раскрывающемся списке Условие, а затем укажите одно значение в поле ввода Значение. Значение должно быть целым числом. |
Принадлежит к диапазону числовых значений, которые равны или меньше указанного значения |
Поле в потоке данных об угрозах должно содержать значение, равное или меньшее заданного значения. Чтобы применить это условие, выберите значение меньше (включительно) в раскрывающемся списке Условие, а затем укажите одно значение в поле ввода Значение. Значение должно быть целым числом. |
Принадлежит к диапазону дат |
Атрибут индикатора должен содержать дату в указанном диапазоне. Чтобы применить это условие, выберите дата в диапазоне (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите диапазон дат в полях ввода Значение. Для обеих границ диапазона можно использовать значение Кроме того, при указании границ в качестве относительных значений к шаблону
|
Принадлежит к диапазону дат, которые равны или больше указанного значения |
Атрибут индикатора должен содержать дату, равную указанному значению или превышающую его. Чтобы применить это условие, выберите дата больше (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите дату в поле ввода Значение. Для левой границы диапазона можно использовать значение Кроме того, для границы можно выбрать одно из следующих предустановленных значений (значение отсчитывается относительно
|
Принадлежит к диапазону дат, которые равны или меньше указанного значения |
Атрибут индикатора должен содержать дату, которая меньше или равна указанному значению. Чтобы применить это условие, выберите дата меньше (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите дату в поле ввода Значение. Для правой границы диапазона можно использовать значение Кроме того, для границы можно выбрать одно из следующих предустановленных значений (значение отсчитывается относительно
|
Сопоставление с непустым значением |
Поле в потоке данных об угрозах должно содержать любое непустое значение. Чтобы применить это условие, выберите значение непустое в раскрывающемся списке Условие. |