Выбор доступных полей для потока данных об угрозах
В этом разделе описывается порядок указания полей, которые должны быть включены в поток данных об угрозах.
О доступных полях
Доступные поля для потока данных об угрозах определяют, какие поля из исходного потока данных об угрозах Kaspersky CyberTrace необходимо включить в итоговый поток данных об угрозах. Например, если указать, что игнорироваться должны все поля в потоке данных об угрозах, кроме одного, в итоговом потоке данных об угрозах для каждой записи будет только одно поле.
В потоке данных об угрозах должно быть хотя бы одно доступное поле, которое используется для сопоставления. Это поле должно содержать IP-адреса, хеши или URL.
В исходных файлах потоков данных об угрозах некоторые записи могут иметь дополнительные поля или не иметь некоторых полей; у одной записи может быть меньше или больше полей по сравнению с другой записью.
Если у записи есть дополнительное поле и это поле выбрано для включения в поток данных об угрозах, в итоговом потоке данных об угрозах запись будет иметь это поле. Если у записи есть дополнительное поле, и это поле не выбрано для включения в поток данных об угрозах, у записи не будет этого поля в итоговом потоке данных об угрозах.
Если у записи нет поля, и это поле выбрано для включения в поток данных об угрозах, у записи не будет этого поля. Если у записи нет поля, и это поле не выбрано для включения в поток данных об угрозах, у записи не будет этого поля.
Если требуется исключить из вывода записи с недостающими полями, необходимо создать правила фильтрации для всех обязательных полей. Для значений полей можно задавать критерии.
Выбор доступных полей для потока данных об угрозах
Выбор доступных полей потока данных
Чтобы выбрать доступные поля для потока данных, выполните следующие действия:
- Перейдите на страницу Настройка → Потоки индикаторов.
- В столбце Действия списка потоков данных выберите поток данных, который требуется настроить.
Для источника данных об угрозах Пользовательские сведения о киберугрозах невозможно включать или исключать доступные поля.
- В разделе потока данных Доступные поля выберите поля, которые требуется включить, или снимите выделение с полей, которые требуется исключить.
- Прокрутите страницу до конца и нажмите кнопку Сохранить.