Настройка обнаружения киберугроз

Kaspersky CyberTrace позволяет сохранять исходные оповещения об обнаружении индикаторов компрометации для дальнейшего анализа и расследования. В этом разделе описывается порядок настройки хранилища оповещений об обнаружении индикаторов компрометации.

Для управления параметрами хранилища оповещений об обнаружении индикаторов компрометации используется страница Настройка → Обнаружения. Для работы с этой страницей необходимо перейти в режим Управление системой. Этот режим доступен только пользователям с ролью «Администратор».

Страница Обнаружения позволяет выполнять следующие действия:

• Просмотр общего размера сохраненных оповещений об обнаружении индикаторов компрометации.
• Удаление сохраненных оповещений об обнаружении индикаторов компрометации.
• Включение или отключение сохранения оповещений об обнаружении индикаторов компрометации (в т. ч. при ретроспективном сканировании).
• Установка максимального объема (в гигабайтах), отведенного для хранения оповещений об обнаружении индикаторов компрометации.

  

  Страница Настройка → Обнаружения

Текущий объем (в гигабайтах) сохраненных оповещений об обнаружении индикаторов компрометации отображается в верхней части страницы Обнаружения.

Чтобы удалить сохраненные оповещения об обнаружении индикаторов компрометации, выполните следующие действия:

1. Нажмите на значок (Удалить сохраненные обнаружения киберугроз).
2. В открывшемся окне подтверждения нажмите Удалить.

Чтобы отключить сохранение оповещений об обнаружении индикаторов компрометации, выполните следующие действия:

1. Выключите переключатель Сохранять обнаружения.
2. Нажмите на кнопку Сохранить в нижней части страницы.

Отключение сохранения оповещений об обнаружении индикаторов компрометации позволяет уменьшить требования к свободному месту на жестком диске хоста, на котором установлен Kaspersky CyberTrace. Это может быть целесообразно, если все исходные оповещения об обнаружении индикаторов компрометации сохраняются в SIEM-системе и расследование инцидентов безопасности также выполняется в SIEM-системе.

Если отключить сохранение оповещений об обнаружении индикаторов компрометации при применении критериев фильтрации для отправки оповещений в SIEM-системе, то оповещения, содержащие индикаторы, не соответствующие указанным критериям, будут отбрасываться.

Чтобы установить максимальный размер сохраняемых оповещений об обнаружении индикаторов компрометации, выполните следующие действия:

1. Включите переключатель в блоке Ограничение на размер сохраняемых обнаружений.
2. Укажите максимальный общий размер сохраняемых оповещений об обнаружении индикаторов компрометации в гигабайтах.
3. Нажмите на кнопку Сохранить в нижней части страницы.

При превышении ограничения на размер сохраняемых оповещений об обнаружении индикаторов компрометации Kaspersky CyberTrace генерирует оповещение KL_ALERT_DetectsStorageExceeded.

Поскольку размер сохраненных оповещений об обнаружении индикаторов компрометации проверяется раз в час, время от времени ограничение может оказываться превышенным.

См. также: Настройка оповещений об обнаружении индикаторов компрометации для тенанта

В начало