インジケーターの使用
インジケーターの使用
2024年4月11日
ID 194524
Kaspersky CyberTrace は Elasticsearch のデータベースを使用して、脅威インテリジェンスフィードからのセキュリティ侵害インジケーター(IoC)を保存します。このデータベースは、Kaspersky CyberTrace 配布パッケージに含まれています。
Kaspersky CyberTrace Web ユーザーインターフェイスで、[Indicators]タブを選択できます。このセクションでは、次の操作を実行できます:
- インジケーターデータベース(以降、データベースとも表記)からのインジケーターのリストの表示。
- インジケーターによる検索の実行。
- データベースへの新しいインジケーターの追加。
新しいインジケーターがデータベースに正常に追加されると、マッチングプロセスで使用できます。このようなインジケーターは、
supplier_name
属性の InternalTI 値を使用してデータベースに書き込まれます。 - インジケーターのデータベースからの削除。
- 既存のインジケーターの FalsePositive 脅威インジケーターへの追加(誤検知としてマーク付け)。
- インジケーターに関する詳細な情報の閲覧。
- 脅威インジケーターによるインジケーターのフィルタリング。
このフィルターが適用されていくつかの脅威インジケーターが選択されると、Kaspersky CyberTrace には、選択したすべての脅威インジケーターにより提供される各インジケータのみが表示されます。
- タグによるインジケーターのフィルタリング。
- タイプによるインジケーターのフィルタリング。
このフィルターを使用するには、[Type]列見出しをクリックし、開いたフィルターフォームで、リストに表示するインジケータータイプを選択します。
FalsePositive および InternalTI 脅威インジケーター
FalsePositive および InternalTI 脅威インジケーターは Kaspersky CyberTrace 脅威インジケーターに組み込まれており、以下に対してインジケーターを追加できます:
- FalsePositive 脅威インジケーターは、ユーザーが CyberTrace Web で誤検知としてマーク付けする既存のインジケーター向けに設計されています。
- InternalTI 脅威インジケーターは、ユーザーが CyberTrace Web のデータベースに追加する、または REST API を介してデータベースに追加する新しいインジケーター向けに設計されています。
InternalTI 脅威インジケーターは、インジケーターが誤検知リストに含まれている場合でも検知を行います。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。