インジケーターの使用

Kaspersky CyberTrace は Elasticsearch のデータベースを使用して、脅威インテリジェンスフィードからのセキュリティ侵害インジケーター（IoC）を保存します。このデータベースは、Kaspersky CyberTrace 配布パッケージに含まれています。

Kaspersky CyberTrace Web ユーザーインターフェイスで、［Indicators］タブを選択できます。このセクションでは、次の操作を実行できます：

• インジケーターデータベース（以降、データベースとも表記）からのインジケーターのリストの表示。
• インジケーターによる検索の実行。
• データベースへの新しいインジケーターの追加。

  新しいインジケーターがデータベースに正常に追加されると、マッチングプロセスで使用できます。このようなインジケーターは、supplier_name 属性の InternalTI 値を使用してデータベースに書き込まれます。

• インジケーターのデータベースからの削除。
• 既存のインジケーターの FalsePositive 脅威インジケーターへの追加（誤検知としてマーク付け）。
• インジケーターに関する詳細な情報の閲覧。
• 脅威インジケーターによるインジケーターのフィルタリング。

  このフィルターが適用されていくつかの脅威インジケーターが選択されると、Kaspersky CyberTrace には、選択したすべての脅威インジケーターにより提供される各インジケータのみが表示されます。

• タグによるインジケーターのフィルタリング。
• タイプによるインジケーターのフィルタリング。

  このフィルターを使用するには、［Type］列見出しをクリックし、開いたフィルターフォームで、リストに表示するインジケータータイプを選択します。

FalsePositive および InternalTI 脅威インジケーター

FalsePositive および InternalTI 脅威インジケーターは Kaspersky CyberTrace 脅威インジケーターに組み込まれており、以下に対してインジケーターを追加できます：

• FalsePositive 脅威インジケーターは、ユーザーが CyberTrace Web で誤検知としてマーク付けする既存のインジケーター向けに設計されています。
• InternalTI 脅威インジケーターは、ユーザーが CyberTrace Web のデータベースに追加する、または REST API を介してデータベースに追加する新しいインジケーター向けに設計されています。

InternalTI 脅威インジケーターは、インジケーターが誤検知リストに含まれている場合でも検知を行います。