インジケーターの使用
インジケーターの使用
2024年2月27日
ID 194524
Kaspersky CyberTrace は Elasticsearch のデータベースを使用して、脅威インテリジェンスフィードからのセキュリティ侵害インジケーター(IoC)を保存します。このデータベースは、Kaspersky CyberTrace 配布パッケージに含まれています。
Kaspersky CyberTrace Web ユーザーインターフェイスで、[Indicators]タブを選択できます。このセクションでは、次の操作を実行できます:
- インジケーターデータベース(以降、データベースとも表記)からのインジケーターのリストの表示
- インジケーターによる検索の実行
- データベースへの新しいインジケーターの追加
新しいインジケーターがデータベースに正常に追加されると、マッチングプロセスで使用できます。このようなインジケーターは、
supplier_name
属性の InternalTI 値を使用してデータベースに書き込まれます。 - インジケーターのデータベースからの削除
- 既存のインジケーターの FalsePositive 脅威インジケーターへの追加(誤検知としてマーク付け)
- インジケーターに関する詳細な情報の閲覧
- 脅威インジケーターによるインジケーターのフィルタリング。このフィルターが適用されていくつかの脅威インジケーターが選択されると、Kaspersky CyberTrace には、選択したすべての脅威インジケーターにより提供される各インジケータのみが表示されます。
- タグによるインジケーターのフィルタリング
FalsePositive および InternalTI 脅威インジケーター
FalsePositive および InternalTI 脅威インジケーターは Kaspersky CyberTrace 脅威インジケーターに組み込まれており、以下に対してインジケーターを追加できます:
- FalsePositive 脅威インジケーターは、ユーザーが CyberTrace Web で誤検知としてマーク付けする既存のインジケーター向けに設計されています
- InternalTI 脅威インジケーターは、ユーザーが CyberTrace Web のデータベースに追加する、または REST API を介してデータベースに追加する新しいインジケーター向けに設計されています
InternalTI 脅威インジケーターは、インジケーターが誤検知リストに含まれている場合でも検知を行います。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。