Перейти к содержанию

Репутационная база

Назначение репутационной базы

Данный модуль предназначен для обогащения событий данными, полученными из различных репутационных списков.

Состав репутационной базы

Репутационная база представлена службой pangeoradar-ti-updater.service

Работа с репутационными списками из UI

Репутационные списки

Для просмотра и управления репутационными списками необходимо перейти в раздел "Репутационные списки", "Репутационные списки".

На рисунке 1 изображено окно просмотра и управления репутационными списками.

Репутационные списки

Рисунок 1 -- Репутационные списки

В рассматриваемом интерфейсе присутствуют следующие функциональные возможности:

  • Просмотр полного списка индикаторов компрометации;

  • Фильтрация записей в репутационных списках;

    Для этого необходимо нажать на пиктограмму фильтра, выбрать поле, по которому необходимо отфильтровать записи, а также значение этого поля (полностью или частично), как изображено на рисунке 2.

    Фильтрация репутационнных записей

    Рисунок 2 -- Фильтрация репутационнных записей

  • Создание пользовательских индикаторов компрометации;

    Для создания необходимо перейти во вкладку "Пользовательские", после чего нажать на кнопку "+". В открывшемся окне заполнить значения полей и нажать "Сохранить"

    Пример пользовательского индикатора компрометации представлен на рисунке 3

    Создание пользовательского индикатора компрометации

    Рисунок 3 -- Создание пользовательского индикатора компрометации

  • Удаление индикаторов компрометации;

    Для удаления индикаторов компрометации необходимо нажать на пиктограмму урны справа от индикатора компрометации, который необходимо удалить.

Источники IOC

Для просмотра и управления источниками идентификаторов компрометации необходимо перейти в раздел "Репутационные списки", "Источники IOC".

На рисунке 4 изображено окно просмотра и управления источниками идентификаторов компрометации.

Источники индикаторов компрометации

Рисунок 4 -- Источники индикаторов компрометации

В рассматриваемом интерфейсе присутствуют следующие функциональные возможности:

  • Включение встроенных источников идентификаторов компрометации;

    Для этого необходимо нажать на пиктограмму фильтра, перевести "Активность" в статус "Не важно". После, напротив нужных источников, нажать на кнопку-тумблер для перевода статуса в "Активно". Пример включения источника представлен на рисунке 5.

    Включение источника индикаторов компрометации

    Рисунок 5 -- Включение источника индикаторов компрометации

  • Указание периода получения идентификаторов компрометации из активных источников;

    Для указания периода, нужно нажать на соответствующую кнопку и установить нужное количество часов (от 1 до 24)

  • Ручной запуск и остановка сбора идентификаторов компрометации из активных источников;

    Для этого необходимо нажать на соответствующие кнопки в верхней части страницы, как изображено на рисунке 6.

    Включение\отключение сбора индикаторов компрометации

    Рисунок 6 -- "Включение\отключение сбора индикаторов компрометации"

  • Создание пользовательского источника идентификаторов компрометации.

    Для создания пользовательского источника нужно нажать на кнопку "Создать источник", заполнить поля и нажать на "Сохранить".