[Topic About]

Kaspersky Threat Intelligence Portal

Kaspersky Threat Intelligence Portal объединяет все знания "Лаборатории Касперского" о киберугрозах, безопасных объектах и связях между ними в одно мощное решение. Цель данного веб-портала – обеспечить сотрудников служб информационной безопасности (ИБ) как можно большим количеством данных об угрозах для их приоритизации, обнаружения, сдерживания и удаления, тем самым минимизируя влияние кибератак на работу компаний. Портал получает актуальную аналитическую информацию об угрозах, касающуюся веб-адресов, доменов, IP-адресов, хешей файлов, а также статистические и поведенческие данные, данные WHOIS и прочие данные. Все это даст вам наглядное представление о новых и развивающихся угрозах по всему миру, что поможет защитить вашу организацию и повысить эффективность реагирования на инциденты.

Kaspersky Threat Intelligence Portal совместим с компьютерами, планшетами и другими мобильными устройствами.

Информация об угрозах собирается из множества высоконадежных источников. Затем в режиме реального времени все агрегированные данные тщательно проверяются и уточняются с использованием различных методов и технологий предварительной обработки, таких как статистические системы, инструменты выявления похожести объектов, обработка в песочнице, профилирование поведения, проверка на основе списков разрешенных объектов и анализ экспертных систем, включая ручной анализ.

Каждый отправленный файл анализируется с применением набора передовых технологий обнаружения угроз, таких как репутационные службы, технологии поведенческого анализа, эвристический анализ, система быстрого обнаружения (Urgent Detection System) и Kaspersky Cloud Sandbox, используемых для мониторинга поведения и действий файла, включая сетевые подключения, а также скачанные и сохраненные объекты. В основе Песочницы (Kaspersky Sandbox) лежит собственная запатентованная технология, позволяющая "Лаборатории Касперского" ежедневно обнаруживать более 350 000 новых вредоносных объектов.

Помимо передовых технологий обнаружения угроз, информация об анализируемых файлах, веб-адресах, IP-адресах и хешах дополняется новейшей аналитической информацией об угрозах, собранной из объединенных разнородных высоконадежных источников, таких как:

• Kaspersky Security Network;
• Инструмент отслеживания ботнетов;
• Собственные поисковые роботы;
• Спам-ловушки;
• Результаты исследований APT-угроз (благодаря команде GReAT);
• Информация от партнеров по обеспечению безопасности;
• Технический анализ (пассивный DNS, WHOIS);
• OSINT.

Kaspersky Threat Intelligence Portal также позволяет запрашивать данные о веб-адресах, IP-адресах и файловых хешах, возвращая отчет о статусе отправленных на анализ объектов.

Принцип работы

Файлы или индикаторы компрометации могут быть отправлены через веб-интерфейс или RESTful API. Kaspersky Threat Intelligence Portal позволяет отправлять и получать аналитические данные об угрозах для следующих объектов:

• Файлы;
• Хеши MD5, SHA1 и SHA256;
• IP-адреса (IPv4);
• Домены;
• Веб-адреса.

Kaspersky Threat Intelligence Portal классифицирует объект как Безопасный, Опасный или Не определено, предоставляя контекстные данные, которые помогают более эффективно реагировать на угрозы и исследовать объекты.

Пользователям с премиум-доступом предоставляются дополнительные возможности, включая доступ к детализированным отчетам Kaspersky Threat Lookup (Поиск угроз) и Kaspersky Cloud Sandbox, аналитическим отчетам об APT-угрозах, Crimeware-угрозах и угрозах промышленной кибербезопасности, а также отчетам об угрозах для организации (Цифровой след).

В начало

[Topic PremiumServices]

Премиум-доступ к Kaspersky Threat Intelligence Portal

Отслеживание, анализ, интерпретация и устранение постоянно развивающихся угроз информационной безопасности – это серьезная задача. Компании в каждом секторе сталкиваются с нехваткой актуальных данных, необходимых для управления рисками, связанными с угрозами информационной безопасности. Чтобы обеспечить этим компаниям доступ к актуальной информации об угрозах и помочь в решении проблем, связанных со сложными киберпреступлениями, "Лаборатория Касперского" предлагает воспользоваться премиум-доступом к Kaspersky Threat Intelligence Portal. Этот веб-портал помогает исследователям и аналитикам Центра мониторинга и реагирования (SOC) работать более эффективно, одновременно управляя тысячами оповещений о безопасности.

Премиум-доступ к Kaspersky Threat Intelligence Portal предлагает следующие решения.

Аналитические отчеты об APT-угрозах

Пользователи, подписанные на Аналитические отчеты об APT-угрозах (APT Intelligence Reporting) "Лаборатории Касперского", получают уникальный постоянный доступ к результатам исследований и открытий, включающим профили хакерских группировок, их тактики и техники (TTP), сопоставленные с базой знаний MITRE ATT&CK, полные технические данные, представленные в различных форматах, по каждой раскрытой угрозе, включая даже те угрозы, информация о которых никогда не была опубликована. Информация в этих отчетах помогает быстро реагировать на различные угрозы и уязвимости: блокировать атаки известными способами, уменьшать ущерб от комплексных атак и оптимизировать общую стратегию безопасности.

Аналитические отчеты о Crimeware-угрозах

Эти отчеты позволяют финансовым учреждениям использовать в своих защитных стратегиях актуальную информацию об атаках, нацеленных на банки, расчетные платежные компании, страховые компании. Отчеты содержат подробные данные об атаках на определенное оборудование, например на банкоматы и кассовые терминалы, а также информацию об инструментах, предназначенных для атаки на финансовые сети, которые используются, разрабатываются и продаются киберпреступниками в даркнете.

Аналитические отчеты об угрозах для организации (Цифровой след)

Цифровое решение для контроля рисков, предоставляющее отчеты о внешних угрозах, направленных на ресурсы организации за пределами межсетевого экрана. Атаки могут быть направлены на компрометацию учетных данных, утечку информации, уязвимые сервисы в сети и внутренние угрозы. Благодаря выявлению признаков прошлых, настоящих и запланированных атак и обнаружению слабых уязвимых мест, решение помогает компаниям сфокусироваться на защите основных целей кибератак.

Потоки данных об киберугрозах

Интеграция актуальных потоков данных о киберугрозах, содержащих информацию о недоверенных и опасных IP-адресах, веб-адресах и хешах файлов, в существующие средства управления безопасностью, такие как SIEM-системы, позволяет группам управления безопасностью автоматизировать начальный процесс обработки оповещений. Специалисты по обработке оповещений получают достаточно данных для немедленного выявления сигналов тревоги, подлежащих расследованию или передаче группам реагирования на инциденты для дальнейшего рассмотрения и реагирования.

CyberTrace

Kaspersky CyberTrace – это инструмент объединения и анализа информации об угрозах, обеспечивающий беспрепятственную интеграцию любых используемых потоков данных об угрозах (в формате JSON, STIX™, XML и CSV) с SIEM-решениями и другими источниками данных. Это позволяет аналитикам более эффективно использовать информацию об угрозах в существующих рабочих процессах по обеспечению безопасности. Инструмент использует встроенный процесс парсинга и сопоставления входящих данных, что значительно снижает рабочую нагрузку на SIEM-систему. Используемый в Kaspersky CyberTrace автоматический парсинг входящих журналов и событий и сопоставление его результатов данным анализа угроз обеспечивают "ситуативное понимание" в режиме реального времени, что помогает аналитикам по безопасности принимать быстрые и обоснованные решения.

Поиск угроз (Threat Lookup)

Kaspersky Threat Lookup объединяет все знания "Лаборатории Касперского" о киберугрозах, безопасных объектах и связях между ними в одно мощное веб-решение. Цель этого решения – обеспечить, например, сотрудников службы информационной безопасности (ИБ) как можно большим количеством данных и минимизировать влияние кибератак на работу компании. Kaspersky Threat Lookup получает актуальные подробные данные об угрозах по веб-адресам, доменам, IP-адресам, хешам файлов, именам обнаруженных объектов, статистическим данным, поведенческим характеристикам, данным WHOIS/DNS, атрибутам файлов, данным геолокации, цепочкам скачиваний, временным меткам и прочим данным. В результате вы получаете глобальное представление о новых и развивающихся угрозах, что помогает обеспечить защиту организации, повысить эффективность мер реагирования на инциденты и оптимизировать их поиск.

Базовый доступ к Kaspersky Threat Lookup предоставляется всем пользователям.

Cloud Sandbox

Принятие обоснованного решения на основе поведения файла при одновременном анализе памяти процессов, действия в сети и прочих данных – оптимальный способ разобраться в современных комплексных угрозах как целевых, так и специализированных. Kaspersky Cloud Sandbox, в основе которого лежат собственные запатентованные технологии "Лаборатории Касперского", предоставляет подробные отчеты о поведении возможно зараженных файлов.

Он объединяет всю информацию о поведении вредоносных программ, собранную "Лабораторией Касперского" за 20 лет непрерывных исследований киберугроз, что позволяет ежедневно обнаруживать более 350 000 новых вредоносных объектов. В то время как Kaspersky Threat Lookup извлекает актуальные и исторические сведения об угрозах, Kaspersky Cloud Sandbox позволяет связать эти данные с индикаторами компрометации (IOC), сформированными анализируемой выборкой, раскрывая весь масштаб атаки и помогая спланировать эффективные меры реагирования.

Также возможен анализ веб-адресов в изолированной среде.

Основные сводные отчеты доступны всем пользователям.

Аналитические отчеты об угрозах промышленной кибербезопасности

Служба аналитических отчетов об угрозах промышленной кибербезопасности предоставляет детальные данные и повышает осведомленность о вредоносных кампаниях, нацеленных на промышленные организации, а также информацию об уязвимостях, обнаруженных в наиболее распространенных системах промышленного контроля и сопутствующих технологиях.

Премиум-доступ к Kaspersky Threat Intelligence Portal позволяет компаниям проводить высокоэффективные комплексные расследования инцидентов, оперативно предоставляя данные о природе угроз по мере их обнаружения, выявляя взаимосвязанные индикаторы угроз и связывая инциденты с конкретными группировками, кампаниями, их целями, а также тактиками и техниками (TTP).

Для получения дополнительной информации, перейдите на https://www.kaspersky.ru/enterprise-security/threat-intelligence и https://www.kaspersky.ru/enterprise-security/apt-intelligence-reporting.

В начало

[Topic CompareVersions]

Сравнение доступов к Kaspersky Threat Intelligence Portal

В таблице показаны различия доступных решений при общем доступе и премиум-доступе к Kaspersky Threat Intelligence Portal.

Решения, доступные при общем доступе и премиум-доступе к Kaspersky Threat Intelligence Portal

Функциональность	Общий доступ	Премиум-доступ
Главная страница
Всемирная карта киберугроз
Топ угроз по всему миру и для отдельных стран
Динамика угроз по всему миру и для отдельных стран
Список, отображающий последние события
Аналитические отчеты об APT-угрозах и Crimeware-угрозах
Доступ через веб-интерфейс
Доступ через RESTful API
Уведомления о новых или обновленных отчетах по электронной почте
Аналитические отчеты об APT-угрозах
Вредоносная инфраструктура
Аналитические отчеты о Crimeware-угрозах
Профили хакерских группировок
Скачивание файлов IOC
Отчеты об угрозах промышленной безопасности
Отчеты об угрозах промышленной безопасности
Поиск угроз (Threat Lookup): исследование хешей
Доступ через веб-интерфейс
Доступ через RESTful API	(для зарегистрированных пользователей, необходим API-токен)
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета о хешах:
Общие сведения
Детектируемые объекты
Подписи и сертификаты файла
Подписи и сертификаты контейнера
Расположение файла
Имена файла
Веб-адреса и домены, с которых был скачан файл
Веб-адреса, к которым обращался файл
Объекты, запущенные файлом
Объекты, которые запускали файл
Объекты, скачанные файлом
Объекты, которые скачивали файл
Поиск угроз (Threat Lookup): исследование IP-адресов
Доступ через веб-интерфейс
Доступ через RESTful API	(для зарегистрированных пользователей, необходим API-токен)
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета об IP-адресах:
Общие сведения
WHOIS IP-адреса
Оценка угрозы
DNS-разрешения IP-адреса
Файлы, связанные с IP-адресом
Размещенные веб-адреса
Поиск угроз (Threat Lookup): исследование веб-адресов
Доступ через веб-интерфейс
Доступ через RESTful API	(для зарегистрированных пользователей, необходим API-токен)
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета о веб-адресах:
Общие сведения
WHOIS домена / IP-адреса
DNS-разрешения домена
Файлы, скачанные с веб-адреса
Файлы, обращавшиеся к запрашиваемому веб-адресу
Реферальные ссылки на запрашиваемый веб-адрес
Веб-адреса, на которые ссылается или перенаправляет запрашиваемый объект
Маски (идентификатор записи в потоках данных)
Поиск угроз (Threat Lookup): исследование доменов
Доступ через веб-интерфейс
Доступ через RESTful API	(для зарегистрированных пользователей, необходим API-токен)
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета о доменах:
Общие сведения
WHOIS домена
DNS-разрешения домена
Файлы, скачанные с домена
Файлы, обращавшиеся к домену
Поддомены
Веб-адреса, которые ссылаются на домен
Веб-адреса, на которые ссылается домен
Маски веб-адресов
WHOIS-поиск
WHOIS-мониторинг
Cloud Sandbox: загрузка и исполнение файла
Настраиваемые параметры выполнения файла
Доступ через веб-интерфейс
Доступ через RESTful API	(для зарегистрированных пользователей, необходим API-токен)
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета об анализе файлов:
Общие сведения
Имена детектируемых объектов (включая объекты, обнаруженные в песочнице, и сработавшие сетевые правила)
Карта процессов	(с ограничениями)
Подозрительные действия	(с ограничениями)
Снимки экрана	(с ограничениями)
Скачанные PE-образы	(с ограничениями)
Файловые операции	(с ограничениями)
Действия с реестром	(с ограничениями)
Операции с процессами	(с ограничениями)
Операции синхронизации	(с ограничениями)
Скачанные файлы	(с ограничениями)
Сохраненные файлы	(с ограничениями)
HTTP(S)-запросы	(с ограничениями)
DNS-запросы	(с ограничениями)
Cloud Sandbox: скачивание и исполнение файла
Скачивание файла с веб-ресурсов
Настраиваемые параметры выполнения файла
Доступ через веб-интерфейс
Доступ через RESTful API
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета об анализе файлов:
Информация о скачивании файла
Запрос на скачивание
Ответ на запрос на скачивание
Общие сведения
Имена детектируемых объектов (включая объекты, обнаруженные в песочнице, и сработавшие сетевые правила)
Карта процессов
Подозрительные действия
Снимки экрана
Скачанные PE-образы
Файловые операции
Действия с реестром
Операции с процессами
Операции синхронизации
Скачанные файлы
Сохраненные файлы
HTTP(S)-запросы
DNS-запросы
Cloud Sandbox: открытие веб-адресов
Настраиваемые параметры открытия веб-адреса
Доступ через веб-интерфейс
Доступ через RESTful API	(для зарегистрированных пользователей, необходим API-токен)
Экспорт в форматы JSON / STIX / CSV
Содержимое отчета об анализе веб-адресов:
Общие сведения
Имена детектируемых объектов (включая объекты, обнаруженные в песочнице, и сработавшие сетевые правила)
Подключенные хосты	(с ограничениями)
WHOIS	(с ограничениями)
HTTP(S)-запросы	(с ограничениями)
DNS-запросы	(с ограничениями)
Снимки экрана	(с ограничениями)
Аналитические отчеты об угрозах для организации (Цифровой след)
Аналитические отчеты об угрозах для организации (Цифровой след)
Уведомления об аналитических отчетах об угрозах для организации (Цифровой след)
Уведомления об угрозах
Экспорт уведомлений об угрозах
Просмотр и изменение информации об организации
Потоки данных
Потоки данных об анализе угроз
Инструменты для реагирования на инциденты
Дополнительные инструменты для работы с Потоками данных о киберугрозах
SIEM-коннекторы
Сопутствующие материалы
Управление учетными записями пользователей
Просмотр всех групповых учетных записей
Управление групповыми учетными записями (создание, изменение, удаление)
Настройка уведомлений по электронной почте

В начало

[Topic Requirements]

Программные требования

Kaspersky Threat Intelligence Portal имеет следующие требования к аппаратному и программному обеспечению:

Десктопная версия

Минимальные общие требования:

• 2 ГБ свободного места на жестком диске;
• Соединение с интернетом для работы с Kaspersky Threat Intelligence Portal в онлайн-режиме;
• Открытые порты 443 (HTTPS) и 80 (HTTP);
• Монитор, поддерживающий разрешение экрана 1366x768.

Минимальные аппаратные требования:

• Intel® Pentium® 1 ГГц (или совместимый аналог) для 32-разрядной операционной системы;
• процессор Intel Pentium 2 ГГц (или совместимый) для 64-разрядной операционной системы;
• 1 ГБ свободной оперативной памяти.

Поддерживаемые браузеры:

• Mozilla™ Firefox™;
• Google Chrome™;
• Microsoft® Edge®;
• Safari®.

Мобильная версия

Минимальные общие требования:

• Мобильная версия: мобильные устройства с минимальным разрешением экрана 320x568;
• Версия для планшетов: планшеты с минимальным разрешением экрана 1024x768.

Минимальные и рекомендуемые системные требования:

• Процессор: 1,2 ГГц (рекомендуется 1,5 ГГц);
• 50 МБ свободной оперативной памяти;
• 50 МБ свободного места на жестком диске.

Поддерживаемые операционные системы:

• Android 10 и выше;
• iOS 14.0 и выше;
• iPadOS 14 и выше.

Поддерживаемые браузеры:

• Google Chrome™;
• Safari®.

Рекомендуется использовать последнюю версию поддерживаемых браузеров. Последние версии браузеров можно скачать с официальных сайтов их производителей:
Mozilla Firefox Google Chrome Microsoft Edge Safari
Если вы используете неподдерживаемый браузер, функциональность Kaspersky Threat Intelligence Portal может быть ограничена.

В начало

[Topic WhatsNew]

Что нового

В Kaspersky Threat Intelligence Portal появились следующие новые возможности и улучшения.

Выпуск 09.2025

• Матрица покрытия MITRE ATT&CK продуктами "Лаборатории Касперского"
  • Добавлен новый раздел, содержащий матрицу покрытия MITRE ATT&CK продуктами KUMA, EDR, NDR и Sandbox. Наша методика позволяет оценить глубину покрытия техник и подтехник, учитывая как технологические возможности продукта выявить технику, так и количество и сложность реализованных правил детектирования. Фильтруя матрицу покрытия, можно увидеть, каким образом разные решения влияют на общий уровень защиты.
  • В подразделе Техники можно ознакомиться с описаниями тактик, техник и подтехник MITRE ATT&CK, в том числе и на русском языке.
• Выбор региона для выхода в интернет

  В рамках динамического анализа файлов и веб-адресов появилась возможность указать регион выхода в интернет. Это позволит выявлять угрозы, направленные на конкретные страны и регионы.

• Внесены небольшие улучшения.
• Исправлены незначительные ошибки.
• Улучшена документация.

Выпуск 02.2025

• Улучшения карты киберугроз.

  Дизайн карты был обновлен для более удобной и продвинутой визуализации глобальных угроз. На обзорной карте изображены регионы и указаны совокупные уровни угроз по выбранной категории риска. При увеличении масштаба карты страны отображаются точками разных цветов, а при уменьшении – объединяются в кластеры. Для каждого кластера указано общее число входящих в него стран для лучшей видимости даже на максимальном удалении.

• Исправлены незначительные ошибки.
• Улучшена документация.

Выпуск 06.2024

• Обновлена технология динамической проверки:

  Теперь на портале используется технология динамической проверки Kaspersky Research Sandbox 2.3.

  Обновление повышает точность обнаружения, эффективность механизмов блокирования обхода защиты и общую надежность сервиса.

• Открыт демонстрационный доступ к серверу Kaspersky TAXII:

  Зарегистрированным пользователям портала открыт демонстрационный доступ к серверу Kaspersky TAXII по индивидуальному токену. Они могут загрузить демонстрационные коллекции TAXII-сервера в формате STIX (TAXII_Demo_*_Data_Feed с taxii.tip.kaspersky.com) и интегрировать их со своими процессами, в том числе используя коннектор для платформы OpenCTI. Подробнее об использовании коннектора см. в файле readme. В демонстрационных коллекциях TAXII-сервера используются те же типы индикаторов, что и в имеющихся демонстрационных потоках данных об угрозах в формате JSON.

• Улучшен пользовательский интерфейс:
  • Повышена осведомленность пользователей о категориях обнаружения.
  • Обновлен логотип портала.
• Исправлены незначительные ошибки.
• Повышена эффективность SEO.
• Улучшена документация.

Выпуск 08.2023

• Портал оптимизирован для работы на мобильных устройствах. Теперь вы можете использовать для расследования планшет или другое мобильное устройство: отправляйте файлы для анализа в песочницу, выполняйте поиск по хешу, IP-адресу, домену или веб-адресу и просматривайте глобальную карту киберугроз.
• Информация о фишинговых ресурсах, связанных с COVID-19, заменена на набор демонстрационных потоков данных о киберугрозах, который доступен в нижней части главной страницы. Демонстрационные потоки данных об угрозах включают следующее:
  • Demo IP Reputation Data Feed;
  • Demo Botnet C&C URL Data Feed;
  • Demo Malicious Hash Data Feed;
  • Demo APT Hash Data Feed;
  • Demo APT IP Data Feed;
  • Demo APT URL Data Feed;
  • Demo Suricata Rules Data Feed.
• При отправке объекта на повторный анализ в поле "Адрес электронной почты" автоматически подставляется адрес, который вы использовали для входа на портал.
• В веб-интерфейс добавлена темная тема. Вы можете переключаться между светлым и темным интерфейсом для комфортного визуального восприятия информации.
• Исправлены незначительные ошибки.
• Улучшена документация.

Выпуск 09.2022

• Реализована глобальная карта киберугроз. Карта представляет собой графическое отображение информации о глобальных кибератаках и основных угрозах по странам. На карте можно выбрать тип угрозы или период времени для отображения статистических данных.
• На вкладку Поиск добавлены категории Скомпрометированный и Спам для IP-адресов:
  • IP-адреса категории Скомпрометированный обычно являются легитимными, но на момент выполнения поискового запроса они заражены или скомпрометированы.
  • IP-адреса, помеченные как Спам, используются для рассылки спама.
• На вкладку Поиск добавлена категория Скомпрометированный для доменов и веб-адресов. Аналогично IP-адресам такие ресурсы обычно являются легитимными, но на момент выполнения поискового запроса они заражены или скомпрометированы.
• Квоты RESTful API увеличены с 200 до 2000 запросов в сутки, что позволяет в автоматическом режиме проверять большее количество объектов, которые пользователь считает подозрительными.
• Оптимизирован и доработан веб-интерфейс для повышения удобства использования портала.
• Исправлены незначительные ошибки.
• Улучшена документация.

Выпуск 11.2020

• Обновлен веб-интерфейс, что обеспечивает удобство работы пользователей с новой функциональностью.
• Добавлена более подробная информация о результатах статического анализа отправляемых на анализ файлов. Предоставляются данные о структуре файлов в формате Portable Executable (PE) и извлеченных строках. Формат PE применим к файлам, исполняемым в операционной системе Windows. Он содержит информацию о том, как операционная система должна выполнять их код. На основе результатов анализа специалисты по безопасности могут определить функции объекта и, если он содержит нетипичные артефакты, выявить его вредоносный потенциал, даже если вредоносная программа ранее была неизвестна. Результаты анализа также могут использоваться для создания индикаторов компрометации, эвристики и правил обнаружения.
• В многоуровневый подход к обнаружению угроз добавлена технология анализа поведения. Это один из наиболее эффективных способов обнаружения сложных угроз, таких как бесфайловые вредоносные программы, программы-вымогатели и вредоносные программы нулевого дня.
• Зарегистрированным пользователям предоставляются новые привилегированные функции через бесплатный доступ для сообщества:
  • Возможность подключать программы к решению через RESTful API для автоматизации запросов на проверку опасных объектов и получения результатов запросов в виде файлов JSON без необходимости посещать веб-портал.
  • Получение ограниченного количества полных отчетов о поведении файлов или веб-адресов с помощью Kaspersky Cloud Sandbox, что обеспечивает представление обо всех действиях файла и событиях, произошедших на веб-странице, таких как скачивания и исполнение скриптов JavaScript и Adobe Flash.
  • Для повышения конфиденциальности существует специальный режим отправки на анализ, который позволяет проверять файлы и индикаторы таким образом, чтобы результаты не были доступны другим пользователям, пока они сами не отправят объект на проверку.
  • Полная история запросов (как частных, так и публичных).

Выпуск 07.2020

• Интерфейс и справка Kaspersky Threat Intelligence Portal доступны на русском языке.

Выпуск 06.2020

• Реализована возможность отправки объектов экспертам "Лаборатории Касперского" для повторной проверки результатов анализа.

В начало

[Topic DataProvision]

Предоставление данных

При использовании Kaspersky Threat Intelligence Portal помимо данных, предоставляемых в соответствии с Условиями использования и Положением о конфиденциальности, следующие типы данных автоматически передаются и обрабатываются для описанных ниже целей.

Все полученные данные хранятся в соответствии с Положением о конфиденциальности. Срок хранения описан в разделе "Длительность хранения ваших персональных данных". По окончании срока хранения данные удаляются из баз данных оперативной обработки транзакций (OLTP).

Отправляя файл на анализ или запрос на поиск объектов в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности. Если вы не согласны с Условиями использования и Положением о конфиденциальности, не отправляйте файлы и запросы на анализ.

Обрабатываемые данные:

Общие действия пользователей

Для улучшения работы решения для обнаружения угроз и обработки запросов пользователей к службам Kaspersky Threat Intelligence Portal, на портал в соответствии с Условиями использования и Положением о конфиденциальности передаются следующие данные о любых действиях пользователей во время их работы с Kaspersky Threat Intelligence Portal:

• Дата и время выполнения действия.
• IP-адрес (также используется для блокировки пользователей, которые слишком часто пытаются отправить файлы или запросы на анализ на Kaspersky Threat Intelligence Portal).
• Данные о браузере (также используются для блокировки пользователей, которые слишком часто пытаются отправить файлы или запросы на анализ на Kaspersky Threat Intelligence Portal).

Поисковые запросы для хешей, IP-адресов, доменов и веб-адресов

Для поиска запрошенных объектов и отображения последних пользовательских запросов Kaspersky Threat Intelligence Portal получает следующие данные при отправке запроса на анализ (хеш, IP-адрес, домен или веб-адрес):

• Запрос.
• Результаты запроса.

Исполнение загруженных файлов

Для анализа файла и отображения последних пользовательских запросов Kaspersky Threat Intelligence Portal получает следующие данные при отправке файла на исполнение:

• Запрос (исполняемый файл).
• Результаты исполнения файла (хеш исполняемого файла, дата и время исполнения и анализа файла, размер файла, тип файла, имя файла, имена детектируемых объектов, сработавшие сетевые правила, подозрительные действия, снимки экрана, скачанные PE-образы, файловые операции, действия с реестром, операции с процессами, операции синхронизации, скачанные файлы, сохраненные файлы, HTTP-запросы, HTTPS-запросы и DNS-запросы).

Анализ веб-адресов

Для выполнения анализа и отображения последних пользовательских запросов Kaspersky Threat Intelligence Portal получает следующие данные при анализе веб-адреса:

• Запрос (веб-адрес).
• Результаты анализа веб-адресов (детектируемые объекты, сработавшие сетевые правила, подозрительные действия, хосты, данные WHOIS, снимки экрана, HTTP-запросы, HTTPS-запросы и DNS-запросы).

В начало

[Topic Licensing]

Лицензирование

В этом разделе описаны основные аспекты лицензирования Kaspersky Threat Intelligence Portal.

В этом разделе Условия использования Положение о конфиденциальности Ограничения для отчетов

В начало

[Topic AboutTermsOfUse]

Условия использования

Условия использования Kaspersky Threat Intelligence Portal – это обязательное соглашение между вами и АО "Лаборатория Касперского", в котором изложены условия, на которых вы можете пользоваться веб-порталом.

Перед началом использования веб-портала внимательно ознакомьтесь с Условиями использования и Положением о конфиденциальности. Отправляя файл на анализ или запрос на поиск объектов в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности.

Чтобы просмотреть Условия использования для Kaspersky Threat Intelligence Portal, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Перейдите по ссылке Условия использования одним из следующих способов:
   • На странице Анализ () (вкладки Анализ файлов, Поиск или Анализ веб-адресов) в области запроса.
   • В меню учетной записи, раскрывающемся при нажатии вашего имени пользователя. Если вы не вошли в систему, нажмите кнопку Войти ().
   • В окне Отправка объекта на повторную проверку.

Откроется страница с Условиями использования.

В начало

[Topic AboutPrivacyStatement]

Положение о конфиденциальности

В целях предоставления основных функций Kaspersky Threat Intelligence Portal АО "Лаборатория Касперского" необходимо получать и обрабатывать информацию, которая может считаться персональной в соответствии с действующим законодательством определенных стран. Эта информация описана в Положении о конфиденциальности.

Перед началом использования веб-портала внимательно ознакомьтесь с Условиями использования и Положением о конфиденциальности. Отправляя файл на анализ или запрос на поиск объектов в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности.

Чтобы просмотреть Положение о конфиденциальности, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Перейдите по ссылке Положение о конфиденциальности в одном из следующих мест:
   • На странице Анализ () (вкладки Анализ файлов, Поиск или Анализ веб-адресов) в области запроса.
   • На странице Форма обратной связи ().
   • В меню учетной записи, раскрывающемся при нажатии вашего имени пользователя. Если вы не вошли в систему, нажмите кнопку Войти ().
   • В окне Отправка объекта на повторную проверку.

Откроется страница с Положением о конфиденциальности.

В начало

[Topic LimitationQuota]

Ограничения для отчетов

В этом разделе описаны ограничения на просмотр полных отчетов.

В следующей таблице приведены ограничения на получение отчетов с помощью веб-интерфейса и RESTful API.

Ограничения для отчетов

Отчет	Доступ
Веб-интерфейс
Базовый отчет об анализе файлов	Доступен, если пользователь отправил файл для анализа или если файл был отправлен ранее другими пользователями (публичные запросы).
Полный отчет об анализе файлов / Полный отчет об анализе веб-адресов	Доступен только для зарегистрированных пользователей, только один отчет (для файла или веб-адреса) в течение суток. Если файл был загружен на анализ другим пользователем Kaspersky Threat Intelligence Portal в течение последнего часа, будут отображены соответствующие результаты исполнения файла без запуска повторного анализа, даже если у вас была превышена квота или имеются ограничения для отчетов. Полный отчет об анализе файлов доступен, если файл был отправлен через веб-интерфейс с установленным флажком Получить полный отчет динамического анализа. Флажок доступен после входа в учетную запись Kaspersky Account. Просмотр предыдущих отчетов не уменьшает эту квоту.
RESTful API
Отчет о результатах поиска	Доступен только для зарегистрированных пользователей, не более 2000 запросов в течение суток.
Базовый отчет об анализе файлов	Доступен только для зарегистрированных пользователей, количество запросов не ограничено.
Полный отчет об анализе файлов	Доступен только для зарегистрированных пользователей, не более 2000 запросов в течение суток. Полный отчет для файла доступен, если файл был отправлен через веб-интерфейс с установленным флажком Получить полный отчет динамического анализа (доступен после входа в учетную запись Kaspersky Account). Полный отчет об анализе файлов включает также следующие разделы: DynamicAnalysisResults; Detections; SuspiciousActivities; ExtractedFiles; NetworkActivities; DynamicDetections; TriggeredNetworkRules.

Полные отчеты о файлах и веб-адресах недоступны в этой версии Kaspersky Threat Intelligence Portal.

В начало

[Topic Interface]

Интерфейс Kaspersky Threat Intelligence Portal

В этом разделе описаны основные элементы интерфейса Kaspersky Threat Intelligence Portal (см. рисунок ниже).

Интерфейс Kaspersky Threat Intelligence Portal

На глобальной карте киберугроз показаны угрозы, возникающие по всему миру. На карте киберугроз изображены шесть континентов и указаны совокупные уровни угрозы по выбранной категории риска. При увеличении масштаба карты страны отображаются точками разных цветов, а при уменьшении – объединяются в кластеры. Для каждого кластера указано общее число входящих в него стран. Под картой киберугроз перечислены 10 стран с наибольшим количеством угроз выбранного типа и 10 наиболее часто обнаруживаемых угроз.

При наведении указателя мыши на точку, обозначающую отдельную страну на карте киберугроз, для нее отображаются рейтинги угроз и статистика, включая рейтинг страны в списке наиболее атакуемых стран и количество пользователей в процентном отношении. При нажатии на страну открывается страница с подробными данными по количеству обнаружений и самым распространенным угрозам по выбранной стране.

Данные можно отфильтровать по типу и времени возникновения угроз как для всего мира, так и для отдельных стран.

В раскрывающемся списке вы можете выбрать категорию для просмотра данных:

• Программы-вымогатели – угрозы типа программ-вымогателей: шифровальщики или блокировщики.
• Уязвимости – мониторинг уязвимостей (VUL) показывает процесс обнаружения уязвимостей.
• Веб-угрозы – показывает процесс обнаружения вредоносных программ во время сканирования веб-антивирусом (WAV) при открытии веб-сайта или скачивании файла. При этом отслеживаются порты, указанные в параметрах веб-антивируса.
• Спам – показывает вредоносный и другой трафик электронной почты, обнаруженный технологией репутационной фильтрации "Лаборатории Касперского" (Kaspersky Anti-Spam, KAS).
• Вредоносная почта – показывает процесс обнаружения вредоносных программ во время сканирования почтовым антивирусом (MAV), которое начинается при появлении в почтовом клиенте новых объектов. Почтовый антивирус проверяет входящие сообщения и проверяет вложения при сохранении на диск.
• Сетевые атаки – система обнаружения вторжений (IDS) отображает процесс обнаружения сетевых атак. Как правило, к таким угрозам относятся взломщики паролей, сканеры портов, эксплойты различных уязвимостей и другие атаки.

  Массив хешей файлов, использующих уязвимость.

  Массив содержит информацию не более чем о 100 файлах. Данные отсортированы по убыванию количества обнаружений среди пользователей Kaspersky Security Network за последние 90 дней.

• Локальные угрозы – показывает обнаружение вредоносных программ во время сканирования при доступе (OAS), т. е. тогда, когда к объектам осуществляется доступ для открытия, копирования, запуска или сохранения.
• Проверка по требованию – показывает процесс обнаружения вредоносных программ во время сканирования по требованию (ODS), который срабатывает, когда пользователь вручную выбирает параметр Проверить на вирусы.

В раскрывающемся списке вы можете выбрать период времени, за который требуется отобразить информацию:

• День – карта киберугроз и прочая статистика угроз за последние 24 часа.
• Неделя – карта киберугроз и прочая статистика угроз за последние семь дней.
• Месяц – карта киберугроз и прочая статистика угроз за последний месяц.

Также можно масштабировать карту киберугроз, прокручивая колесико в области карты. При нажатии кнопки Домой () масштаб карты киберугроз возвращается к 100%.

В левой части страницы Kaspersky Threat Intelligence Portal расположено меню, позволяющее перейти к основной функциональности портала.

Это меню состоит из двух разделов. Нажатие на Стрелку влево () сворачивает, а на Стрелку вправо () разворачивает каждый из разделов для более подробного ознакомления с ними.

Главное меню

Из главного меню можно перейти к следующим разделам:

• Анализ ()

  В этом разделе можно выполнять следующие действия:

  • На вкладке Анализ файлов – отправлять файлы для выполнения в изолированной среде.
  • На вкладке Поиск – запрашивать данные поиска для хешей, IP-адресов, доменов и веб-адресов.
  • На вкладке Анализ веб-адресов – зарегистрироваться на Kaspersky Threat Intelligence Portal (с общим доступом), чтобы получить доступ к функциональности анализа веб-адресов.
• Запросы ()

  В этом разделе можно выполнять следующие действия:

  • На вкладке Публичные запросы – просматривать список поисковых запросов, выполненных другими пользователями (публичных запросов).
  • На вкладке Мои запросы – просматривать список ваших результатов поиска, включая поисковые запросы, запросы на анализ файлов и веб-адресов, а также запросы, выполненные с помощью Kaspersky Threat Intelligence Portal API. Эта вкладка доступна только для зарегистрированных пользователей.
• Премиум-доступ (). В этом разделе приведено описание премиум-решений Kaspersky Threat Intelligence Portal.
• О портале (). В этом разделе изложена общая информация о возможностях Kaspersky Threat Intelligence Portal.
• Выбор языка (). Позволяет выбрать язык интерфейса портала. Доступные языки: английский и русский.
• Войти (). Вход на портал с помощью учетной записи Kaspersky Account (Общий доступ). В этом разделе меню можно также ознакомиться с Условиями использования и Положением о конфиденциальности. Данный параметр отображается, только если вы не вошли в учетную запись.
• Войти в премиум-версию (). Вход в учетную запись Kaspersky Threat Intelligence Portal (премиум-доступ). Эта кнопка доступна, только если вы не вошли в учетную запись.

Меню учетной записи

Перейти к меню учетной записи можно, нажав на имя пользователя в левом нижнем углу страницы.

Это меню доступно, только если вы вошли в систему с помощью учетной записи Kaspersky Account. В меню учетной записи вы можете:

• Изменить учетные данные. Перейти на страницу, где можно изменить пароль и адрес электронной почты для своей учетной записи Kaspersky Account, а также включить двухэтапную проверку.
• Запросить токен. Перейти на страницу, где можно запросить API-токен, требующийся для работы с Kaspersky Threat Intelligence Portal API.
• Выйти. Выйти из учетной записи Kaspersky Threat Intelligence Portal. Этот параметр доступен, только если вы вошли в учетную запись.
• Условия использования. Перейти на страницу с Условиями использования Kaspersky Threat Intelligence Portal. Эта ссылка доступна, только если вы вошли в учетную запись.
• Положение о конфиденциальности. Перейти на страницу с Положением о конфиденциальности данных Kaspersky Threat Intelligence Portal. Эта ссылка отображается, только если вы вошли в учетную запись.

В начало

[Topic FileAnalysis]

Анализ файлов

В этом разделе описано, как загрузить файлы для исполнения в безопасной среде, изолированной от вашей корпоративной сети. Также описаны результаты анализа файлов, доступные на портале Kaspersky Threat Intelligence Portal.

В этом разделе Отправка файлов на анализ Отчет о результатах анализа файла

В начало

[Topic SubmittingFile]

Отправка файлов на анализ

Отправляя файл в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности.

Перед запуском файла его нужно загрузить на Kaspersky Threat Intelligence Portal.

Чтобы загрузить файл на Kaspersky Threat Intelligence Portal, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В разделе Анализ () перейдите на вкладку Анализ файлов и выберите файл, вы хотите выполнить, одним из следующих способов:
   • Нажмите кнопку Добавить файл и в открывшемся окне выберите требуемый файл.
   • Перетащите файл в зону загрузки.

   Когда файл выбран, отображаются его имя и размер.

   Максимальный размер файла, который можно загрузить и проанализировать, составляет 256 МБ. Если размер файла превышает этот предел, в Kaspersky Threat Intelligence Portal отобразится соответствующее сообщение об ошибке.

   Также файл не должен быть пустым.

   Зона загрузки также доступна в разделе Запросы ().

3. Чтобы получить отчет динамического анализа, установите флажок Получить полный отчет динамического анализа. Данное действие обязательно для получения полного отчета о файле с помощью API.

   Этот флажок доступен только после входа в учетную запись.

4. Если вы хотите выполнить анализ файла в частном порядке, установите флажок Частный запрос.

   Kaspersky Threat Intelligence Portal позволяет отправлять объекты на анализ в частном порядке. Результаты частных запросов не отображаются на вкладке Публичные запросы в разделе Запросы. Частные запросы доступны зарегистрированным пользователям на вкладке Мои запросы.

   Этот флажок доступен только после входа в учетную запись.

   Но если тот же объект также когда-либо был отправлен на анализ публично вами или другим пользователем, результаты анализа этого объекта будут добавлены на вкладку Публичные запросы и станут доступны всем пользователям Kaspersky Threat Intelligence Portal.

   Если вы отправили файл на анализ в частном порядке, его хеш не отображается в списке публичных запросов. Но результаты анализа в песочнице будут доступны всем пользователям, которые ищут хеш этого файла.

5. Если хотите указать регион сетевого канала, который файл использует для доступа в интернет, нажмите на значок и в раскрывающемся списке Доступ в интернет выберите нужный регион.

   Доступные значения:

   • Автоматический выбор – автоматически выбранный интернет-канал. Интернет-канал принадлежит любому региону и не направляет трафик через сеть TOR. Если нет доступных регионов, выбирается Tarpit.
   • TOR – интернет-канал не принадлежит ни одному региону и направляет трафик через сеть TOR.
   • Tarpit – доступ к интернету эмулируется. Этот вариант используется, когда интернет недоступен или анализируемый объект не должен иметь доступа в интернет.
   • Страны и регионы (например, AU, DE). Список каналов по странам не фиксирован и может быть изменен.

   По умолчанию выбрано значение Автоматический выбор.

   Список доступных регионов может содержать отдельные страны, через которые выполняемый файл может получить доступ к интернету.

6. При необходимости можно отменить загрузку выбранного файла, нажав на значок корзины ().
7. Нажмите на кнопку Анализировать.

Анализ файла может занять до трех минут. Результаты отображаются, как только они становятся доступными. Их можно просмотреть на вкладке Публичные запросы или на вкладке Мои запросы, если вы отправили файл в частном порядке.

Если файл был загружен на анализ другим пользователем Kaspersky Threat Intelligence Portal в течение последнего часа, будут отображены соответствующие результаты исполнения файла без запуска повторного анализа, даже если у вас была превышена квота или имеются ограничения для отчетов.

Отправленные на анализ файлы запускаются в соответствии с параметрами, описанными в таблице ниже:

Параметры запуска файла

Параметр	Значение	Комментарий
Среда выполнения	Microsoft Windows® 7 64-разрядная	Операционная система, в которой исполняется файл.
Время выполнения	100 секунд	Время исполнения загруженного файла в указанной среде. Этот процесс занимает 100 секунд, не считая времени, необходимого для проведения анализа файла и отображения результатов.
Тип файла	Определяется автоматически на Kaspersky Threat Intelligence Portal	При загрузке документа Microsoft Office или файла в формате PDF (Portable Document Format), Kaspersky Threat Intelligence Portal пытается закрыть этот файл во время анализа (по истечении 50 секунд). Если файл другого формата имеет одно из данных расширений, портал также попытается закрыть его. Файлы со следующими расширениями: xls, ppt, pub, doc, docm, docx, dotm, dotx, potm, potx, ppam, ppsm, ppsx, pptm, pptx, vsdx, xlam, xlsb, xlsm, xlsx, xltm, xltx, rtf. Если вы отправляете архив, Kaspersky Threat Intelligence Portal попытается распаковать его перед исполнением. Архив может быть успешно распакован, если он содержит только один файл и не защищен паролем или защищен стандартным паролем, выбранным по умолчанию. Если не удалось распаковать файл, он исполняется как архив.
HTTPS-трафик	Расшифрованный	HTTPS-трафик, формируемый объектом во время исполнения, расшифровывается.
Интернет-канал	Автоматический выбор	Автоматически выбранный интернет-канал, принадлежащий любому региону и не направляющий трафик через сеть TOR.

В начало

[Topic FileReport]

Отчет о результатах анализа файла

После исполнения файла на странице отчета отображаются результаты анализа.

В мобильной версии Kaspersky Threat Intelligence Portal отображается только базовый отчет о файле. Для просмотра полного отчета можно использовать десктопную версию.

В зависимости от зоны исполняемого файла, MD5-хеш и статус исполняемого файла (Вредоносная программа, Рекламные и другие программы, Безопасный объект, Угрозы не обнаружены) отображаются на панели Отчет для хеша одним из следующих цветов:

• Красный – исполняемый файл может быть классифицирован как Вредоносная программа.
• Зеленый – исполняемый файл имеет статус Безопасный объект или Угрозы не обнаружены. Статус Угрозы не обнаружены присваивается файлу, если он не классифицирован "Лабораторией Касперского", но ранее был проверен или проанализирован, и на момент выполнения анализа угрозы не были обнаружены.
• Желтый – исполняемый файл классифицирован как Рекламные и другие программы (рекламные программы, для взрослых или прочие программы).

Цвет отображается в панели, как только завершается исполнение файла. Также отображается кнопка Отправить для повторного анализа. Вы можете отправить файл экспертам "Лаборатории Касперского" для повторной проверки результатов анализа.

Страница отчета содержит следующие данные:

• Обзор – общая информация об анализируемом файле.
• Детектируемые объекты – информация об обнаруженных объектах, связанных с анализируемым файлом и ранее встречавшихся в статистике "Лаборатории Касперского".
• Результаты динамического анализа – дата последней проверки файла и графики обнаруженных объектов, подозрительных действий, извлеченных файлов и сетевых взаимодействий, обнаруженных во время исполнения файла.
• Вкладка Результат – информация об обнаружениях динамического анализа и сетевых правилах, сработавших во время анализа трафика из выполняемого файла. Зарегистрированным пользователям также доступна карта процессов, информация о подозрительных действиях и снимки экрана.
• Вкладка Статический анализ – информация о PE-файле (Portable Executable) и строках, извлеченных во время выполнения файла.
• Разделы, доступные зарегистрированным пользователям:
  • Вкладка Действия в системе – информация о действиях, зарегистрированных во время выполнения файла.
  • Вкладка Извлеченные файлы – информация о файлах, которые были извлечены из сетевого трафика или сохранены файлом во время его выполнения.
  • Вкладка Действия в сети – информация о действиях в сети, зарегистрированных во время выполнения файла.
• Премиум-содержимое – информация о выполняемом файле, содержащаяся в разделах, которые отображаются размыто. Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.

В начало

[Topic Overview]

Обзор

В Kaspersky Threat Intelligence Portal отображается следующая общая информация об анализируемых файлах:

Общая информация о файлах

Имя поля	Описание
Популярность	Количество обращений (популярность) к хешу анализируемого файла, обнаруженных экспертными системами "Лаборатории Касперского". Количество обращений округляется до ближайшего числа, являющегося степенью 10.
Первое обнаружение	Дата и время, когда хеш анализируемого файла был впервые обнаружен экспертными системами "Лаборатории Касперского".
Последнее обнаружение	Дата и время, когда хеш анализируемого файла был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
Формат	Тип анализируемого файла.
Размер	Размер анализируемого файла.
Подписан	Организация, подписавшая хеш файла.
Упакован	Имя упаковщика (при наличии).
MD5	MD5-хеш анализируемого файла.
SHA1	SHA1-хеш анализируемого файла.
SHA256	SHA256-хеш анализируемого файла.

В начало

[Topic DetectionNames]

Детектируемые объекты

Kaspersky Threat Intelligence Portal предоставляет следующую информацию об обнаруженных объектах, связанных с анализируемым файлом и ранее встречавшихся в статистике "Лаборатории Касперского":

• Цвет зоны, к которой относится обнаруженный объект (красный или желтый).
• Дата и время, когда объект был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
• Имя обнаруженного объекта. Вы можете выбрать любую запись и просмотреть ее описание на сайте угроз "Лаборатории Касперского".

В начало

[Topic DynamicAnalysisSummaryFile]

Результаты динамического анализа

Kaspersky Threat Intelligence Portal предоставляет следующую графическую информацию об обнаруженных объектах, подозрительных действиях, извлеченных файлах и сетевых взаимодействиях, обнаруженных во время исполнения файла:

Результаты динамического анализа файла

Название графика	Описание
Детектируемые объекты	Общее количество объектов, обнаруженных во время исполнения файла, и доля объектов со статусами Вредоносная программа (красный) и Рекламные и другие программы (желтый).
Подозрительные действия	Общее количество подозрительных действий, зарегистрированных во время исполнения файла, и доля действий со следующими уровнями опасности: Высокий уровень опасности (красный), Средний уровень опасности (желтый) и Низкий уровень опасности (серый).
Извлеченные файлы	Общее количество файлов, скачанных или сохраненных файлом в процессе выполнения, а также доля файлов со статусом Вредоносная программа (извлеченные файлы, которые могут быть классифицированы как вредоносные, отмечены красным), Рекламные и другие программы (извлеченные файлы, которые могут быть классифицированы как Not-a-virus, отмечены желтым), Безопасный объект (извлеченные файлы, которые могут быть классифицированы как не являющиеся вредоносными, отмечены зеленым) и Не определено (для классификации нет или недостаточно данных об извлеченных файлах, отмечены серым).
Действия в сети	Общее количество зарегистрированных сетевых взаимодействий, выполненных файлом в процессе исполнения, и доля сетевых взаимодействий со статусом Опасный объект (запросы к ресурсам со статусом Опасный объект, отмечены красным), Рекламные и другие программы (запросы к ресурсам со статусом Рекламные и другие программы, отмечены желтым), Безопасный (запросы к ресурсам со статусом Безопасный, отмечены зеленым) и Не определено (запросы к ресурсам со статусом Не определено, отмечены серым).

В начало

[Topic ResultsTab]

Вкладка "Результат"

Kaspersky Threat Intelligence Portal предоставляет информацию об обнаруженных объектах и действиях, зарегистрированных во время выполнения файла. Зарегистрированным пользователям также доступна карта процессов, информация о подозрительных действиях и снимки экрана.

Обнаружения динамического анализа

Обнаруженные объекты, зарегистрированные во время выполнения файла.

Обнаружения динамического анализа

Имя поля	Описание
Статус	Зона (уровень) опасности, присвоенный обнаруженному объекту (Вредоносная программа или Рекламные и другие программы).
Имя	Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского".

Сработавшие сетевые правила

Правила SNORT и Suricata, сработавшие при анализе трафика из исполняемого файла.

Сработавшие сетевые правила

Имя поля	Описание
Статус	Зона (уровень) опасности сетевого трафика, обнаруженного правилом SNORT или Suricata (Высокий уровень опасности, Средний уровень опасности, Низкий уровень опасности, Инфо).
Правило	Имя правила SNORT или Suricata.

Карта процессов

Графическое представление последовательности действий файла и взаимосвязи между ними.

Карта процессов доступна только зарегистрированным пользователям.

Корневой узел дерева представляет анализируемый файл. Каждый элемент дерева отмечен в соответствии с его уровнем опасности (Высокий уровень опасности, Средний уровень опасности или Низкий уровень опасности). Можно щелкнуть мышью элемент дерева и просмотреть подробную информацию о нем. Также можно масштабировать карту процессов, прокручивая ее область.

Подозрительные действия

Подозрительные действия, зарегистрированные во время выполнения файла.

Этот раздел доступен только зарегистрированным пользователям.

Подозрительные действия

Имя поля	Описание
Статус	Зона (уровень) опасности зарегистрированного действия (Высокий уровень опасности, Средний уровень опасности, Низкий уровень опасности).
Критичность	Числовое значение уровня опасности зарегистрированного действия (целое число 1–999).
Описание	Описание действия. Например, "Исполняемый файл получил права", "Файл был изменен и исполнен" или "Процесс внедрил двоичный код в другой процесс". Некоторые описания содержат коды по классификации угроз MITRE ATT&CK. Например, "MITRE: T1082 System Information Discovery – Обнаружение системных данных".

Снимки экрана

Набор снимков экрана, которые были сделаны во время выполнения файла.

Снимки экрана доступны только зарегистрированным пользователям.

В начало

[Topic StaticAnalysisTab]

Вкладка "Статический анализ"

Kaspersky Threat Intelligence Portal предоставляет информацию PE и информацию об извлеченных строках.

Информация PE

В этом разделе отображается информация о структуре исполняемого файла в формате Portable Executable (PE), если она доступна.

Информация PE

Название таблицы	Параметры
Секции	Имя – имя раздела файла. Виртуальный размер – размер раздела. Виртуальный адрес – относительный виртуальный адрес (RVA) раздела. Исходный размер – размер раздела в файле.
Информация об экспорте	Имя – имя файла. Порядковый номер – порядковый номер экспортируемого элемента. RVA – относительный виртуальный адрес (RVA) экспортируемого элемента. Имя – название экспортируемого элемента.
Информация об импорте	Библиотека – название импортированной библиотеки (.dll). Функция – название функции. Порядковый номер – порядковый номер импортируемого элемента.
Информация об отладке	Отметка времени – дата и время создания информации об отладке. Тип – тип информации об отладке.

Извлеченные строки

В этом разделе отображается информация о строках, извлеченных во время выполнения файла.

Извлеченные строки

Параметр	Описание
Строка	Извлеченная строка (первые 1000 символов).
Кодировка	Список кодировок (UTF-8, UTF-16BE, UTF-16LE, ASCII).

В начало

[Topic SystemActivitiesTab]

Вкладка "Действия в системе"

Kaspersky Threat Intelligence Portal предоставляет информацию о действиях, зарегистрированных во время выполнения файла.

Эта вкладка доступна только для зарегистрированных пользователей.

Скачанные PE-образы

Скачанные PE-образы, обнаруженные во время выполнения файла.

Скачанные PE-образы

Имя поля	Описание
Локальный путь	Полный путь к скачанному PE-образу.
Размер	Размер скачанного PE-образа в байтах.

Файловые операции

Файловые операции, зарегистрированные во время выполнения файла.

Файловые операции

Имя поля	Описание
Операция	Название операции.
Имя	Путь и имя файла.
Размер	Размер файла в байтах.

Действия с реестром

Операции, выполненные в реестре операционной системы и обнаруженные во время выполнения файла. Первыми показываются операции, приведшие к подозрительным действиям.

Действия с реестром

Имя поля	Описание
Операция	Название операции.
Детали	Атрибуты операции.

Операции с процессами

Взаимодействие файла с различными процессами, зарегистрированными во время выполнения файла.

Операции с процессами

Имя поля	Описание
Операция	Тип взаимодействия между выполняемым файлом и процессом.
Имя процесса	Имя процесса, который взаимодействовал с выполняемым файлом.

Операции с объектами синхронизации

Операции созданных объектов синхронизации (взаимные исключения (мьютексы), семафоры и события), зарегистрированные во время выполнения файла.

Операции с объектами синхронизации

Имя поля	Описание
Операция	Тип созданного объекта синхронизации.
Имя	Название созданного объекта синхронизации.

В начало

[Topic ExtractedFilesTab]

Вкладка "Извлеченные файлы"

Kaspersky Threat Intelligence Portal предоставляет информацию о файлах, которые были извлечены из сетевого трафика или сохранены файлом во время его выполнения.

Эта вкладка доступна только для зарегистрированных пользователей.

Файлы, извлеченные из сетевого трафика

Файлы, извлеченные из сетевого трафика во время выполнения файла.

Файлы, извлеченные из сетевого трафика

Имя поля	Описание
Статус	Статус переданного файла (Безопасный объект, Рекламные и другие программы, Вредоносная программа, Не определено).
MD5	MD5-хеш переданного файла.
Трафик	Трафик, из которого был извлечен переданный файл (HTTP или HTTPS).
Детектируемый объект	Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского".

Сохраненные файлы

Файлы, сохраненные или измененные исполняемым файлом в операционной системе.

Сохраненные файлы

Имя поля	Описание
Статус	Статус скачанного файла (Безопасный объект, Рекламные и другие программы, Вредоносная программа, Не определено).
MD5	MD5-хеш скачанного файла.
Детектируемый объект	Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского".
Имя файла	Имя сохраненного файла.

В начало

[Topic NetworkActivitiesTab]

Вкладка "Действия в сети"

Kaspersky Threat Intelligence Portal предоставляет информацию о действиях в сети, зарегистрированных во время выполнения файла.

Эта вкладка доступна только для зарегистрированных пользователей.

DNS-запросы

Сеансы DNS, зарегистрированные во время выполнения файла.

DNS-запросы

Имя поля	Описание
Статус	Статус объекта в DNS-запросе.
Тип	Тип DNS-запроса.
Ответ	Содержимое ответа на DNS-запрос. Каждый элемент в списке кликабелен – по нему можно перейти к результатам анализа на вкладке Поиск.

HTTP(S)-запросы

HTTP- и HTTPS-запросы, зарегистрированные во время выполнения файла.

HTTP(S)-запросы

Имя поля	Описание
Статус	Статус веб-адреса в HTTP(S)-запросе. Веб-адрес может принадлежать одной из следующих зон: Опасный объект – с веб-адресом связаны вредоносные объекты. Рекламные и другие программы – с веб-адресом связаны объекты, которые могут быть классифицированы как Not-a-virus. Безопасный – веб-адрес не является вредоносным. Не определено – для классификации недостаточно данных или отсутствует информация о веб-адресе.
Веб-адрес	Веб-адрес, запрос к которому был зарегистрирован.
Метод	Метод отправки HTTP(S)-запроса. Можно использовать один из следующих методов HTTP: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH.
Схема	Схема веб-адреса, определяющая используемый протокол (HTTP или HTTPS).
Код ответа	Код ответа на HTTP(S)-запрос.
Длина ответа	Размер ответа на HTTP(S)-запрос (в байтах).
Поля	Дополнительные поля (Заголовки запросов и Заголовки ответов) отображаются в форме ключ:значение. Стандартные имена заголовков основаны на протоколе передачи гипертекста (Hypertext Transfer Protocol) RFC2616 – HTTP/1.1. Пользовательские заголовки (например, x-ms-request-id) выделяются синим цветом.

В начало

[Topic PremiumAccessFile]

Информация, доступная пользователям с премиум-доступом

Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию об анализируемом файле, если она доступна.

Вкладка Подписи и сертификаты

Информация о подписях и сертификатах файла

Название таблицы	Описание	Поля таблицы
Подписи и сертификаты файла	Информация о подписях и сертификатах анализируемого файла.	Статус – статус сертификата файла. Поставщик – владелец сертификата. Издатель – издатель сертификата. Подписан – дата и время подписания сертификата. Выпущен – дата и время выпуска сертификата. Оплачен до – дата окончания срока действия сертификата. Серийный номер – серийный номер сертификата.
Подписи и сертификаты контейнера	Информация о подписях и сертификатах контейнера.	Статус – статус сертификата контейнера. MD5 контейнера – MD5-хеш файла контейнера. Подписан – дата и время подписания сертификата контейнера. Выпущен – дата и время выпуска сертификата контейнера. Оплачен до – дата окончания срока действия сертификата контейнера.

Вкладка Пути

Информация о расположении файла

Название таблицы	Описание	Поля таблицы
Расположение файла	Известные пути к файлу на компьютерах, использующих программы "Лаборатории Касперского".	Популярность – количество случаев обнаружения пути экспертными системами "Лаборатории Касперского". Локальный путь – путь к анализируемому файлу на компьютерах пользователей. Расположение – корневая папка или диск, где находится анализируемый файл на компьютерах пользователей.

Вкладка Имена

Информация об именах файла

Название таблицы	Описание	Поля таблицы
Имена файла	Известные имена файла на компьютерах, использующих программы "Лаборатории Касперского".	Популярность – количество случаев обнаружения имени файла экспертными системами "Лаборатории Касперского". Имя файла – имя анализируемого файла.

Вкладка Скачивания

Информация о веб-адресах, с которых был скачан файл

Название таблицы	Описание	Поля таблицы
Веб-адреса и домены, с которых был скачан файл	Веб-адреса и домены, с которых был скачан анализируемый файл.	Статус – статус веб-адресов или доменов, используемых для скачивания анализируемого файла. Веб-адрес – веб-адреса, используемые для скачивания анализируемого файла. Последнее скачивание – дата и время последнего скачивания анализируемого файла с веб-адреса/домена. Домен – верхнеуровневый домен веб-адреса, используемого для скачивания анализируемого файла. Количество IP-адресов – число IP-адресов, в которые разрешается домен.

Вкладка Веб-адрес

Информация о веб-адресах

Название таблицы	Описание	Поля таблицы
Веб-адреса, к которым обращался файл	Веб-адреса, к которым обращался анализируемый файл.	Статус – статус веб-адресов, к которым обращался файл. Веб-адрес – веб-адреса, к которым обращался анализируемый файл. Последний доступ – дата и время последнего обращения анализируемого файла к веб-адресу. Домен – верхнеуровневый домен веб-адреса, к которому обращался анализируемый файл. Количество IP-адресов – число IP-адресов, в которые разрешается домен.

Вкладка Запущенные объекты

Информация о запущенных объектах

Название таблицы	Описание	Поля таблицы
Объекты, запущенные файлом	Объекты, запущенные анализируемым файлом.	Статус – статус запущенных объектов. Популярность – количество запусков объекта анализируемым файлом, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш запущенного объекта. Расположение – корневая папка или диск на компьютерах пользователей, где находится запущенный объект. Локальный путь – путь к объекту на компьютерах пользователей. Имя файла – название запущенного объекта. Последний запуск – дата и время последнего запуска объекта анализируемым файлом. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).
Объекты, которые запускали файл	Объекты, которые запускали анализируемый файл.	Статус – статус объектов, запустивших анализируемый файл. Популярность – количество запусков анализируемого файла, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш объекта, запустившего анализируемый файл. Расположение – корневая папка или диск на компьютерах пользователей, где находится объект. Локальный путь – путь к объекту на компьютерах пользователей. Имя файла – название объекта, запустившего анализируемый файл. Последний запуск – дата и время последнего запуска анализируемого файла. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

Вкладка Скачанные объекты

Информация о скачанных объектах

Название таблицы	Описание	Поля таблицы
Объекты, скачанные файлом	Объекты, скачанные анализируемым файлом.	Статус – статус скачанных объектов. Популярность – количество скачиваний объекта, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш скачанного объекта. Расположение – корневая папка или диск на компьютерах пользователей, где находится скачанный объект. Локальный путь – путь к скачанному объекту на компьютерах пользователей. Имя файла – имя скачанного объекта. Последнее скачивание – дата и время последнего скачивания объекта анализируемым файлом. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).
Объекты, которые скачивали файл	Объекты, которые скачивали анализируемый файл.	Статус – статус объектов, скачавших анализируемый файл. Популярность – количество скачиваний анализируемого файла, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш объекта, скачавшего анализируемый файл. Расположение – корневая папка или диск на компьютерах пользователей, где находится объект. Имя файла – название объекта, скачавшего анализируемый файл. Локальный путь – путь к объекту на компьютерах пользователей. Последнее скачивание – дата и время последнего скачивания анализируемого файла. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

В начало

[Topic LookupRequests]

Запросы на анализ

В этом разделе описано использование Kaspersky Threat Intelligence Portal для выполнения поисковых запросов для хешей, IP-адресов, доменов и веб-адресов. Также описана концепция зон и результаты анализа объектов.

В этом разделе Отправка запросов на анализ хешей, IP-адресов, доменов и веб-адресов Отчет о результатах анализа хеша Отчет о результатах анализа IP-адреса Отчет о результатах анализа доменов и веб-адресов О зонах и статусах

В начало

[Topic SubmitRequest]

Отправка запросов на анализ хешей, IP-адресов, доменов и веб-адресов

Отправляя запрос на анализ в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности.

Чтобы отправить запрос на анализ, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В разделе Анализ () на вкладке Поиск в поле Введите ваш запрос укажите объект или текст, который требуется проанализировать с помощью Kaspersky Threat Intelligence Portal:
   • Хеш (MD5, SHA1, SHA256).
   • IP-адрес (IPv4).
   • Домен.
   • Веб-адрес. Длина веб-адреса ограничена 2000 символами. Остальные символы не будут учитываться при анализе веб-адреса.
   • Текст. В этом случае на странице Запросы () отображается категория Поиск, но отчет не доступен.

   Kaspersky Threat Intelligence Portal автоматически распознает тип запрашиваемого объекта.

3. Чтобы выполнить анализ объекта в частном порядке, установите флажок Частный запрос.

   Частные запросы доступны зарегистрированным пользователям на вкладке Мои запросы. Но результаты анализа могут стать общедоступными, только если другой пользователь отправит на анализ этот же объект публично.

4. Нажмите на клавишу Enter.
5. При необходимости пройдите тест CAPTCHA:
   1. Установите флажок Я не робот в виджете CAPTCHA.
   2. Следуйте инструкциям по прохождению теста CAPTCHA.

Результаты запроса отображаются на странице отчета. Содержимое страницы зависит от типа запрашиваемого объекта.

В начало

[Topic HashReport]

Отчет о результатах анализа хеша

После обработки запроса о хеше на странице отчета отображаются результаты анализа.

Структура отчета о результатах поиска хеша аналогична структуре отчета о результатах анализа файла.

В мобильной версии Kaspersky Threat Intelligence Portal отображается только базовый отчет о хеше. Для просмотра полного отчета можно использовать десктопную версию.

В зависимости от зоны, хеш и его статус (Вредоносная программа, Рекламные и другие программы, Безопасный объект, Угрозы не обнаружены, Не определено) отображаются в панели одним из следующих цветов:

• Красный – хеш может быть классифицирован как Вредоносная программа.
• Желтый – хеш классифицируется как Рекламные и другие программы (рекламные программы, для взрослых или прочие программы).
• Серый – для хеша нет данных.
• Зеленый – исполняемый файл имеет статус Безопасный объект или Угрозы не обнаружены. Статус Угрозы не обнаружены присваивается файлу, если он не классифицирован "Лабораторией Касперского", но ранее был проверен или проанализирован, и на момент выполнения анализа угрозы не были обнаружены.

Страница отчета содержит следующие данные:

• Обзор – общая информация о запрашиваемом хеше.
• Детектируемые объекты – информация о детектируемых объектах, связанных с запрошенным хешем и ранее встречавшихся в статистике "Лаборатории Касперского".
• Результаты динамического анализа – дата последней проверки файла, идентифицированного запрошенным хешем, и графики обнаруженных объектов, подозрительных действий, извлеченных файлов и сетевых взаимодействий, обнаруженных экспертными системами "Лаборатории Касперского".
• Обнаружения динамического анализа – информация об обнаруженных объектах, зарегистрированных во время исполнения файла, идентифицированного запрошенным хешем.
• Сработавшие сетевые правила – информация о правилах SNORT и Suricata, сработавших при анализе трафика со стороны файла, идентифицированного запрошенным хешем.
• Премиум-содержимое – информация о запрашиваемом хеше, содержащаяся в разделах, которые отображаются размыто. Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.

Следующие вкладки доступны, если анализ файла, идентифицированного запрашиваемым хешем, ранее выполнялся в Kaspersky Sandbox:

• Вкладка Результат – информация об обнаружениях динамического анализа и сработавших сетевых правилах. Зарегистрированным пользователям также доступна карта процессов, информация о подозрительных действиях и снимки экрана.
• Вкладка Статический анализ – информация о PE-файле (Portable Executable) и строках, извлеченных во время выполнения файла.
• Вкладки, доступные зарегистрированным пользователям:
  • Вкладка Действия в системе – информация о действиях, зарегистрированных во время выполнения файла.
  • Вкладка Извлеченные файлы – информация о файлах, которые были извлечены из сетевого трафика или сохранены файлом во время его выполнения.
  • Вкладка Действия в сети – информация о действиях в сети, зарегистрированных во время выполнения файла.

В начало

[Topic OverviewHash]

Обзор информации о хеше

В Kaspersky Threat Intelligence Portal отображается следующая общая информация об отправленных на анализ хешах и файлах, идентифицированных этими хешами:

Общая информация о хешах и файлах

Имя поля	Описание
Популярность	Количество обращений (популярность) к файлу, идентифицированному запрашиваемым хешем, которые были обнаружены экспертными системами "Лаборатории Касперского". Количество обращений округляется до ближайшего числа, являющегося степенью 10.
Первое обнаружение	Дата и время, когда файл, идентифицированный запрашиваемым хешем, был впервые обнаружен экспертными системами "Лаборатории Касперского".
Последнее обнаружение	Дата и время, когда файл, идентифицированный запрашиваемым хешем, был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
Формат	Тип файла, идентифицированного запрашиваемым хешем.
Размер	Размер файла, идентифицированного запрашиваемым хешем.
Подписан	Организация, подписавшая хеш.
Упакован	Имя упаковщика (при наличии).
MD5	MD5-хеш.
SHA1	Хеш SHA1 (если доступен).
SHA256	Хеш SHA256.

В начало

[Topic DetectionNamesHash]

Детектируемые объекты

Kaspersky Threat Intelligence Portal предоставляет следующую информацию об известных обнаруженных объектах, связанных с хешем и ранее встречавшихся в статистике "Лаборатории Касперского":

• Цвет зоны, к которой относится обнаруженный объект (красный или желтый).
• Дата и время, когда объект был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
• Имя обнаруженного объекта. Вы можете выбрать любую запись и просмотреть ее описание на сайте угроз "Лаборатории Касперского".

В начало

[Topic DynamicAnalysisSummaryHash]

Результаты динамического анализа

Kaspersky Threat Intelligence Portal предоставляет следующую графическую информацию об обнаруженных объектах, подозрительных действиях, извлеченных файлах и сетевых взаимодействиях, обнаруженных во время исполнения файла, идентифицированного запрашиваемым хешем:

Результаты динамического анализа хеша

Название графика	Описание
Детектируемые объекты	Общее количество объектов, обнаруженных во время исполнения файла, идентифицированного запрашиваемым хешем, и доля объектов со статусами Вредоносная программа (красный) и Рекламные и другие программы (желтый).
Подозрительные действия	Общее количество подозрительных действий, зарегистрированных во время исполнения файла, идентифицированного запрашиваемым хешем, и доля действий с уровнями опасности Высокий уровень опасности (красный), Средний уровень опасности (желтый) и Низкий уровень опасности (серый).
Извлеченные файлы	Общее количество файлов, скачанных или сохраненных файлом, идентифицированным запрашиваемым хешем, в процессе выполнения, а также доля файлов со статусом Вредоносная программа (извлеченные файлы, которые могут быть классифицированы как вредоносные, отмечены красным), Рекламные и другие программы (извлеченные файлы, которые могут быть классифицированы как Not-a-virus, отмечены желтым), Безопасный объект (извлеченные файлы, которые могут быть классифицированы как не являющиеся вредоносными, отмечены зеленым) и Не определено (для классификации нет или недостаточно данных об извлеченных файлах, отмечены серым).
Действия в сети	Общее количество зарегистрированных действий в сети, выполненных файлом, идентифицированным запрашиваемым хешем, в процессе исполнения, и доля сетевых взаимодействий со статусом Опасный объект (запросы к ресурсам со статусом Опасный объект, отмечены красным), Рекламные и другие программы (запросы к ресурсам со статусом Рекламные и другие программы, отмечены желтым), Безопасный (запросы к ресурсам со статусом Безопасный, отмечены зеленым) и Не определено (запросы к ресурсам со статусом Не определено, отмечены серым).

В начало

[Topic DynamicAnalysisDetectsHash]

Обнаружения динамического анализа

В Kaspersky Threat Intelligence Portal отображается следующая информация об обнаруженных объектах, связанных с файлом, идентифицированным запрашиваемым хешем. Если анализ файла, идентифицированного запрошенным хешем, ранее выполнялся в Kaspersky Sandbox, этот раздел отображается на вкладке Результат.

Обнаружения динамического анализа

Имя поля	Описание
Статус	Зона (уровень) опасности, присвоенный объекту (Вредоносная программа или Рекламные и другие программы).
Имя	Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского".

В начало

[Topic TriggeredNetworkRulesHash]

Сработавшие сетевые правила

В Kaspersky Threat Intelligence Portal отображается следующая информация о правилах SNORT и Suricata, сработавших при анализе трафика со стороны файла, идентифицированного запрашиваемым хешем. Если анализ файла, идентифицированного запрошенным хешем, ранее выполнялся в Kaspersky Sandbox, этот раздел отображается на вкладке Результат.

Сработавшие сетевые правила

Имя поля	Описание
Статус	Зона (уровень) опасности сетевого трафика, обнаруженного правилом SNORT или Suricata (Высокий уровень опасности, Средний уровень опасности, Низкий уровень опасности, Инфо).
Правило	Имя правила SNORT или Suricata.

В начало

[Topic PremiumAccessHash]

Информация, доступная пользователям с премиум-доступом

Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом хеше, если она доступна.

Вкладка Подписи и сертификаты

Информация о подписях и сертификатах файла

Название таблицы	Описание	Поля таблицы
Подписи и сертификаты файла	Информация о подписях и сертификатах анализируемого файла.	Статус – статус сертификата файла. Поставщик – владелец сертификата. Издатель – издатель сертификата. Подписан – дата и время подписания сертификата. Выпущен – дата и время выпуска сертификата. Оплачен до – дата окончания срока действия сертификата. Серийный номер – серийный номер сертификата.
Подписи и сертификаты контейнера	Информация о подписях и сертификатах контейнера.	Статус – статус сертификата контейнера. MD5 контейнера – MD5-хеш файла контейнера. Подписан – дата и время подписания сертификата контейнера. Выпущен – дата и время выпуска сертификата контейнера. Оплачен до – дата окончания срока действия сертификата контейнера.

Вкладка Пути

Информация о расположении файла

Название таблицы	Описание	Поля таблицы
Расположение файла	Известные пути к файлу на компьютерах, использующих программы "Лаборатории Касперского".	Популярность – количество случаев обнаружения пути экспертными системами "Лаборатории Касперского". Локальный путь – путь к анализируемому файлу на компьютерах пользователей. Расположение – корневая папка или диск, где находится анализируемый файл на компьютерах пользователей.

Вкладка Имена

Информация об именах файла

Название таблицы	Описание	Поля таблицы
Имена файла	Известные имена файла на компьютерах, использующих программы "Лаборатории Касперского".	Популярность – количество случаев обнаружения имени файла экспертными системами "Лаборатории Касперского". Имя файла – имя анализируемого файла.

Вкладка Скачивания

Информация о веб-адресах, с которых был скачан файл

Название таблицы	Описание	Поля таблицы
Веб-адреса и домены, с которых был скачан файл	Веб-адреса и домены, с которых был скачан анализируемый файл.	Статус – статус веб-адресов или доменов, используемых для скачивания анализируемого файла. Веб-адрес – веб-адреса, используемые для скачивания анализируемого файла. Последнее скачивание – дата и время последнего скачивания анализируемого файла с веб-адреса/домена. Домен – верхнеуровневый домен веб-адреса, используемого для скачивания анализируемого файла. Количество IP-адресов – число IP-адресов, в которые разрешается домен.

Вкладка Веб-адрес

Информация о веб-адресах

Название таблицы	Описание	Поля таблицы
Веб-адреса, к которым обращался файл	Веб-адреса, к которым обращался анализируемый файл.	Статус – статус веб-адресов, к которым обращался файл. Веб-адрес – веб-адреса, к которым обращался анализируемый файл. Последний доступ – дата и время последнего обращения анализируемого файла к веб-адресу. Домен – верхнеуровневый домен веб-адреса, к которому обращался анализируемый файл. Количество IP-адресов – число IP-адресов, в которые разрешается домен.

Вкладка Запущенные объекты

Информация о запущенных объектах

Название таблицы	Описание	Поля таблицы
Объекты, запущенные файлом	Объекты, запущенные анализируемым файлом.	Статус – статус запущенных объектов. Популярность – количество запусков объекта анализируемым файлом, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш запущенного объекта. Расположение – корневая папка или диск на компьютерах пользователей, где находится запущенный объект. Локальный путь – путь к объекту на компьютерах пользователей. Имя файла – название запущенного объекта. Последний запуск – дата и время последнего запуска объекта анализируемым файлом. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).
Объекты, которые запускали файл	Объекты, которые запускали анализируемый файл.	Статус – статус объектов, запустивших анализируемый файл. Популярность – количество запусков анализируемого файла, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш объекта, запустившего анализируемый файл. Расположение – корневая папка или диск на компьютерах пользователей, где находится объект. Локальный путь – путь к объекту на компьютерах пользователей. Имя файла – название объекта, запустившего анализируемый файл. Последний запуск – дата и время последнего запуска анализируемого файла. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

Вкладка Скачанные объекты

Информация о скачанных объектах

Название таблицы	Описание	Поля таблицы
Объекты, скачанные файлом	Объекты, скачанные анализируемым файлом.	Статус – статус скачанных объектов. Популярность – количество скачиваний объекта, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш скачанного объекта. Расположение – корневая папка или диск на компьютерах пользователей, где находится скачанный объект. Локальный путь – путь к скачанному объекту на компьютерах пользователей. Имя файла – имя скачанного объекта. Последнее скачивание – дата и время последнего скачивания объекта анализируемым файлом. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).
Объекты, которые скачивали файл	Объекты, которые скачивали анализируемый файл.	Статус – статус объектов, скачавших анализируемый файл. Популярность – количество скачиваний анализируемого файла, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш объекта, скачавшего анализируемый файл. Расположение – корневая папка или диск на компьютерах пользователей, где находится объект. Имя файла – название объекта, скачавшего анализируемый файл. Локальный путь – путь к объекту на компьютерах пользователей. Последнее скачивание – дата и время последнего скачивания анализируемого файла. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

В начало

[Topic IPaddressReport]

Отчет о результатах анализа IP-адреса

После обработки запроса об IP-адресе на странице отчета отображаются результаты анализа.

В зависимости от зоны IP-адреса, IP-адрес и его статус (Опасный объект, Недоверенный, Безопасный, Рекламные и другие программы или Не определено) отображаются в панели одним из следующих цветов:

• Красный – IP-адрес содержит вредоносные объекты и может быть классифицирован как Опасный объект.
• Оранжевый – IP-адрес может быть классифицирован как Недоверенный и содержать вредоносные объекты.
• Желтый – IP-адрес классифицируется как Рекламные и другие программы (рекламные программы, программы для взрослых или прочие программы).
• Серый – для IP-адреса нет данных.
• Зеленый – IP-адрес не проявляет вредоносную активность.

Также отображается флаг страны, которой принадлежит запрашиваемый IP-адрес. При наведении указателя мыши на флаг появляется подсказка с названием страны. Для зарезервированных IP-адресов отображается перечеркнутый флаг () и подсказка Зарезервированный IP-адрес. Для IP-адресов, не принадлежащих ни одной стране, отображается флаг со знаком вопроса () и подсказка Нет данных.

Страница отчета содержит следующие данные:

• Обзор – общая информация о запрашиваемом IP-адресе.
• Карта – мировая карта киберугроз, где подсвечивается страна, к которой относится запрашиваемый IP-адрес.
• WHOIS – данные WHOIS о запрашиваемом IP-адресе.
• Премиум-содержимое – информация о запрашиваемом IP-адресе, содержащаяся в разделах, которые отображаются размыто. Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.

В начало

[Topic OverviewIP]

Обзор информации об IP-адресе

В Kaspersky Threat Intelligence Portal отображается следующая общая информация об анализируемых IP-адресах:

Общая информация об IP-адресах

Имя поля	Описание
Популярность	Количество обращений к IP-адресу. Количество срабатываний для запрошенного IP-адреса. Значение округляется до ближайшей степени 10.
Первое обнаружение	Дата и время, когда запрашиваемый IP-адрес впервые появился в статистических данных экспертных систем "Лаборатории Касперского" согласно часовому поясу компьютера.
Создан	Дата создания IP-адреса.
Обновлен	Дата последнего обновления информации об IP-адресе.
Категории	Категории запрашиваемого IP-адреса. Если IP-адрес не относится ни к одной из заданных категорий, отображается Общая категория.

В начало

[Topic Geography]

Карта

Kaspersky Threat Intelligence Portal отображает мировую карту киберугроз и подсвечивает страну, к которой относится запрашиваемый IP-адрес.

Карта киберугроз отображается только для IP-адресов, принадлежащих одной известной стране. Кроме того, карта не отображается, если IP-адрес принадлежит зарезервированному диапазону.

В начало

[Topic WHOIS]

WHOIS

Kaspersky Threat Intelligence Portal предоставляет информацию WHOIS для запрашиваемого IP-адреса.

Информация WHOIS для IP-адреса

Имя поля	Описание
Диапазон IP-адресов	Диапазон IP-адресов в сети, к которой принадлежит запрашиваемый IP-адрес.
Название сети	Название сети, к которой принадлежит запрашиваемый IP-адрес.
Описание сети	Описание сети, к которой принадлежит запрашиваемый IP-адрес.
Создан	Дата создания IP-адреса.
Изменен	Дата последнего обновления информации об IP-адресе.
Описание AS	Описание автономной системы.
ASN	Номер автономной системы.

В начало

[Topic PremiumAccessIP]

Информация, доступная пользователям с премиум-доступом

Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом IP-адресе, если она доступна.

Вкладка DNS-разрешения

Информация о DNS-разрешениях

Название таблицы	Описание	Поля таблицы
DNS-разрешения IP-адреса	Данные pDNS для запрашиваемого IP-адреса.	Статус – статус доменов. Популярность – количество разрешений домена в запрашиваемый IP-адрес. Домен – домен, который разрешается в IP-адрес. Первое разрешение – дата и время, когда домен был разрешен в запрашиваемый IP-адрес впервые. Последнее разрешение – дата и время, когда домен был разрешен в запрашиваемый IP-адрес в последний раз. Дата пиковой нагрузки – дата, когда имело место максимальное количество разрешений домена в запрашиваемый IP-адрес. Максимум (в сутки) – максимальное количество разрешений домена в запрашиваемый IP-адрес за сутки.

Вкладка Связанные файлы

Информация о связанных файлах

Название таблицы	Описание	Поля таблицы
Файлы, связанные с IP-адресом	MD5-хеши файлов, скачанных с веб-адресов, содержащих домены, которые соответствуют запрашиваемому IP-адресу.	Статус – статус скачанных файлов. Популярность – количество загрузок файла с запрашиваемого IP-адреса, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш скачанного файла. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Веб-адрес – веб-адреса, используемые для скачивания файла. Последнее обнаружение – дата и время последнего скачивания файла с запрашиваемого IP-адреса. Первое обнаружение – дата и время первого скачивания файла с запрашиваемого IP-адреса.

Вкладка Размещенные веб-адреса

Информация о размещенных веб-адресах

Название таблицы	Описание	Поля таблицы
Размещенные веб-адреса	Веб-адреса домена, который соответствует запрашиваемому IP-адресу.	Статус – статус веб-адресов и доменов. Популярность – количество случаев обнаружения веб-адреса экспертными системами "Лаборатории Касперского". Веб-адрес – обнаруженный веб-адрес. Первое обнаружение – дата и время первого обнаружения веб-адреса. Последнее обнаружение – дата и время последнего обнаружения веб-адреса.

Вкладка Маски веб-адресов

Информация о масках веб-адресов

Название таблицы	Описание	Поля таблицы
Маски веб-адресов	Маски адресов, обнаруженных экспертными системами "Лаборатории Касперского", которые содержат IP-адреса и веб-адреса домена, разрешаемого в запрашиваемый IP-адрес.	Статус – статус веб-адресов, описываемых соответствующей маской (Опасный объект, Рекламные и другие программы). Тип – тип маски. Маска – маска веб-адреса. Потоки данных – потоки данных о киберугрозах, содержащие маску веб-адреса.

В начало

[Topic DomainURLReport]

Отчет о результатах анализа доменов и веб-адресов

После обработки запроса на анализ домена или веб-адреса на странице отчета отображаются результаты анализа.

Отчет о результатах анализа домена аналогичен отчету о результатах анализа веб-адреса.

В мобильной версии Kaspersky Threat Intelligence Portal для доменов и веб-адресов доступны только следующие разделы: Обзор, WHOIS, Результаты динамического анализа и Детектируемые объекты. Для просмотра полного отчета можно использовать десктопную версию.

В зависимости от зоны домена или веб-адреса, запрашиваемый объект и его статус (Опасный объект, Рекламные и другие программы, Безопасный, Недоверенный или Не определено) отображаются в панели одним из следующих цветов:

• Красный – существуют вредоносные объекты, связанные с доменом или веб-адресом.
• Оранжевый – домен или веб-адрес может быть классифицирован как Недоверенный и содержать вредоносные объекты.
• Желтый – существуют объекты, связанные с доменом или веб-адресом, которые могут быть классифицированы как Not-a-virus.
• Серый – нет данных о домене или веб-адресе.
• Зеленый – домен или веб-адрес не может быть классифицирован как Опасный объект.

Страница отчета содержит следующие данные:

• Обзор – общая информация о запрашиваемом домене или веб-адресе.
• WHOIS – данные WHOIS о запрашиваемом домене или веб-адресе.
• Премиум-содержимое – разделы с дополнительной информацией о запрашиваемом домене или веб-адресе (отображается размыто). Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.

Следующие вкладки доступны, если ранее выполнялся анализ веб-адреса в Kaspersky Sandbox:

• Детектируемые объекты – обнаруженные элементы, зарегистрированные во время анализа веб-адресов.
• Сработавшие сетевые правила – правила SNORT и Suricata, сработавшие во время анализа трафика с веб-адресов.
• Подключенные хосты – IP-адреса, к которым осуществлялся доступ во всех HTTP- и HTTPS-запросах после разрешения полного доменного имени.
• Подозрительные действия – подозрительные действия, зарегистрированные во время анализа веб-адресов.
• HTTP(S)-запросы – HTTP- и HTTPS-запросы, зарегистрированные во время анализа веб-адресов.
• DNS-запросы – DNS-запросы, зарегистрированные во время анализа веб-адресов.
• Снимки экрана – набор снимков экрана, которые были сделаны во время анализа веб-адресов.

В начало

[Topic OverviewDomainWebAddress]

Обзор информации о домене или веб-адресе

В Kaspersky Threat Intelligence Portal отображается следующая общая информация об анализируемых доменах и веб-адресах:

Общая информация о доменах и веб-адресах

Имя поля	Описание
Количество IPv4-адресов	Количество известных IP-адресов, которым соответствует запрашиваемый домен или веб-адрес.
Количество файлов	Количество известных вредоносных файлов, связанных с запрашиваемым веб-адресом.
Создан	Дата создания запрашиваемого домена или веб-адреса.
Оплачен до	Дата окончания срока действия запрашиваемого домена или веб-адреса.
Категории	Категории запрашиваемого домена или веб-адреса. Если домен или веб-адрес не относится ни к одной из заданных категорий, отображается Общая категория.

В начало

[Topic WHOISdomain]

WHOIS

Kaspersky Threat Intelligence Portal предоставляет данные WHOIS о хосте запрашиваемого веб-адреса.

Хост может указываться полным доменным именем (FQDN) или IP-адресом в десятичном формате с точкой в качестве разделителя.

Kaspersky Threat Intelligence Portal не обрабатывает веб-адреса, если в качестве хоста указан локальный, частный или служебный IP-адрес. В этом случае результаты анализа следует интерпретировать с осторожностью.

Хост, указанный полным доменным именем

Раздел WHOIS для хоста, указанного полным доменным именем

Имя поля	Описание
Имя домена	Имя домена для анализируемого веб-адреса.
Статус домена	Статус домена для анализируемого веб-адреса.
Создан	Дата регистрации домена для анализируемого веб-адреса.
Обновлен	Дата последнего обновления регистрационных данных домена для анализируемого веб-адреса.
Оплачен до	Дата окончания предоплаченного срока действия для зарегистрированного домена.
Информация о регистраторе	Имя регистратора домена для анализируемого веб-адреса.
IANA ID	IANA ID регистратора домена.
Сервер доменных имен	Список серверов доменных имен для анализируемого веб-адреса.

Хост, указанный IP-адресом

Раздел WHOIS для хоста, указанного IP-адресом

Имя поля	Описание
Диапазон IP-адресов	Диапазон IP-адресов в сети, к которой принадлежит хост. Также отображается флаг страны, к которой принадлежит IP-адрес. При наведении указателя мыши на флаг появляется подсказка с названием страны.
Название сети	Название сети, к которой принадлежит IP-адрес.
Описание сети	Описание сети, к которой принадлежит IP-адрес.
Создан	Дата создания IP-адреса.
Обновлен	Дата последнего обновления информации об IP-адресе.
Описание AS	Описание автономной системы.
ASN	Номер автономной системы в соответствии с протоколами RFC 1771 и RFC 4893.

В начало

[Topic PremiumAccessDomainURL]

Информация, доступная пользователям с премиум-доступом

Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом домене или веб-адресе, если она доступна.

Вкладка DNS-разрешения

Информация о DNS-разрешениях

Название таблицы	Описание	Поля таблицы
DNS-разрешения домена/веб-адреса	IP-адреса, которым соответствует запрашиваемый домен или веб-адрес.	Статус – статус IP-адреса. Оценка угрозы – вероятность того, что IP-адрес является опасным (от 0 до 100). Популярность – количество случаев обнаружения IP-адреса экспертными системами "Лаборатории Касперского". IP-адрес – IP-адреса. Первое разрешение – дата и время, когда запрашиваемый домен / веб-адрес был разрешен в IP-адрес впервые. Последнее разрешение – дата и время, когда запрашиваемый домен / веб-адрес был разрешен в IP-адрес в последний раз. Дата пиковой нагрузки – дата, когда имело место максимальное количество разрешений запрашиваемого домена / веб-адреса в IP-адрес. Максимум (в сутки) – максимальное количество разрешений запрашиваемого домена / веб-адреса в IP-адрес за сутки.

Вкладка Скачанные файлы

Информация о скачанных файлах

Название таблицы	Описание	Поля таблицы
Веб-адреса и домены, с которых был скачан файл	MD5-хеши файлов, скачанных с запрашиваемого домена или веб-адреса.	Статус – статус скачанных файлов. Популярность – количество скачиваний файла с запрашиваемого домена / веб-адреса, обнаруженное экспертными системами "Лаборатории Касперского". MD5 файла – MD5-хеш скачанного файла. Последнее обнаружение – дата и время последнего скачивания файла с запрашиваемого домена / веб-адреса. Первое обнаружение – дата и время первого скачивания файла с запрашиваемого домена / веб-адреса. Веб-адрес – веб-адреса, используемые для скачивания файла. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

Вкладка Файлы, к которым осуществлялся доступ

Информация о файлах, к которым осуществлялся доступ

Название таблицы	Описание	Поля таблицы
Веб-адреса, к которым обращался файл	MD5-хеши файлов, обращавшихся к запрашиваемому домену или веб-адресу.	Статус – статус файлов, обращавшихся к запрашиваемому домену или веб-адресу. Популярность – количество обращений файла к запрашиваемому домену / веб-адресу. MD5 файла – MD5-хеш файла, обращавшегося к запрашиваемому домену или веб-адресу. Последнее обнаружение – дата и время последнего обращения файла к запрашиваемому домену / веб-адресу. Первое обнаружение – дата и время первого обращения файла к запрашиваемому домену / веб-адресу. Детектируемый объект – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

Вкладка Поддомены

Информация о поддоменах

Название таблицы	Описание	Поля таблицы
Поддомены	Поддомены запрашиваемых доменов.	Статус – статус поддоменов. Имя поддомена – имя обнаруженного поддомена. Количество веб-адресов – количество веб-адресов, относящихся к поддомену. Размещено файлов – количество файлов, размещенных в обнаруженном поддомене. Первое обнаружение – дата и время первого обнаружения поддомена.

Вкладка Реферальные ссылки

Информация о реферальных ссылках

Название таблицы	Описание	Поля таблицы
Веб-адреса, которые ссылаются на домен	Веб-адреса, ссылающиеся на запрашиваемый домен или веб-адрес.	Статус – статус веб-адресов, ссылающихся на запрашиваемый домен или веб-адрес. Веб-адрес – веб-адрес, ссылающийся на запрашиваемый домен или веб-адрес. Последнее обращение – дата и время, когда на запрашиваемый домен / веб-адрес в последний раз ссылались указанные веб-адреса.

Вкладка Реферальные ссылки на домен

Информация о реферальных ссылках на домен

Название таблицы	Описание	Поля таблицы
Адреса, на которые ссылается домен	Веб-адреса, на которые ссылается или перенаправляет запрашиваемый домен.	Статус – статус веб-адресов, на которые ссылается или перенаправляет запрошенный домен. Веб-адрес – веб-адрес, к которому обращается запрашиваемый домен. Последнее обращение – дата и время, когда запрашиваемый домен в последний раз сослался или перенаправил на указанные веб-адреса.

Вкладка Маски веб-адресов

Информация о масках веб-адресов

Название таблицы	Описание	Поля таблицы
Маски веб-адресов	Маски домена запрашиваемого веб-адреса, обнаруженные экспертными системами "Лаборатории Касперского".	Статус – статус веб-адресов, описываемых соответствующей маской (Опасный объект, Рекламные и другие программы). Тип – тип маски. Маска – маска запрашиваемого домена / веб-адреса. Потоки данных – потоки данных о киберугрозах, содержащие маску запрашиваемого домена.

В начало

[Topic AboutZones]

О зонах и статусах

Все исследуемые объекты распределяются по зонам. Зона указывает на уровень опасности объекта. Все объекты, связанные с исследуемым объектом, распределяются по собственным зонам. Их зоны могут не совпадать с зоной проанализированного объекта.

Список зон является общим для всех типов объектов, но не все зоны могут применяться к любым типам объектов.

Каждый тип объектов имеет собственный набор статусов, наиболее точно описывающий уровень опасности объектов этого типа.

Взаимосвязь зон и статусов для всех типов объектов приведена в таблице.

Зоны и статусы

Зона	Уровень опасности	Статус хеша	Статус IP-адреса	Статус домена	Статус веб-адреса
Красная	Высокий	Вредоносная программа	Опасный объект	Опасный объект	Опасный объект
Оранжевая	Средний	н. п.*	Недоверенный	Недоверенный	Недоверенный
Желтая	Средний	Рекламные и другие программы	Рекламные и другие программы	Рекламные и другие программы	Рекламные и другие программы
Серая	Инфо	Не определено	Не определено	Не определено	Не определено
Зеленая	Низкий	Безопасный объект / Угрозы не обнаружены	Безопасный / Угрозы не обнаружены	Безопасный / Угрозы не обнаружены	Безопасный / Угрозы не обнаружены

* н. п. – не применимо

В начало

[Topic WebAddressAnalysis]

Анализ веб-адресов

В этом разделе описано, как можно выполнить эмуляцию открытия веб-адреса в безопасной среде, изолированной от корпоративной сети. Также описаны результаты анализа веб-адресов, доступные на портале Kaspersky Threat Intelligence Portal.

Анализ веб-адресов доступен только зарегистрированным пользователям.

В этом разделе Запуск анализа веб-адресов Отчет о веб-адресах

В начало

[Topic StartingURLbrowse]

Запуск анализа веб-адресов

Перед отправкой веб-адреса на анализ необходимо зарегистрироваться на портале Kaspersky Threat Intelligence Portal.

Отправляя веб-адрес в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности.

Чтобы выполнить анализ веб-адреса, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В разделе Анализ () на вкладке Анализ веб-адресов введите требуемый веб-адрес в поле Введите ваш запрос.
3. Если хотите указать регион сетевого канала, который веб-адрес использует для доступа в интернет, нажмите на значок и в раскрывающемся списке Доступ в интернет выберите нужный регион.

   Доступные значения:

   • Автоматический выбор – автоматически выбранный интернет-канал. Интернет-канал принадлежит любому региону и не направляет трафик через сеть TOR. Если нет доступных регионов, выбирается Tarpit.
   • TOR – интернет-канал не принадлежит ни одному региону и направляет трафик через сеть TOR.
   • Tarpit – доступ к интернету эмулируется. Этот вариант используется, когда интернет недоступен или анализируемый объект не должен иметь доступа в интернет.
   • Страны и регионы (например, AU, DE). Список каналов по странам не фиксирован и может быть изменен.

   По умолчанию выбрано значение Автоматический выбор.

   Список доступных регионов может содержать отдельные страны, через которые веб-адрес может получить доступ к интернету.

4. При необходимости вы можете удалить введенный веб-адрес, нажав .
5. Нажмите на клавишу Enter.

Эмуляция просмотра отправленных на анализ веб-адресов выполняется в соответствии с параметрами, описанными в следующей таблице:

Параметры эмуляции просмотра веб-адресов

Параметр	Значение	Комментарий
Среда выполнения	Microsoft Windows 10 x64.	Операционная система, в которой выполняется просмотр веб-адреса.
Время выполнения	100 секунд	Время эмуляции просмотра веб-адреса (в секундах).
HTTPS-трафик	Расшифрованный	HTTPS-трафик, сформированный при просмотре веб-адреса, расшифрован.
Интернет-канал	Автоматический выбор	Автоматически выбираемый интернет-канал, принадлежащий любому региону и не направляющий трафик через сеть TOR.

В начало

[Topic WebAddressReport]

Отчет о веб-адресах

После выполнения эмуляции открытия веб-адреса на странице отчета отображаются результаты анализа.

В зависимости от зоны веб-адреса, его статус (Опасный объект, Рекламные и другие программы, Безопасный или Не определено) отображается в панели одним из следующих цветов:

• Красный – существуют вредоносные объекты, связанные с веб-адресом.
• Оранжевый – веб-адрес может быть классифицирован как Недоверенный и содержать вредоносные объекты.
• Желтый – с веб-адресом связаны объекты, которые могут быть классифицированы как Not-a-virus.
• Серый – нет данных о веб-адресе.
• Зеленый – веб-адрес не может быть классифицирован как Опасный объект.

Страница отчета содержит следующие данные:

• Обзор – общая информация о запрашиваемом веб-адресе.
• Результаты динамического анализа – статистическая информация об анализируемом веб-адресе.
• WHOIS – данные WHOIS об анализируемом или веб-адресе.
• Детектируемые объекты – обнаруженные элементы, зарегистрированные во время анализа веб-адресов.
• Сработавшие сетевые правила – правила SNORT и Suricata, сработавшие во время анализа трафика с веб-адресов.
• Подключенные хосты – IP-адреса, к которым осуществлялся доступ во всех HTTP- и HTTPS-запросах после разрешения полного доменного имени.
• Подозрительные действия – подозрительные действия, зарегистрированные во время анализа веб-адресов.
• HTTP(S)-запросы – HTTP- и HTTPS-запросы, зарегистрированные во время анализа веб-адресов.
• DNS-запросы – DNS-запросы, зарегистрированные во время анализа веб-адресов.
• Снимки экрана – набор снимков экрана, которые были сделаны во время анализа веб-адресов.
• Премиум-содержимое – разделы с дополнительной информацией об анализируемом веб-адресе (отображается размыто). Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.

В начало

[Topic OverviewWebAddress]

Обзор информации о веб-адресах

В Kaspersky Threat Intelligence Portal отображается следующая общая информация об анализируемых веб-адресах:

Общая информация о веб-адресах

Имя поля	Описание
Количество IPv4-адресов	Количество известных IP-адресов, в которые разрешается анализируемый веб-адрес.
Количество файлов	Количество известных вредоносных файлов, связанных с анализируемым веб-адресом.
Количество веб-адресов	Количество известных вредоносных веб-адресов, связанных с анализируемым объектом.
Популярность	Количество обращений к запрашиваемому веб-адресу, обнаруженных экспертными системами "Лаборатории Касперского".
Создан	Дата создания анализируемого веб-адреса.
Оплачен до	Дата окончания срока действия анализируемого веб-адреса.
Домен	Имя домена верхнего уровня.
Регистрирующая организация	Имя регистрирующей организации.
Имя регистратора	Имя регистратора доменного имени.
Категории	Категории анализируемого веб-адреса. Если веб-адрес не относится ни к одной из определенных категорий, отображается Общая категория.

В начало

[Topic Summary]

Результаты динамического анализа

Kaspersky Threat Intelligence Portal предоставляет следующую графическую информацию об обнаруженных объектах, зарегистрированных IP-адресах, извлеченных файлах и сетевых взаимодействиях, обнаруженных во время анализа веб-адресов:

Результаты динамического анализа веб-адреса

Название графика	Описание
Детектируемые объекты	Общее количество объектов, обнаруженных во время анализа веб-адресов, и доля объектов со статусами Вредоносная программа (красный) и Рекламные и другие программы (желтый).
Подключенные хосты	Общее количество уникальных IP-адресов, связанных с анализируемым веб-адресом, и доля IP-адресов со статусом Опасный объект (красный), Недоверенный (оранжевый), Безопасный (зеленый) или Не определено (для классификации нет или недостаточно данных об IP-адресе, серый).
Извлеченные файлы	Общее количество файлов, переданных или измененных в процессе анализа, а также доля файлов со статусом Вредоносная программа (извлеченные файлы, которые могут быть классифицированы как вредоносные, отмечены красным), Рекламные и другие программы (извлеченные файлы, которые могут быть классифицированы как Not-a-virus, отмечены желтым), Безопасный объект (извлеченные файлы, которые могут быть классифицированы как не являющиеся вредоносными, отмечены зеленым) и Не определено (для классификации нет или недостаточно данных об извлеченных файлах, отмечены серым).
Действия в сети	Общее количество зарегистрированных действий в сети, выполненных в процессе анализа, и доля сетевых взаимодействий со статусом Опасный объект (запросы к ресурсам со статусом Опасный объект, отмечены красным), Рекламные и другие программы (запросы к ресурсам со статусом Рекламные и другие программы, отмечены желтым), Безопасный (запросы к ресурсам со статусом Безопасный, отмечены зеленым) и Не определено (запросы к ресурсам со статусом Не определено, отмечены серым).

В начало

[Topic WHOISWebAddress]

WHOIS

Kaspersky Threat Intelligence Portal предоставляет данные WHOIS о хосте анализируемого веб-адреса.

Хост может указываться полным доменным именем (FQDN) или IP-адресом в десятичном формате с точкой в качестве разделителя.

Kaspersky Threat Intelligence Portal не обрабатывает веб-адреса, если в качестве хоста указан локальный, частный или служебный IP-адрес. В этом случае результаты следует интерпретировать с осторожностью.

Хост, указанный полным доменным именем

Раздел WHOIS для хоста, указанного полным доменным именем

Имя поля	Описание
Имя домена	Имя домена для анализируемого веб-адреса.
Статус домена	Статус домена для анализируемого веб-адреса.
Создан	Дата регистрации домена для анализируемого веб-адреса.
Обновлен	Дата последнего обновления регистрационных данных домена для анализируемого веб-адреса.
Оплачен до	Дата окончания предоплаченного срока действия для зарегистрированного домена.
Информация о регистраторе	Имя регистратора домена для анализируемого веб-адреса.
IANA ID	IANA ID регистратора домена.
Сервер доменных имен	Список серверов доменных имен для анализируемого веб-адреса.

Хост, указанный IP-адресом

Раздел WHOIS для хоста, указанного IP-адресом

Имя поля	Описание
Диапазон IP-адресов	Диапазон IP-адресов в сети, к которой принадлежит хост. Также отображается флаг страны, которой принадлежит IP-адрес. При наведении указателя мыши на флаг появляется подсказка с названием страны.
Название сети	Название сети, к которой принадлежит IP-адрес.
Описание сети	Описание сети, к которой принадлежит IP-адрес.
Создан	Дата создания IP-адреса.
Обновлен	Дата последнего обновления информации об IP-адресе.
Описание AS	Описание автономной системы.
ASN	Номер автономной системы в соответствии с протоколами RFC 1771 и RFC 4893.

В начало

[Topic DetectionNamesURL]

Детектируемые объекты

Kaspersky Threat Intelligence Portal предоставляет информацию о найденных объектах, зарегистрированных при анализе веб-адресов.

Детектируемые объекты

Имя поля	Описание
Статус	Зона, или уровень, которому соответствует опасность угрозы (Высокий уровень опасности, Средний уровень опасности, Низкий уровень опасности, Инфо).
Имя	Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского".

В начало

[Topic TriggeredIDSrules]

Сработавшие сетевые правила

Kaspersky Threat Intelligence Portal предоставляет информацию о правилах SNORT и Suricata, сработавших во время анализа трафика из веб-адресов.

Сработавшие сетевые правила

Имя поля	Описание
Статус	Зона (уровень) опасности сетевого трафика, обнаруженного правилом SNORT или Suricata (Высокий уровень опасности, Средний уровень опасности, Низкий уровень опасности, Инфо).
Правило	Имя правила SNORT или Suricata.

В начало

[Topic ConnectedHosts]

Подключенные хосты

Kaspersky Threat Intelligence Portal предоставляет информацию об IP-адресах, к которым осуществлялись обращения во всех HTTP(S)-запросах после разрешения полного доменного имени.

Подключенные хосты

Имя поля	Описание
Статус	Статус (уровень опасности) IP-адресов, в которые разрешается домен запрошенного веб-адреса (Опасный объект, Недоверенный, Не определено, Безопасный).
IP-адрес	IP-адрес, в который разрешается домен из столбца Разрешено из домена этой таблицы. Отображается флаг страны, которой принадлежит IP-адрес. При наведении курсора мыши на флаг появляется подсказка с названием страны.
ASN	Номер автономной системы в соответствии с протоколами RFC 1771 и RFC 4893.
Разрешено из домена	Полное доменное имя, которое разрешается в IP-адрес из столбца IP-адрес в этой таблице.

В начало

[Topic SuspiciousActivities]

Подозрительные действия

Kaspersky Threat Intelligence Portal предоставляет информацию об опасных действиях, зарегистрированных во время анализа веб-адресов.

Подозрительные действия

Имя поля	Описание
Статус	Зона (уровень) опасности зарегистрированного действия (Высокий уровень опасности, Средний уровень опасности, Низкий уровень опасности).
Критичность	Числовое значение уровня опасности зарегистрированного действия (целое число 1–999).
Описание	Описание подозрительного действия. Например, "Исполняемый файл получил права", "Файл был изменен и исполнен" или "Процесс внедрил двоичный код в другой процесс". Некоторые описания содержат коды по классификации угроз MITRE ATT&CK™. Например, "MITRE: T1082 System Information Discovery – Обнаружение системных данных".

В начало

[Topic HTTPrequests]

HTTP(S)-запросы

Kaspersky Threat Intelligence Portal предоставляет информацию об HTTP- и HTTPS-запросах, зарегистрированных во время анализа веб-адресов.

HTTP(S)-запросы

Имя поля	Описание
Статус	Статус веб-адреса в HTTP- или HTTPS-запросе.
Схема	Схема веб-адреса, определяющая используемый протокол (HTTP или HTTPS).
Веб-адрес	Веб-адрес, запрос к которому был зарегистрирован.
IP-адрес	IP-адрес хоста.
Запрос	Данные о HTTP- или HTTPS-запросе.
Ответ	Данные о HTTP- или HTTPS-ответе.

В начало

[Topic DNSrequests]

DNS-запросы

Kaspersky Threat Intelligence Portal предоставляет информацию о DNS-запросах, зарегистрированных во время анализа веб-адресов.

DNS-запросы

Имя поля	Описание
Тип	Тип DNS-запроса.
Запрос	Содержимое DNS-запроса.
Ответ	Ответ на DNS-запрос.

В начало

[Topic Screenshots]

Снимки экрана

Kaspersky Threat Intelligence Portal предоставляет снимки экрана, сделанные при просмотре веб-адресов.

В начало

[Topic ViewPublicRequests]

Просмотр результатов публичных запросов

Kaspersky Threat Intelligence Portal позволяет просматривать публичные запросы – поисковые запросы, выполненные другими пользователями.

Чтобы просмотреть результаты публичных запросов, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В разделе Запросы () выберите вкладку Публичные запросы.

   Откроется таблица Публичные запросы.

3. Нажмите на требуемый элемент (хеш, IP-адрес или домен) в таблице и в раскрывающемся меню выберите пункт Показать отчет.

   Откроется страница отчета для выбранного объекта.

   В этой версии Kaspersky Threat Intelligence Portal отображается только общая информация об анализируемых объектах. Некоторые разделы содержат данные, отображающиеся размыто (например, раздел DNS-разрешения IP-адреса на странице отчета для IP-адреса). Для просмотра полного отчета о результатах анализа необходим премиум-доступ к Kaspersky Threat Intelligence Portal.

См. также: Отчет о результатах анализа доменов и веб-адресов Отчет о результатах анализа IP-адреса Лицензирование

В начало

[Topic PrivateRequests]

Частные запросы

Kaspersky Threat Intelligence Portal позволяет отправлять объекты на анализ в частном порядке. Результаты частных запросов не отображаются на вкладке Публичные запросы в разделе Запросы. Частные запросы доступны зарегистрированным пользователям на вкладке Мои запросы.

Но если объект, отправленный на анализ в частном порядке, также когда-либо был отправлен на анализ публично вами или другим пользователем, результаты анализа этого объекта будут добавлены на вкладку Публичные запросы и станут доступны всем пользователям Kaspersky Threat Intelligence Portal.

Если вы отправили файл на анализ в частном порядке, его хеш не включается в список публичных запросов, но результаты анализа в песочнице будут доступны всем пользователям, которые ищут хеш этого файла.

На вкладке Мои запросы отображаются результаты ваших последних 100 запросов (как частных, так и общедоступных), включая следующие:

• анализ файлов в песочнице;
• анализ веб-адресов в песочнице;
• поисковые запросы для хешей, IP-адресов, доменов и веб-адресов;
• запросы API.

Также отображается информация об объектах, которым присвоен статус Не определено.

Элементы на вкладке Мои запросы отсортированы в порядке убывания даты.

Вы можете щелкнуть элемент в таблице и скопировать его в буфер обмена (пункт Копировать в раскрывающемся меню) или просмотреть результаты анализа и поиска (пункт Показать отчет в раскрывающемся меню).

В этом разделе Отправка частных запросов Просмотр результатов частных запросов

В начало

[Topic SubmitPrivateRequests]

Отправка частных запросов

Чтобы отправить частный запрос,

перед отправкой файла на анализ или перед выполнением поискового запроса установите флажок Частный запрос.

Результаты запроса отобразятся на вкладке Мои запросы. Эта вкладка доступна только для зарегистрированных пользователей.

В начало

[Topic ViewingMyRequests]

Просмотр результатов частных запросов

Просмотр истории результатов частных запросов доступен только зарегистрированным пользователям.

Чтобы просмотреть результаты ваших частных запросов, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Убедитесь, что вы вошли в систему с помощью учетной записи Kaspersky Account.
3. В разделе Запросы () выберите вкладку Мои запросы.

   Откроется таблица Мои запросы. Для каждого элемента отображается следующая информация:

   • Статус – статус объекта (например, Вредоносная программа). Значок и цвет отображаемого статуса соответствуют зоне объекта.
   • Тип – тип запрошенного объекта (например, домен).
   • Запрос – запрос в нормализованной форме. Для файлов отображаются их хеши, а не имена.
4. Нажмите на требуемый элемент (хеш, IP-адрес или домен) в таблице и в раскрывающемся меню выберите пункт Показать отчет.

   Откроется страница отчета для выбранного объекта.

В начало

[Topic AdditionalAnalysis]

Отправка объектов на повторную проверку

Kaspersky Threat Intelligence Portal позволяет отправлять объекты (хеши, IP-адреса, веб-адреса и домены) экспертам "Лаборатории Касперского" для повторной проверки результатов анализа, если вы не согласны с результатами проверки.

Вы можете отправить файлы и хеши ранее отправленных файлов на повторную проверку, только если анализ этих объектов ранее выполнялся в песочнице Kaspersky Threat Intelligence Portal.

Чтобы отправить объект на дополнительный анализ, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В разделе Запросы () выберите вкладку Публичные запросы или вкладку Мои запросы (если она доступна).

   Откроется таблица с результатами запросов.

3. Нажмите на требуемый элемент (хеш, IP-адрес, веб-адрес или домен) в таблице и в раскрывающемся меню выберите пункт Показать отчет.

   Откроется страница отчета для выбранного объекта.

4. Нажмите на кнопку Отправить для повторного анализа.

   Эта кнопка появится на странице Отчет для анализируемого файла после завершения анализа.

5. В открывшемся окне укажите адрес электронной почты, чтобы эксперты "Лаборатории Касперского" могли связаться с вами.
6. При необходимости в поле Комментарий укажите причину отправки объекта на повторную проверку или введите любой другой комментарий.

   Длина комментария не должна превышать 2000 символов.

7. Нажмите на кнопку Отправить.

   Если вы отправляете на повторную проверку более 10 объектов в течение 24 часов, используя свою учетную запись, тест CAPTCHA появляется для каждого последующего запроса на отправку.

В начало

[Topic CoverageMap]

Матрица покрытия

Матрица MITRE ATT&CK показывает покрытие техник решениями "Лаборатории Касперского". Покрытие считаем в двух разрезах:

• Глубина – насколько хорошо техника детектируется решением;
• Ширина – какая доля техник покрывается решениями с любым уровнем глубины.

Для каждого из способов учитываются две метрики:

1. Покрытие правилами – как много правил в решении позволяют обнаружить выполнение техники.
2. Оценка возможностей решения – насколько хорошо подходит решение для обнаружения техники.

Покрытие правилами

Количество правил может сильно отличаться как между решениями, так и между техниками, которые они покрывают. В разных случаях требуется разное количество правил, чтобы у конкретного решения была возможность определить все варианты покрытия той или иной техники. В некоторых ситуациях качественного преимущества множества правил над одним может не быть. Поэтому при расчете показателя мы учитываем не само число, а вычисляем глубину с учетом возможностей конкретного решения.

Оценка возможностей решения

Оценивает потенциал решения в определении конкретной техники с учетом его назначения, области видимости и функциональных особенностей. Например, для техники T1003 "OS Credential Dumping" (Получение дампа учетных данных) EDR имеет высокий потенциал благодаря тому, что отслеживает взаимодействие с процессами. У NDR потенциал определения той же техники ниже, так как его область видимости – сетевая активность.

Возможности решения по определению конкретной техники оцениваются в рамках шкалы:

• 0.0 – вне области видимости;
• 0.3 – минимальная видимость;
• 0.7 – частичная видимость;
• 1.0 – высокая видимость.

Особенности SIEM (KUMA)

При расчете предполагается, что логи от EDR, NDR и Sandbox не поступают в KUMA, чтобы отдельно показать вклад этих решений.

Покрытие в глубину

Итоговое значение рассчитывается из комбинации параметров по покрытию правилами и по оценке возможностей решения. К результату применяется нормализация и приведение к шкале от 0.0 до 1.0. Для визуализации конкретного уровня градиента, значение определяется умножением итогового результата на 8. Процент глубины показывает, насколько хорошо техники закрываются решением.

Покрытие в ширину

Ширина определяется, как бинарная оценка каждой техники. Если в решении есть хотя бы одно правило для определения техники, значение равно 1. Если ни одного правила нет – 0. Процент ширины показывает долю техник, для которых в решении есть правила.

На странице Матрица покрытия MITRE ATT&CK решениями "Лаборатории Касперского" вы можете проанализировать эффективность выбранных решений в обнаружении и покрытии конкретных техник, которые используют злоумышленники. Матрица MITRE ATT&CK содержит информацию об известных тактиках и техниках, а также их классификацию в рамках платформы. Тактика – цель, к которой стремится злоумышленник. Техника – действия, которые выполняет злоумышленник для достижения цели. Подтехника – метод, с помощью которого злоумышленник реализует конкретную технику.

В верхней части страницы отображается общий процент покрытия. Вы можете выбрать следующие решения "Лаборатории Касперского", чтобы узнать, как они противодействуют конкретным техникам:

• KUMA – Kaspersky Unified Monitoring and Analysis Platform (KUMA), центральный элемент вашей системы безопасности.
• NDR – Kaspersky Anti Targeted Attack (KATA), комплексное решение для защиты от сложных и целевых атак с технологиями NDR.
• Sandbox – Kaspersky Anti Targeted Attack (KATA), комплексное решение для защиты от сложных и целевых атак с компонентом Kaspersky Sandbox.
• EDR – Kaspersky EDR Expert, обеспечивающий эффективную защиту конечных устройств от сложных и целевых атак.

Когда вы впервые открываете страницу Матрица покрытия MITRE ATT&CK решениями "Лаборатории Касперского", по умолчанию выбраны все доступные решения и отображается максимальный процент покрытия. Отображение матрицы и процент покрытия обновляются в режиме реального времени на основе вашего выбора.

Вы можете нажать на решение, чтобы выбрать его или отменить выбор. Не выбранные решения отмечены значком ракеты (). Подбирая интересующие вас сочетания решений, вы можете моделировать различные сценарии безопасности и планировать защиту в соответствии с платформой MITRE ATT&CK.

В центре страницы расположено визуальное отображение матрицы MITRE ATT&CK. Каждая ячейка техники имеет цветовую кодировку, чтобы показать уровень покрытия (до 8) выбранными решениями.

Для каждой покрытой техники во всплывающих подсказках отображается следующая информация:

• Список решений, в которых есть технологии для выявления техники, и которые были выбраны в фильтре Решения.
• Список решений, которые не были выбраны в фильтре Решения, но в которых также есть технологии для обнаружения той или иной техники. При подключении этих решений уровень покрытия техники повысится.
• Для всех решений в подсказке выводится численное значение глубины, с которой решение покрывает технику. Это значение учитывает как технологии выявления техники решением, так и количество реализованных правил обнаружения.

В матрице MITRE ATT&CK вы можете выполнять следующие действия:

• Просмотреть дополнительную информацию о технике или подтехнике, нажав на значок .
• Просмотреть список подтехник для конкретной техники, нажав на значок . При этом также будет отображаться общее количество связанных подтехник и количество подтехник, покрываемых выбранными решениями "Лаборатории Касперского".
• Перейти на страницу с подробной информацией о тактике или технике, нажав на соответствующий элемент матрицы.
• Скрыть техники, не покрытые выбранными решениями "Лаборатории Касперского", нажав на значок , или отобразить все техники, нажав на значок .
• Развернуть подтехники, нажав на значок , или свернуть подтехники, нажав на значок .
• Просмотреть матрицу в полноэкранном режиме, нажав на значок .

Пользователи с премиум-доступом к Kaspersky Threat Intelligence Portal могут создать для своей организации ландшафт угроз, отображаемый в матрице MITRE ATT&CK. Вы можете запросить демонстрационный доступ к функции Ландшафта угроз, нажав на кнопку Разблокировать для вашей компании. Вы также можете посмотреть демонстрационный видеоролик о функции Ландшафт угроз в премиум-версии Kaspersky Threat Intelligence Portal, нажав на стрелку рядом с кнопкой и выбрав пункт Посмотреть демо.

В этом разделе Техники О Ландшафте угроз (премиум-доступ)

В начало

[Topic Techniques]

Техники

Страница Тактики содержит список тактик и общие сведения о них.

Вы можете развернуть элементы списка тактик, чтобы просмотреть связанные с ними техники и подтехники. Можно также использовать поле поиска, чтобы уточнить отображаемые результаты. Нажатие на любой элемент списка позволяет перейти на страницу этого элемента с подробной информацией.

Отображается следующая информация о тактике.

Тактики

Поле	Описание
ID	Идентификатор тактики согласно MITRE ATT&CK.
Название	Имя тактики. Элементы кликабельны и позволяют перейти на соответствующую страницу тактики.
Действие злоумышленника	Действие, которое пытается выполнить злоумышленник.
Дата создания	Дата добавления информации о тактике.
Дата обновления	Дата последнего изменения информации о тактике.

В этом разделе Сведения о тактике Сведения о технике Сведения о подтехнике

В начало

[Topic TacticDetails]

Сведения о тактике

На странице тактики отображается следующая информация.

Общие сведения

Поле	Описание
Описание	Подробное описание тактики.
ID	Идентификатор тактики согласно MITRE ATT&CK.
Дата создания	Дата добавления информации о тактике.
Дата обновления	Дата последнего изменения информации о тактике.
Техники	Число техник, относящихся к тактике.

Раздел Техники содержит следующую информацию.

Раздел "Техники"

Поле	Описание
ID	Идентификатор техники согласно MITRE ATT&CK. Вы можете нажать на значок для просмотра связанных подтехник.
Название	Имя техники согласно MITRE ATT&CK. Элементы кликабельны и позволяют перейти на страницу соответствующей техники.
Описание	Описание техники.

В начало

[Topic TechniqueDetails]

Сведения о технике

На странице "Техники" отображается следующая информация.

Общие сведения

Поле	Описание
Описание	Подробное описание техники.
ID	Идентификатор техники согласно MITRE ATT&CK.
Подтехники	Список подтехник, связанных с техникой. Элементы кликабельны и переместят вас на соответствующую страницу подтехники.
Тактики	Связанная тактика. Элемент кликабелен и перенаправляет на соответствующую страницу тактики.
Платформы	Операционная система или приложение злоумышленника.
Дата создания	Дата добавления информации о технике.
Дата обновления	Дата последнего изменения информации о технике.
Версия	Версия техники.

Раздел Подтехники содержит информацию о подтехниках, связанных с данной техникой.

Подтехники

Поле	Описание
ID	Идентификатор подтехники согласно MITRE ATT&CK. Вы можете нажать на значок для просмотра связанных подтехник.
Название	Имя подтехники согласно классификации MITRE ATT&CK. Элементы кликабельны и переместят вас на соответствующую страницу подтехники.
Описание	Описание подтехники.

В начало

[Topic SubTechniqueDetails]

Сведения о подтехнике

На странице подтехники отображается следующая информация.

Общие сведения

Поле	Описание
Описание	Подробное описание подтехники.
ID	Идентификатор подтехники согласно MITRE ATT&CK.
Техника	Связанная техника. Элемент кликабелен и перенаправляет на соответствующую страницу техники.
Тактики	Связанная тактика. Элемент кликабелен и перенаправляет на соответствующую страницу тактики.
Платформы	Операционная система или приложение злоумышленника.
Дата создания	Дата добавления информации о подтехнике.
Дата обновления	Дата последнего обновления информации о подтехнике.
Версия	Версия подтехники.

Раздел Другие подтехники для <название техники> содержит информацию о подтехниках, относящихся к той же технике.

Другие подтехники

Поле	Описание
ID	Идентификатор подтехники согласно MITRE ATT&CK. Вы можете нажать на значок для просмотра полного описания.
Название	Имя подтехники согласно классификации MITRE ATT&CK. Элемент кликабелен и перенаправляет на соответствующую страницу подтехники.
Описание	Описание подтехники.

В начало

[Topic ThreatLandscapeVideo]

О Ландшафте угроз (премиум-доступ)

Для доступа к функции Ландшафт угроз необходим премиум-доступ к Kaspersky Threat Intelligence Portal. Вы можете запросить демонстрационный доступ на странице Матрица покрытия, чтобы разблокировать эту функцию для своей компании.

Пользователи Kaspersky Threat Intelligence Portal с премиум-доступом могут создавать собственные ландшафты угроз, которые сопоставляются с базой знаний MITRE ATT&CK в режиме реального времени.

Данные основаны на глобальном потоке вредоносной активности (сотни тысяч инцидентов в день), который обрабатывают наши эксперты. Посмотрите видеоролик, чтобы узнать, как работать с Ландшафтом угроз.

О Ландшафте угроз

В начало

[Topic SignIn]

Вход в учетную запись

В этом разделе описано, как можно войти в Kaspersky Threat Intelligence Portal, чтобы получить доступ к премиум-возможностям и просмотреть подробные отчеты по отправленным объектам.

Вы можете работать с Kaspersky Threat Intelligence Portal одним из следующих способов:

• Войти в систему с учетной записью Kaspersky Threat Intelligence Portal (премиум-доступ). Вы получите доступ к расширенной функциональности в соответствии с лицензией вашей группы и вашими разрешениями.
• Войти в систему с учетной записью Kaspersky Account. Вы сможете просматривать подробные отчеты об отправленных объектах, за исключением данных, которые доступны только пользователям с премиум-доступом. Вы можете выполнять частные запросы и отправлять веб-адреса на анализ в Kaspersky Sandbox. Премиум-решения Kaspersky Threat Intelligence Portal будут недоступны.
• Без регистрации и входа. Вы сможете просматривать только основную информацию об отправленных объектах. Подробные отчеты, анализ веб-адресов в Kaspersky Sandbox и другие премиум-решения Kaspersky Threat Intelligence Portal будут недоступны.

В этом разделе Вход в учетную запись Kaspersky Threat Intelligence Portal (премиум-доступ) Вход с учетной записью Kaspersky Account Изменение данных для входа в учетную запись Kaspersky Account Выход из системы

В начало

[Topic SignInPremium]

Вход в учетную запись Kaspersky Threat Intelligence Portal (премиум-доступ)

Если в вашей организации имеется действующая лицензия для Kaspersky Threat Intelligence Portal и у вас есть активная учетная запись, вы можете войти в премиум-версию и использовать доступные возможности.

Чтобы войти в Kaspersky Threat Intelligence Portal с премиум-доступом, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В меню выберите пункт Войти в премиум-версию ().

   Откроется страница входа на Kaspersky Threat Intelligence Portal.

3. Введите имя пользователя и пароль, полученный от вашего администратора или персонального технического менеджера "Лаборатории Касперского".

Дополнительная информация приведена в документации к премиум-версии Kaspersky Threat Intelligence Portal.

В начало

[Topic SignInKLaccount]

Вход с учетной записью Kaspersky Account

Kaspersky Account – это личная учетная запись, которая предоставляет пользователям решений "Лаборатории Касперского" возможность аутентификации и управления настройками учетной записи.

Вы можете войти в Kaspersky Account с той же учетной записью, которую вы используете для различных ресурсов и служб "Лаборатории Касперского". Например, если у вас есть зарегистрированная учетная запись на сайте My Kaspersky или на сайте Службы технической поддержки "Лаборатории Касперского", значит, у вас уже есть доступ к Kaspersky Account.

Если у вас нет учетной записи, вы можете зарегистрироваться сейчас.

Чтобы войти на Kaspersky Threat Intelligence Portal с учетной записью Kaspersky Account, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. В меню нажмите кнопку Войти ().
3. Прочтите и примите Условия использования и Положение о конфиденциальности, установив соответствующие флажки.
4. Нажмите кнопку Войти с Kaspersky Account. Эта кнопка активна, только если вы приняли Условия использования и Положение о конфиденциальности (см. шаг 3).

   Если вы уже вошли в учетную запись Kaspersky Account, откроется страница Анализ портала Kaspersky Threat Intelligence Portal.

5. Если у вас есть учетная запись Kaspersky Account, но вы не вошли в нее, откроется страница Войти. Введите адрес вашей электронной почты и пароль и нажмите кнопку Войти. Также можно выполнить вход с помощью учетной записи Facebook.
6. Если у вас нет учетной записи Kaspersky Account, на странице Вход перейдите по ссылке Создать новую учетную запись.

   Откроется страница Создать учетную запись. На этой странице вы можете зарегистрировать учетную запись Kaspersky Account. При необходимости можно изменить пароль позже.

Дополнительная информация приведена в документации Kaspersky Account.

В начало

[Topic ChangeCredentials]

Изменение данных для входа в учетную запись Kaspersky Account

При необходимости вы можете изменить пароль и адрес электронной почты, которые вы используете для входа в учетную запись Kaspersky Account, а также включить или выключить контроль срока действия пароля и настроить двухэтапную проверку.

Чтобы изменить данные для входа в учетную запись Kaspersky Account, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Войдите с учетной записью Kaspersky Account.
3. В раскрывающемся меню <адрес вашей электронной почты> () выберите пункт Изменить учетные данные.

   Откроется страница Мой профиль.

4. При необходимости перейдите по ссылке Изменить пароль, на открывшейся странице введите новый пароль в поле Пароль и нажмите кнопку Сохранить.

   Пароль должен содержать не менее 8 символов и включать хотя бы одну цифру, одну заглавную и одну строчную букву и не должен содержать пробелов. Пароль не должен совпадать ни с одним из ваших недавних паролей.

5. При необходимости перейдите по ссылке Изменить электронную почту, на открывшейся странице укажите адрес электронной почты, нажмите кнопку Продолжить, введите пароль вашей учетной записи, чтобы применить изменения, и нажмите кнопку Продолжить.

   На указанный адрес электронной почты будет отправлено сообщение со ссылкой для его подтверждения. Перейдите по ссылке, чтобы подтвердить адрес электронной почты, который будет использоваться для входа в учетную запись.

6. При необходимости установите или снимите флажок Автоматически запрашивать смену пароля каждые 180 дней, чтобы включить или выключить контроль срока действия пароля.

   По умолчанию этот флажок установлен. Контроль срока действия пароля обеспечивает дополнительную защиту вашей учетной записи.

7. При необходимости включите переключатель Двухэтапная проверка и следуйте инструкциям по настройке двухэтапной проверки с помощью номера мобильного телефона или приложения для аутентификации.

   После настройки двухэтапной проверки позаботьтесь о физической безопасности своего мобильного телефона и доступности номера телефона. В случае утраты доступа к номеру мобильного телефона вход в учетную запись Kaspersky Account может оказаться невозможным. Рекомендуется установить приложение для аутентификации не только на мобильный телефон, но и на другое устройство.

Дополнительная информация приведена в документации Kaspersky Account.

В начало

[Topic SignOut]

Выход из системы

Чтобы выйти из учетной записи Kaspersky Threat Intelligence Portal,

в раскрывающемся меню <адрес вашей электронной почты> () выберите пункт Выйти.

Вы выйдете из Kaspersky Threat Intelligence Portal.

В начало

[Topic RequestDemoTAXIIserverToken]

Запрос токена Demo TAXII Server

Данные об анализе угроз, предоставляемые Kaspersky Threat Intelligence Portal, можно импортировать на платформу OpenCTI с помощью потоков данных "Лаборатории Касперского" для коннектора OpenCTI. Этот коннектор анализирует свойство description объектов STIX, получаемых с сервера TAXII, чтобы создавать дополнительные объекты STIX. Он также анализирует соответствующие взаимосвязи STIX для предоставления более полных данных об анализе угроз. Чтобы узнать больше о потоках данных "Лаборатории Касперского" для коннектора OpenCTI, посетите наш GitHub.

Чтобы непосредственно использовать демонстрационные потоки данных "Лаборатории Касперского" о киберугрозах в сторонних системах (например, в OpenCTI) с помощью TAXII, вам потребуется токен Demo TAXII Server.

Вы можете запросить, просмотреть, скопировать или отозвать Токен Demo TAXII Server.

Для работы с Kaspersky Threat Intelligence Portal API необходимо запросить API-токен.

Чтобы запросить Токен Demo TAXII Server, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Убедитесь, что вы вошли в систему с помощью учетной записи Kaspersky Account.
3. В раскрывающемся меню <адрес вашей электронной почты> () выберите пункт Запросить токен.

   Откроется страница Запрос токенов.

4. В разделе Токен Demo TAXII Server нажмите кнопку Запросить токен.

   Появится сформированный Токен Demo TAXII Server. Чтобы просмотреть или скрыть его, используйте значок с глазом.

   Отображается информация о сроке действия токена и количестве дней до его окончания.

5. При необходимости можно скопировать токен, нажав кнопку .

Чтобы отозвать Токен Demo TAXII Server, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Убедитесь, что вы вошли в систему с помощью учетной записи Kaspersky Account.
3. В раскрывающемся меню <адрес вашей электронной почты> () выберите пункт Запросить токен.

   Откроется страница Запрос токенов.

4. В разделе Токен Demo TAXII Server нажмите кнопку Отозвать токен.

   Токен станет недействительным.

Чтобы использовать демонстрационные потоки данных "Лаборатории Касперского" о киберугрозах в сторонних системах, вам потребуется сгенерировать новый Токен Demo TAXII Server.

См. также Управление API-токенами

В начало

[Topic WorkingWithAPI]

Работа с API

В этом разделе описано, как использовать Kaspersky Threat Intelligence Portal. С помощью Kaspersky Threat Intelligence Portal API вы можете выполнять поиск объектов и отправлять файлы для анализа в песочнице.

Для работы с Kaspersky Threat Intelligence Portal API необходимо запросить API-токен.

Доступ к Kaspersky Threat Intelligence Portal API можно получить по следующему адресу:

https://opentip.kaspersky.com/api/v1/<endpoint>

В этом разделе Управление API-токенами Поиск хеша Поиск IP-адреса Поиск домена Поиск веб-адресов Получение базового отчета об анализе файлов Получение полного отчета об анализе файлов

В начало

[Topic ManagingToken]

Управление API-токенами

Для использования Kaspersky Threat Intelligence Portal API необходимо войти в систему с помощью учетной записи Kaspersky Account, а затем запросить API-токен (далее "токен").

Можно запрашивать, просматривать копировать и отзывать токен. Сформированный токен используется в качестве параметра заголовка X-API-KEY при выполнении запросов с помощью Kaspersky Threat Intelligence Portal API.

Вы можете просматривать свой токен в любое время на странице Запрос токенов.

Если вы отзовете токен, он станет недействительным, и его нельзя будет использовать для работы с Kaspersky Threat Intelligence Portal API.

Максимальный срок действия токена – один год.

Чтобы использовать потоки данных "Лаборатории Касперского" для коннектора OpenCTI для получения демонстрационных потоков данных о киберугрозах, вам необходимо запросить токен Demo TAXII Server.

Чтобы запросить токен, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Убедитесь, что вы вошли в систему с помощью учетной записи Kaspersky Account.
3. В раскрывающемся меню <адрес вашей электронной почты> () выберите пункт Запросить токен.

   Откроется страница Запрос токенов.

4. В разделе API-токен выполните следующие действия:
   1. При необходимости укажите срок действия или дату окончания срока действия токена с помощью календаря.

      По умолчанию указан срок один год.

      Срок действия токена нельзя изменить после его создания. Можно запросить новый токен и указать другую необходимую дату.

   2. Нажмите кнопку Запросить токен.

      Сформированный токен появится в поле Токен. Чтобы просмотреть или скрыть его, используйте значок с глазом.

      Отображается информация о сроке действия токена и количестве дней до его окончания.

5. При необходимости можно скопировать токен, нажав кнопку .

Чтобы отозвать токен, выполните следующие действия:

1. Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com/ru.
2. Убедитесь, что вы вошли в систему с помощью учетной записи Kaspersky Account.
3. В раскрывающемся меню <адрес вашей электронной почты> () выберите пункт Запросить токен.

   Откроется страница Запрос токенов.

4. В разделе API-токен нажмите кнопку Отозвать токен.

   API-токен станет недействительным.

Для работы с Kaspersky Threat Intelligence Portal API необходимо сформировать новый API-токен.

См. также Запрос токена Demo TAXII Server

В начало

[Topic HashLookupAPI]

Поиск хеша

Развернуть все | Свернуть все

Kaspersky Threat Intelligence Portal предоставляет API для анализа хешей.

Запрос

Метод запроса: GET

Конечная точка: https://opentip.kaspersky.com/api/v1/search/hash

Параметр запроса: request – хеш, который требуется проанализировать.

Пример команды cURL: curl --request GET 'https://opentip.kaspersky.com/api/v1/search/hash?request=<hash>' --header 'x-api-key: <API token>' Где: <hash> – хеш, который требуется проанализировать. <API token> – API-токен, запрошенный в веб-интерфейсе.

Ответы

200 OK

400 Bad Request

401 Unauthorized

403 Forbidden

404 Not Found

В начало

[Topic IPLookupAPI]

Поиск IP-адреса

Развернуть все | Свернуть все

Kaspersky Threat Intelligence Portal предоставляет API для анализа IP-адресов.

Запрос

Метод запроса: GET

Конечная точка: https://opentip.kaspersky.com/api/v1/search/ip

Параметр запроса: request – IP-адрес, который требуется проанализировать.

Пример команды cURL: curl --request GET 'https://opentip.kaspersky.com/api/v1/search/ip?request=<IP address>' --header 'x-api-key: <API token>' Где: <IP address> – IP-адрес, который требуется проанализировать. <API token> – API-токен, запрошенный в веб-интерфейсе.

Ответы

200 OK

400 Bad Request

401 Unauthorized

403 Forbidden

В начало

[Topic DomainLookupAPI]

Поиск домена

Развернуть все | Свернуть все

Kaspersky Threat Intelligence Portal предоставляет API для анализа доменов.

Запрос

Метод запроса: GET

Конечная точка: https://opentip.kaspersky.com/api/v1/search/domain

Параметр запроса: request – домен, который требуется проанализировать.

Пример команды cURL: curl --request GET 'https://opentip.kaspersky.com/api/v1/search/domain?request=<domain>' --header 'x-api-key: <API token>' Где: <domain> – домен, который требуется проанализировать. <API token> – API-токен, запрошенный в веб-интерфейсе.

Ответы

200 OK

400 Bad Request

401 Unauthorized

403 Forbidden

404 Not Found

В начало

[Topic URLLookupAPI]

Поиск веб-адресов

Развернуть все | Свернуть все

Kaspersky Threat Intelligence Portal предоставляет API для анализа веб-адресов.

Запрос

Метод запроса: GET

Конечная точка: https://opentip.kaspersky.com/api/v1/search/url

Параметр запроса: request – веб-адрес, который требуется проанализировать.

Пример команды cURL: curl --request GET 'https://opentip.kaspersky.com/api/v1/search/url?request=<web address>' --header 'x-api-key: <API token>' Где: <web address> – веб-адрес, который требуется проанализировать. <API token> – API-токен, запрошенный в веб-интерфейсе.

Ответы

200 OK

400 Bad Request

401 Unauthorized

403 Forbidden

404 Not Found

414 URI Too Long

В начало

[Topic SubmitFileAPI]

Получение базового отчета об анализе файлов

Развернуть все | Свернуть все

Kaspersky Threat Intelligence Portal предоставляет API для анализа файлов в песочнице и получения базового отчета.

Запрос

Метод запроса: POST

Конечная точка: https://opentip.kaspersky.com/api/v1/scan/file

Параметр запроса: filename – имя файла, который вы хотите проанализировать.

Пример команды cURL: curl --request POST 'https://opentip.kaspersky.com/api/v1/scan/file?filename=<file name>' --header 'x-api-key: <API token>' --header 'Content-Type: application/octet-stream' --data-binary '@<path to file>' Где: <file name> – имя файла, который требуется проанализировать. <API token> – API-токен, запрошенный в веб-интерфейсе. <path to file> – полный путь к файлу, который требуется проанализировать.

Ответы

200 OK

400 Bad Request

401 Unauthorized

413 Payload Too Large

В начало

[Topic GetFileReport]

Получение полного отчета об анализе файлов

Развернуть все | Свернуть все

Kaspersky Threat Intelligence Portal предоставляет API для получения полных результатов анализа файла, отправленного на анализ в песочницу через веб-интерфейс.

Полный отчет доступен, если при отправке файла был установлен флажок Получить полный отчет динамического анализа. Флажок доступен после входа в учетную запись Kaspersky Account.

Вы можете использовать метод scan/file для получения хеша файла (MD5, SHA1, SHA256).

Запрос

Метод запроса: POST

Конечная точка: https://opentip.kaspersky.com/api/v1/getresult/file

Параметр запроса: request – хеш, для которого требуется получить результаты анализа.

Пример команды cURL: curl --request POST 'https://opentip.kaspersky.com/api/v1/getresult/file?request=<file hash> --header 'x-api-key: <API token>' Где: <file hash> – хеш файла, для которого требуется получить результаты анализа. <API token> – API-токен, запрошенный в веб-интерфейсе.

Ответы

200 OK

400 Bad Request

401 Unauthorized

403 Forbidden

В начало