Содержание
Запросы на анализ
В этом разделе описано использование Kaspersky Threat Intelligence Portal для выполнения поисковых запросов для хешей, IP-адресов, доменов и веб-адресов. Также описана концепция зон и результаты анализа объектов.
Отправка запросов на анализ хешей, IP-адресов, доменов и веб-адресов
Отправляя запрос на анализ в Kaspersky Threat Intelligence Portal, вы соглашаетесь с Условиями использования и Положением о конфиденциальности.
Чтобы отправить запрос на анализ, выполните следующие действия:
- Перейдите на Kaspersky Threat Intelligence Portal по адресу https://opentip.kaspersky.com.
- В разделе Анализ (
) на закладке Поиск в поле Введите ваш запрос укажите объект или текст, который требуется проанализировать с помощью Kaspersky Threat Intelligence Portal:- Хеш (MD5, SHA1, SHA256).
- IP-адрес (IPv4).
- Домен.
- Веб-адрес. Длина веб-адреса ограничена 2000 символами. Остальные символы не будут учитываться при анализе веб-адреса.
- Текст. В этом случае на странице Запросы (
) отображается категория Поиск, но отчет не доступен.
Kaspersky Threat Intelligence Portal автоматически распознает тип запрашиваемого объекта.
- Чтобы выполнить анализ объекта в частном порядке, установите флажок Частный запрос.
Частные запросы доступны зарегистрированным пользователям на закладке Мои запросы. Но результаты анализа могут стать общедоступными, только если другой пользователь отправит на анализ этот же объект публично.
- Нажмите на клавишу Enter.
- При необходимости пройдите тест reCAPTCHA:
- Установите флажок Я не робот в виджете reCAPTCHA.
- Следуйте инструкциям по прохождению теста reCAPTCHA.
Результаты запроса отображаются на странице отчета. Содержимое страницы зависит от типа запрашиваемого объекта.
Отчет о результатах анализа хеша
После обработки запроса о хеше на странице отчета отображаются результаты анализа.
Структура отчета о результатах поиска хеша аналогична структуре отчета о результатах анализа файла.
В мобильной версии Kaspersky Threat Intelligence Portal отображается только базовый отчет о хеше. Для просмотра полного отчета можно использовать десктопную версию.
В зависимости от зоны, хеш и его статус (Вредоносная программа, Рекламная или другая программа, Безопасный объект, Угрозы не обнаружены, Категория не определена) отображаются в панели одним из следующих цветов:
- Красный – хеш может быть классифицирован как Вредоносная программа.
- Желтый – хеш классифицируется как Рекламная или другая программа (рекламные программы, для взрослых или прочие программы).
- Серый – для хеша нет данных.
- Зеленый – исполняемый файл имеет статус Безопасный объект или Угрозы не обнаружены. Статус Угрозы не обнаружены присваивается файлу, если он не классифицирован "Лабораторией Касперского", но ранее был проверен или проанализирован, и на момент выполнения анализа угрозы не были обнаружены.
Страница отчета содержит следующие данные:
- Обзор – общая информация о запрашиваемом хеше.
- Имена детектируемых объектов – информация о детектируемых объектах, связанных с запрошенным хешем и ранее встречавшихся в статистике "Лаборатории Касперского".
- Результаты динамического анализа – дата последней проверки файла, идентифицированного запрошенным хешем, и графики обнаруженных объектов, подозрительных действий, извлеченных файлов и сетевых взаимодействий, обнаруженных экспертными системами "Лаборатории Касперского".
- Объекты, обнаруженные при динамическом анализе – информация об обнаруженных объектах, зарегистрированных во время исполнения файла, идентифицированного запрошенным хешем.
- Сработавшие сетевые правила – информация о правилах SNORT и Suricata, сработавших при анализе трафика со стороны файла, идентифицированного запрошенным хешем.
- Премиум-содержимое – информация о запрашиваемом хеше, содержащаяся в разделах, которые отображаются размыто. Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.
Следующие закладки доступны, если анализ файла, идентифицированного запрашиваемым хешем, ранее выполнялся в Kaspersky Sandbox:
- Закладка Результаты – информация об объектах, обнаруженных при динамическом анализе, и сработавших сетевых правилах. Зарегистрированным пользователям также доступна схема работы, информация о подозрительных действиях и снимки экрана.
- Закладка Статический анализ – информация о PE-файле (Portable Executable) и строках, извлеченных во время выполнения файла.
- Закладки, доступные зарегистрированным пользователям:
- Закладка Действия системы – информация о действиях, зарегистрированных во время выполнения файла.
- Закладка Извлеченные файлы – информация о файлах, которые были извлечены из сетевого трафика или сохранены файлом во время его выполнения.
- Закладка Сетевые активности – информация о сетевой активности, зарегистрированной во время выполнения файла.
Обзор информации о хеше
В Kaspersky Threat Intelligence Portal отображается следующая общая информация об отправленных на анализ хешах и файлах, идентифицированных этими хешами:
Общая информация о хешах и файлах
Название поля |
Описание |
|---|---|
Популярность |
Количество обращений (популярность) к файлу, идентифицированному запрашиваемым хешем, которые были обнаружены экспертными системами "Лаборатории Касперского". Количество обращений округляется до ближайшего значения, являющегося степенью 10. |
Первое появление |
Дата и время, когда файл, идентифицированный запрашиваемым хешем, был впервые обнаружен экспертными системами "Лаборатории Касперского". |
Последнее появление |
Дата и время, когда файл, идентифицированный запрашиваемым хешем, был в последний раз обнаружен экспертными системами "Лаборатории Касперского". |
Формат |
Тип файла, идентифицированного запрашиваемым хешем. |
Размер |
Размер файла, идентифицированного запрашиваемым хешем. |
Подписан |
Организация, подписавшая хеш. |
Упакован |
Название упаковщика (если есть). |
MD5 |
MD5-хеш. |
SHA1 |
Хеш SHA1 (если доступен). |
SHA256 |
Хеш SHA256. |
Имена детектируемых объектов
Kaspersky Threat Intelligence Portal предоставляет следующую информацию об известных обнаруженных объектах, связанных с хешем и ранее встречавшихся в статистике "Лаборатории Касперского":
- Цвет зоны, к которой относится обнаруженный объект (красный или желтый).
- Дата и время, когда объект был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
- Имя обнаруженного объекта. Вы можете выбрать любую запись и просмотреть ее описание на сайте угроз "Лаборатории Касперского".
Результаты динамического анализа
Kaspersky Threat Intelligence Portal предоставляет следующую графическую информацию об обнаруженных объектах, подозрительных действиях, извлеченных файлах и сетевых взаимодействиях, обнаруженных во время исполнения файла, идентифицированного запрашиваемым хешем:
Результаты динамического анализа хеша
Название графика |
Описание |
|---|---|
Обнаружения |
Общее количество объектов, обнаруженных во время исполнения файла, идентифицированного запрашиваемым хешем, и доля объектов со статусами Вредоносная программа (красный) и Рекламная или другая программа (желтый). |
Подозрительные действия |
Общее количество подозрительных действий, зарегистрированных во время исполнения файла, идентифицированного запрашиваемым хешем, и доля действий с Высоким (красным), Средним (желтым) и Низким (серым) уровнями опасности. |
Извлеченные файлы |
Общее количество файлов, загруженных или измененных файлом, идентифицированным запрашиваемым хешем, в процессе выполнения, а также доля файлов со статусом Вредоносная программа (извлеченные файлы, которые могут быть классифицированы как вредоносные, отмечены красным), Рекламная или другая программа (извлеченные файлы, которые могут быть классифицированы как Not-a-virus, отмечены желтым), Безопасный объект (извлеченные файлы, которые могут быть классифицированы как не являющиеся вредоносными, отмечены зеленым) и Категория не определена (для классификации нет или недостаточно данных об извлеченных файлах, отмечены серым). |
Сетевые активности |
Общее количество зарегистрированных сетевых взаимодействий, выполненных файлом, идентифицированным запрашиваемым хешем, в процессе исполнения, и доля сетевых взаимодействий со статусом Опасный объект (запросы к ресурсам со статусом Опасный, отмечены красным), Рекламная или другая программа (запросы к ресурсам со статусом Рекламная или другая программа, отмечены желтым), Безопасный объект (запросы к ресурсам со статусом Безопасный, отмечены зеленым) и Категория не определена (запросы к ресурсам со статусом Категория не определена, отмечены серым). |
Обнаружения динамического анализа
В Kaspersky Threat Intelligence Portal отображается следующая информация об обнаруженных объектах, связанных с файлом, идентифицированным запрашиваемым хешем. Если анализ файла, идентифицированного запрошенным хешем, ранее выполнялся в Kaspersky Sandbox, этот раздел отображается на закладке Результаты.
Имена объектов, детектируемых в изоляции
Название поля |
Описание |
|---|---|
Статус |
Зона (уровень) опасности, присвоенный объекту (Вредоносная программа или Рекламная или другая программа). |
Имя |
Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского". |
Сработавшие сетевые правила
В Kaspersky Threat Intelligence Portal отображается следующая информация о правилах SNORT и Suricata, сработавших при анализе трафика со стороны файла, идентифицированного запрашиваемым хешем. Если анализ файла, идентифицированного запрошенным хешем, ранее выполнялся в Kaspersky Sandbox, этот раздел отображается на закладке Результаты.
Сработавшие сетевые правила
Название поля |
Описание |
|---|---|
Зона |
Зона (уровень) опасности сетевого трафика, обнаруженного правилом SNORT или Suricata (Высокий, Средний, Низкий, Информационный). |
Правило |
Название правила SNORT или Suricata. |
Информация, доступная пользователям с премиум-доступом
Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом хеше, если она доступна.
Закладка Подписи и сертификаты
Информация о подписях и сертификатах файла
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Подписи и сертификаты файла |
Информация о подписях и сертификатах файла, идентифицированного запрашиваемым хешем. |
Статус – статус сертификата файла. Поставщик – владелец сертификата. Издатель – издатель сертификата. Подписан – дата и время подписания сертификата. Выпущен – дата и время выпуска сертификата. Истекает – срок действия сертификата. Серийный номер – серийный номер сертификата. |
Подписи и сертификаты контейнера |
Информация о подписях и сертификатах контейнера. |
Статус – статус сертификата контейнера. MD5-хеш контейнера – MD5-хеш файла контейнера. Подписан – дата и время подписания сертификата контейнера. Выпущен – дата и время выпуска сертификата контейнера. Истекает – срок действия сертификата контейнера. |
Закладка Пути
Информация о путях к файлу
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Пути к файлу |
Известные пути к файлу на компьютерах, использующих программы "Лаборатории Касперского". |
Популярность – количество случаев обнаружения пути экспертными системами "Лаборатории Касперского". Путь – путь к файлу на компьютерах пользователей, идентифицированному запрашиваемым хешем. Расположение – корневая папка или диск, где находится файл, идентифицированный запрашиваемым хешем, на компьютерах пользователей. |
Закладка Имена
Информация об именах файла
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Имена файла |
Известные имена файла на компьютерах, использующих программы "Лаборатории Касперского". |
Популярность – количество случаев обнаружения имени файла экспертными системами "Лаборатории Касперского". Имя файла – имя файла, идентифицированного запрашиваемым хешем. |
Закладка Загрузки
Информация о веб-адресах, с которых был загружен файл
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Веб-адреса и домены, с которых был загружен файл |
Веб-адреса и домены, с которых был загружен анализируемый файл. |
Статус – статус веб-адресов или доменов, используемых для загрузки файла, идентифицированного запрашиваемым хешем. Веб-адрес – веб-адреса, используемые для загрузки файла, идентифицированного запрашиваемым хешем. Последняя загрузка – дата и время последней загрузки файла, идентифицированного запрашиваемым хешем, с веб-адреса/домена. Домен – верхнеуровневый домен веб-адреса, используемого для загрузки файла, идентифицированного запрашиваемым хешем. Количество IP-адресов – количество IP-адресов, в которые разрешается домен. |
Закладка Веб-адреса
Информация о веб-адресах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Веб-адреса, к которым обращался файл |
Веб-адреса, к которым обращался файл, идентифицированный запрашиваемым хешем. |
Статус – статус посещенных веб-адресов. Веб-адрес – веб-адреса, к которым обращался файл, идентифицированный запрашиваемым хешем. Последний доступ – дата и время последнего обращения файла, идентифицированного запрашиваемым хешем, к веб-адресу. Домен – верхнеуровневый домен веб-адреса, к которому обращался файл, идентифицированный запрашиваемым хешем. Количество IP-адресов – количество IP-адресов, в которые разрешается домен. |
Закладка Запущенные объекты
Информация о запущенных объектах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Объекты, запущенные файлом |
Объекты, запущенные файлом, идентифицированным запрашиваемым хешем. |
Статус – статус запущенных объектов. Популярность – количество запусков объекта файлом, идентифицированным запрашиваемым хешем, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш запущенного объекта. Расположение – корневая папка или диск, где находится запущенный объект на компьютерах пользователей. Путь – путь к объекту на компьютерах пользователей. Имя файла – название запущенного объекта. Последний запуск – дата и время последнего запуска объекта файлом, идентифицированным запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Объекты, которые запускали файл |
Объекты, которые запускали файл, идентифицированный запрашиваемым хешем. |
Статус – статус объектов, которые запускали файл, идентифицированный запрашиваемым хешем. Популярность – количество запусков файла, идентифицированного запрашиваемым хешем, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш объекта, который запускал файл, идентифицированный запрашиваемым хешем. Расположение – корневая папка или диск, где находится объект на компьютерах пользователей. Путь – путь к объекту на компьютерах пользователей. Имя файла – название объекта, который запускал файл, идентифицированный запрашиваемым хешем. Последний запуск – дата и время последнего запуска файла, идентифицированного запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Закладка Загруженные объекты
Информация о загруженных объектах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Объекты, загруженные файлом |
Объекты, загруженные файлом, идентифицированным запрашиваемым хешем. |
Статус – статус загруженных объектов. Популярность – количество загрузок объекта, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш загруженного объекта. Расположение – корневая папка или диск, где находится загруженный объект на компьютерах пользователей. Путь – путь к загруженному объекту на компьютерах пользователей. Имя файла – название загруженного объекта. Последняя загрузка – дата и время последней загрузки объекта файлом, идентифицированным запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Объекты, которые загружали файл |
Объекты, которые загружали файл, идентифицированный запрашиваемым хешем. |
Статус – статус объектов, которые загружали файл, идентифицированный запрашиваемым хешем. Популярность – количество загрузок файла, идентифицированного запрашиваемым хешем, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш объекта, который загрузил файл, идентифицированный запрашиваемым хешем. Расположение – корневая папка или диск, где находится объект на компьютерах пользователей. Имя файла – название объекта, который загрузил файл, идентифицированный запрашиваемым хешем. Путь – путь к объекту на компьютерах пользователей. Последняя загрузка – дата и время последней загрузки файла, идентифицированного запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Отчет о результатах анализа IP-адреса
После обработки запроса об IP-адресе на странице отчета отображаются результаты анализа.
В зависимости от зоны IP-адреса, IP-адрес и его статус (Опасный, Недоверенный, Безопасный или Категория не определена) отображаются в панели одним из следующих цветов:
- Красный – IP-адрес содержит вредоносные объекты и может быть классифицирован как Опасный.
- Оранжевый – IP-адрес может быть классифицирован как Недоверенный и содержать вредоносные объекты.
- Желтый – IP-адрес классифицируется как Рекламная или другая программа (рекламные программы, программы для взрослых или прочие программы).
- Серый – для IP-адреса нет данных.
- Зеленый – IP-адрес не проявляет вредоносную активность.
Также отображается флаг страны, которой принадлежит запрашиваемый IP-адрес. При наведении указателя мыши на флаг появляется подсказка с названием страны. Для зарезервированных IP-адресов отображается перечеркнутый флаг (
) и подсказка Зарезервированный IP-адрес. Для IP-адресов, не принадлежащих ни одной стране, отображается флаг со знаком вопроса (
) и подсказка Нет данных.
Страница отчета содержит следующие данные:
- Обзор – общая информация о запрашиваемом IP-адресе.
- Карта – мировая карта киберугроз, где подсвечивается страна, к которой относится запрашиваемый IP-адрес.
- WHOIS – данные WHOIS о запрашиваемом IP-адресе.
- Премиум-содержимое – информация о запрашиваемом IP-адресе, содержащаяся в разделах, которые отображаются размыто. Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.
Обзор информации об IP-адресе
В Kaspersky Threat Intelligence Portal отображается следующая общая информация об анализируемых IP-адресах:
Общая информация об IP-адресах
Название поля |
Описание |
|---|---|
Популярность |
Количество обращений (популярность) к запрашиваемому IP-адресу. Количество обращений округляется до ближайшего значения, являющегося степенью 10. |
Первое появление |
Дата и время, когда запрашиваемый IP-адрес впервые появился в статистических данных экспертных систем "Лаборатории Касперского" согласно часовому поясу компьютера. |
Создан |
Дата создания запрашиваемого IP-адреса. |
Обновлен |
Дата последнего обновления информации о запрашиваемом IP-адресе. |
Категории |
Категории запрашиваемого IP-адреса. Если IP-адрес не относится ни к одной из заданных категорий, отображается категория Общие. |
Карта
Kaspersky Threat Intelligence Portal отображает мировую карту киберугроз и подсвечивает страну, к которой относится запрашиваемый IP-адрес.
Карта киберугроз отображается только для IP-адресов, принадлежащих одной известной стране. Кроме того, карта не отображается, если IP-адрес принадлежит зарезервированному диапазону.
В началоWHOIS
Kaspersky Threat Intelligence Portal предоставляет информацию WHOIS для запрашиваемого IP-адреса.
Информация WHOIS для IP-адреса
Название поля |
Описание |
|---|---|
Диапазон IP-адресов |
Диапазон IP-адресов в сети, к которой принадлежит запрашиваемый IP-адрес. |
Название сети |
Название сети, к которой принадлежит запрашиваемый IP-адрес. |
Описание сети |
Описание сети, к которой принадлежит запрашиваемый IP-адрес. |
Создан |
Дата создания запрашиваемого IP-адреса. |
Изменен |
Дата последнего обновления информации о запрашиваемом IP-адресе. |
Описание |
Описание автономной системы. |
ASN |
Номер автономной системы. |
Информация, доступная пользователям с премиум-доступом
Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом IP-адресе, если она доступна.
Закладка Разрешения DNS
Информация о разрешениях DNS
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
DNS-разрешения IP-адреса |
Данные pDNS для запрашиваемого IP-адреса. |
Статус – статус доменов. Популярность – количество разрешений домена в запрашиваемый IP-адрес. Домен – домен, который соответствует запрашиваемому IP-адресу. Первое разрешение – дата и время, когда домен был разрешен в запрашиваемый IP-адрес впервые. Последнее разрешение – дата и время, когда домен был разрешен в запрашиваемый IP-адрес в последний раз. Дата пиковой нагрузки – дата, когда имело место максимальное количество разрешений домена в запрашиваемый IP-адрес. Суточный пик – максимальное количество разрешений домена в запрашиваемый IP-адрес за сутки. |
Закладка Связанные файлы
Информация о связанных файлах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Файлы, связанные с веб-адресами |
MD5-хеши файлов, загруженных с веб-адресов, содержащих домены, которые соответствуют запрашиваемому IP-адресу. |
Статус – статус загруженных файлов. Популярность – количество загрузок файла с запрашиваемого IP-адреса, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш загруженного файла. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Веб-адрес – веб-адреса, используемые для загрузки файла. Последнее появление – дата и время последней загрузки файла с запрашиваемого IP-адреса. Первое появление – дата и время первой загрузки файла с запрашиваемого IP-адреса. |
Закладка Размещенные веб-адреса
Информация о размещенных веб-адресах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Размещенные веб-адреса |
Веб-адреса домена, который соответствует запрашиваемому IP-адресу. |
Статус – статус веб-адресов и доменов. Популярность – количество случаев обнаружения веб-адреса экспертными системами "Лаборатории Касперского". Веб-адрес – обнаруженный веб-адрес. Первое появление – дата и время первого обнаружения веб-адреса. Последнее появление – дата и время последнего обнаружения веб-адреса. |
Закладка Маски веб-адресов
Информация о масках веб-адресов
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Маски веб-адресов |
Маски адресов, обнаруженных экспертными системами "Лаборатории Касперского", которые содержат IP-адреса и веб-адреса домена, разрешаемого в запрашиваемый IP-адрес. |
Статус – статус веб-адресов, описываемых соответствующей маской (Опасный, Рекламная или другая программа). Тип – тип маски. Маска – маски веб-адреса. Потоки данных – потоки данных о киберугрозах, содержащие маску веб-адреса. |
Отчет о результатах анализа доменов и веб-адресов
После обработки запроса на анализ домена или веб-адреса на странице отчета отображаются результаты анализа.
Отчет о результатах анализа домена аналогичен отчету о результатах анализа веб-адреса.
В мобильной версии Kaspersky Threat Intelligence Portal для доменов и веб-адресов доступны только следующие разделы: Обзор, WHOIS, Результаты динамического анализа и Имена детектируемых в песочнице объектов. Для просмотра полного отчета можно использовать десктопную версию.
В зависимости от зоны домена или веб-адреса, запрашиваемый объект и его статус (Опасный, Рекламные или другие программы, Безопасный или Категория не определена) отображаются в панели одним из следующих цветов:
- Красный – существуют вредоносные объекты, связанные с доменом или веб-адресом.
- Оранжевый – домен или веб-адрес может быть классифицирован как Недоверенный и содержать вредоносные объекты.
- Желтый – существуют объекты, связанные с доменом или веб-адресом, которые могут быть классифицированы как Not-a-virus.
- Серый – нет данных о домене или веб-адресе.
- Зеленый – домен или веб-адрес не может быть классифицирован как Опасный.
Страница отчета содержит следующие данные:
- Обзор – общая информация о запрашиваемом домене или веб-адресе.
- WHOIS – данные WHOIS о запрашиваемом домене или веб-адресе.
- Премиум-содержимое – разделы с дополнительной информацией о запрашиваемом домене или веб-адресе (отображается размыто). Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.
Следующие закладки доступны, если ранее выполнялся анализ веб-адреса в Kaspersky Sandbox:
- Имена детектируемых объектов – обнаруженные элементы, зарегистрированные во время анализа веб-адресов.
- Сработавшие сетевые правила – правила SNORT и Suricata, сработавшие во время анализа трафика с веб-адресов.
- Подключенные хосты – IP-адреса, к которым осуществлялся доступ во всех HTTP- и HTTPS-запросах после разрешения полного доменного имени.
- Подозрительные действия – подозрительные действия, зарегистрированные во время анализа веб-адресов.
- HTTP(S)-запросы – HTTP- и HTTPS-запросы, зарегистрированные во время анализа веб-адресов.
- DNS-запросы – DNS-запросы, зарегистрированные во время анализа веб-адресов.
- Снимки экрана – набор снимков экрана, которые были сделаны во время анализа веб-адресов.
Обзор информации о домене или веб-адресе
В Kaspersky Threat Intelligence Portal отображается следующая общая информация об анализируемых доменах и веб-адресах:
Общая информация о доменах и веб-адресах
Название поля |
Описание |
|---|---|
Количество IPv4-адресов |
Количество известных IP-адресов, которым соответствует запрашиваемый домен или веб-адрес. |
Количество файлов |
Количество известных вредоносных файлов, связанных с запрашиваемым веб-адресом. |
Создан |
Дата создания запрашиваемого домена или веб-адреса. |
Истекает |
Дата окончания срока действия запрашиваемого домена или веб-адреса. /Имя домена верхнего уровня. /Название регистрирующей организации. /Имя регистратора доменного имени. |
Категории |
Категории запрашиваемого домена или веб-адреса. Если домен или веб-адрес не относится ни к одной из заданных категорий, отображается категория Общие. |
WHOIS
Kaspersky Threat Intelligence Portal предоставляет данные WHOIS о хосте запрашиваемого веб-адреса.
Хост может указываться полным доменным именем (FQDN) или IP-адресом в десятичном формате с точкой в качестве разделителя.
Kaspersky Threat Intelligence Portal не обрабатывает веб-адреса, если в качестве хоста указан локальный, частный или служебный IP-адрес. В этом случае результаты анализа следует интерпретировать с осторожностью.
Хост, указанный полным доменным именем
Раздел WHOIS для хоста, указанного полным доменным именем
Название поля |
Описание |
|---|---|
Имя домена |
Имя домена для анализируемого веб-адреса. |
Статус домена |
Статус домена для анализируемого веб-адреса. |
Создан |
Дата регистрации домена для анализируемого веб-адреса. |
Обновлен |
Дата последнего обновления регистрационных данных домена для анализируемого веб-адреса. |
Оплачен до |
Дата истечения предоплаченного срока действия для зарегистрированного домена. |
Информация о регистраторе |
Имя регистратора домена для анализируемого веб-адреса. |
Идентификатор IANA |
Идентификатор IANA регистратора домена. |
Сервер доменных имен |
Список серверов доменных имен для анализируемого веб-адреса. |
Хост, указанный IP-адресом
Раздел WHOIS для хоста, указанного IP-адресом
Название поля |
Описание |
|---|---|
Диапазон IP-адресов |
Диапазон IP-адресов в сети, к которой принадлежит хост. Также отображается флаг страны, к которой принадлежит IP-адрес. При наведении указателя мыши на флаг появляется подсказка с названием страны. |
Название сети |
Название сети, к которой принадлежит IP-адрес. |
Описание сети |
Описание сети, к которой принадлежит IP-адрес. |
Создан |
Дата создания IP-адреса. |
Изменен |
Дата последнего обновления информации об IP-адресе. |
Описание |
Описание автономной системы. |
ASN |
Номер автономной системы в соответствии с протоколами RFC 1771 и RFC 4893. |
Информация, доступная пользователям с премиум-доступом
Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом домене или веб-адресе, если она доступна.
Закладка Разрешения DNS
Информация о разрешениях DNS
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Разрешения DNS для домена/веб-адреса |
IP-адреса, которым соответствует запрашиваемый домен или веб-адрес. |
Статус – статус IP-адреса. Оценка угрозы – вероятность того, что IP-адрес является опасным (от 0 до 100). Популярность – количество случаев обнаружения IP-адреса экспертными системами "Лаборатории Касперского". IP-адрес – IP-адреса. Первое разрешение – дата и время, когда запрашиваемый домен / веб-адрес был разрешен в IP-адрес впервые. Последнее разрешение – дата и время, когда запрашиваемый домен / веб-адрес был разрешен в IP-адрес в последний раз. Дата пиковой нагрузки – дата, когда имело место максимальное количество разрешений запрашиваемого домена / веб-адреса в IP-адрес. Суточный пик – максимальное количество разрешений запрашиваемого домена / веб-адреса в IP-адрес за сутки. |
Закладка Загруженные файлы
Информация о загруженных файлах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Файлы, загруженные с запрашиваемого домена / веб-адреса |
MD5-хеши файлов, загруженных с запрашиваемого домена или веб-адреса. |
Статус – статус загруженных файлов. Популярность – количество загрузок файла с запрашиваемого домена / веб-адреса, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш загруженного файла. Последнее появление – дата и время последней загрузки файла с запрашиваемого домена / веб-адреса. Первое появление – дата и время первой загрузки файла с запрашиваемого домена / веб-адреса. Веб-адрес – веб-адреса, используемые для загрузки файла. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Закладка Файлы, к которым осуществлялся доступ
Информация о файлах, к которым осуществлялся доступ
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Закладка Файлы, обращавшиеся к домену/веб-адресу |
MD5-хеши файлов, обращавшихся к запрашиваемому домену или веб-адресу. |
Статус – статус файлов, обращавшихся к запрашиваемому домену или веб-адресу. Популярность – количество обращений файла к запрашиваемому домену / веб-адресу. MD5-хеш файла – MD5-хеш файла, обращавшегося к запрашиваемому домену или веб-адресу. Последнее появление – дата и время последнего обращения файла к запрашиваемому домену / веб-адресу. Первое появление – дата и время первого обращения файла к запрашиваемому домену / веб-адресу. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Закладка Поддомены
Информация о поддоменах
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Поддомены |
Поддомены запрашиваемых доменов. |
Статус – статус поддоменов. Имя поддомена – имя обнаруженного поддомена. Количество веб-адресов – количество веб-адресов, относящихся к поддомену. Размещено файлов – количество файлов, размещенных в обнаруженном поддомене. Первое появление – дата и время первого обнаружения поддомена. |
Закладка Реферальные ссылки
Информация о реферальных ссылках
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Реферальные ссылки на домен / веб-адрес |
Веб-адреса, ссылающиеся на запрашиваемый домен или веб-адрес. |
Статус – статус веб-адресов, ссылающихся на запрашиваемый домен или веб-адрес. Веб-адрес – веб-адрес, ссылающийся на запрашиваемый домен или веб-адрес. Последнее обращение – дата и время, когда на запрашиваемый домен / веб-адрес в последний раз ссылались указанные веб-адреса. |
Закладка Реферальные ссылки на домен
Информация о реферальных ссылках на домен
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Веб-адреса, на которые ссылается домен |
Веб-адреса, на которые ссылается или перенаправляет запрашиваемый домен. |
Статус – статус веб-адресов, на которые ссылается или перенаправляет запрашиваемый домен. Веб-адрес – веб-адрес, к которому обращается запрашиваемый домен. Последнее обращение – дата и время, когда запрашиваемый домен в последний раз сослался или перенаправил на указанные веб-адреса. |
Закладка Маски веб-адресов
Информация о масках веб-адресов
Название таблицы |
Описание |
Поля таблицы |
|---|---|---|
Маски веб-адресов |
Маски домена запрашиваемого веб-адреса, обнаруженные экспертными системами "Лаборатории Касперского". |
Статус – статус веб-адресов, описываемых соответствующей маской (Опасный, Рекламная или другая программа). Тип – тип маски. Маска – маска запрашиваемого домена / веб-адреса. Потоки данных – потоки данных о киберугрозах, содержащие маску запрашиваемого домена. |
О зонах и статусах
Все исследуемые объекты распределяются по зонам. Зона указывает на уровень опасности объекта. Все объекты, связанные с исследуемым объектом, распределяются по собственным зонам. Их зоны могут не совпадать с зоной исследуемого объекта.
Список зон является общим для всех типов объектов, но не все зоны могут применяться к любым типам объектов.
Каждый тип объектов имеет собственный набор статусов, наиболее точно описывающий уровень опасности объектов этого типа.
Взаимосвязь зон и статусов для всех типов объектов приведена в таблице.
Зоны и статусы
Зона |
Уровень опасности |
Статус хеша |
Статус IP-адреса |
Статус домена |
Статус веб-адреса |
|---|---|---|---|---|---|
Красная |
Высокий |
Вредоносная программа |
Опасный |
Опасный |
Опасный |
Оранжевая |
Средний |
н. п.* |
Недоверенный |
Недоверенный |
Недоверенный |
Желтая |
Средний |
Рекламные или другие программы |
Рекламные или другие программы |
Рекламные или другие программы |
Рекламные или другие программы |
Серая |
Информационный |
Категория не определена |
Категория не определена |
Категория не определена |
Категория не определена |
Зеленая |
Низкий |
Безопасный объект / Угрозы не обнаружены |
Безопасный объект / Угрозы не обнаружены |
Безопасный объект / Угрозы не обнаружены |
Безопасный объект / Угрозы не обнаружены |
* н. п. – не применимо
В начало