TIP: Плейбук использования решения

Kaspersky TIP PoC Guide

1.Решения и услуги

Наша стратегия – превратить ведущую киберразведку в осязаемую защиту, позволяя организациям уверенно использовать наши технологии.

Полный набор технологий и сервисов, создающих единый экосистемный подход к кибербезопасности.

Инвестиции в НИОКР – поскольку разработка и поддержка технологий «с нуля» обеспечивает интегрированный, готовый к будущему подход к безопасности.

Команда, не имеющая аналогов, формирующая будущее кибербезопасности

Мы работаем 24 × 7 в пяти Центрах экспертизы, защищая клиентов от массовых атак, вредоносного ПО, целевых и APT‑атак, а также угроз, специфичных для критической инфраструктуры.

~~Feeds(JSON/CSV).~~

~~– с~~

Центр	Краткое описание
Kaspersky Global Research and Analysis Team (GReAT)	Исследует и анализирует самые сложные угрозы – от Duqu и Equation до Carbanak и Operation Triangulation.
Kaspersky Threat Research	Проводит исследования анти‑малвари и фильтрации контента, разрабатывает ключевые ~~компоненты~~ `┌───────────────────────┐ │ Kaspersky Threat │ │ Intelligence Portal │ │ (веб‑интерфейс) │ └───────┬─────┬─────────┘ │ │ ┌────▼─┐ ┌─▼─────┐ │Sandbox│ │Data │ │(ахнализ│ │Feeds │ │файолов)│ │(IP, IOC,…)│ └───────┘ └───────┘` ~~Portal~~ ~~– точка входа для за~~г~~рузк~~ии ~~файлов, поиска по индикат~~бор~~ам, ра~~ьботы с ~~Threat~~ ~~Infrastructure~~угрозами, участвует в SSDLC и методологиях Secure by Design.
Kaspersky AI Technology Research	Ведёт ис~~качи~~следования ИИ и реализует возможности ИИ‑детекции и реаготирования на угрозых ~~Data~~.
~~Sandbox~~Kaspersky Security Services	Предоста,вляет ~~где~~MDR, ~~вып~~Incident Response, Security Assessments, SOC Consulting, Digital Footprint Intelligence.
Kaspersky ICS CERT	Фо~~лня~~кусируется знаг пружомышленных инфраструктурах, проводит OT‑аналитику, исследования уязвимостей и стандартизацию в сотрудничестве с вендорами и ассоциациями.

Подробнее о Центрах экспертизы – на отдельном сайте.

Защита Kaspersky: самая протестированная, самая награждённая

Участвовали в 1 022 независимых тестах и объзорах.

Получили 771 первое место и 871 места в топ‑3.

Kaspersky признан лидером в области ИИ

В 2025 году QKS Group назвала Kaspersky самым ценным пионером в сфере ИИ‑детекции угроз, цифровой разведки и управления угрозами.

Kaspersky Threat Intelligence

Threat Intelligence от; Kaspersky – это доступ к аналитике, необходимой для снижения киберрисков, предоставльзяемой командой мировых исследовател~~ь мож~~е~~т задать параметры~~й и~~сполнения (время, сетевой канал, имя файла).~~

~~Data Feeds~~ ~~– выгрузки (IP‑списки, IOC, правила) для дальнейшего импорта в SIEM/EDR.~~

2. Подготовка и загрузка файла в Sandbox

2.1 Выбор времени исполнения

~~На странице загрузки файла нажмите поле~~ ~~Recommended~~.

~~Сдвиньте ползунок, задав время от~~ ~~30 сек~~ до ~~500 сек~~.

~~Чтобы вернуться к автоматическому режиму, нажмите~~ ~~Reset to recommended~~.

~~Заданное время учитывается только для исполнения, а не для~~ анали~~за резуль~~татиков ~~[1]~~.

Основные

2.2типы ВыборThreat интернет‑канала

Intelligence:

С ~~админис~~

~~Канал~~Тип	Описание
~~Any channel~~Тактическая	ТКрафиткосрочная, ~~может идти из лю~~бой ыстро устаревающая иныформация, бподдезрживающая ~~TOR.~~операции ~~(зн~~SOC и реачегирование ~~по‑умолч~~на~~нию)~~
~~Tor~~	~~Трафик проходит через TOR‑сеть.~~
~~Tarpit~~	~~Файл~~ и~~спол~~няциде~~тся без выхода в И~~нт~~ернет.~~
~~Countries/regions~~	~~Список конкретн~~ы~~х стран~~ (например, ~~AU, DE)~~ IOCs новых атак).
Оператисвная	Данные о кампаниях, TTP, атрибуции актёров, их возможностях и наме~~т быть расши~~рениях.
Стратегическая	Информация для C‑уровня и совета директоров: тренды, мотивации актёров, классификации.

Перечень продуктовых блоков в рамках Threat Intelligence

Блок Описание
Digital Footprint Intelligence —
Ask the Analyst —
Threat Analysis —
Takedown Service —
CyberTrace —
Crimeware Intelligence Reporting —
APT Intelligence Reporting —
ICS Reporting —
Threat Data Feeds —
Threat Lookup —
Strategic / Operational / Tactical —
Kaspersky Threat Intelligence —

И в Kaspersky мы предоставляем их все.

Область применения PoC Threat Intelligence

Вы получаете доступ к Kaspersky Threat Intelligence Portal: https://tip.kaspersky.com. Ниже перечислены доступные функции и их ограничения в рамках PoC.

Threat Landscape

Функция Доступ Ограничения
Hunt Hub Ограниченный доступ, детали правил скрыты —
TTPs Полный доступ, правила Suricata и Sigma не доступны для скачивания —
Actors Полный доступ —
Software Полный доступ —
Mitigations Полный доступ —
Vulnerabilities Полный доступ —

Threat Lookup – 100 запросов в день

Возможность Квота
WHOIS Hunting Rule (Normal) 1 правило
WHOIS Hunting Rule (High) 1 правило
Saved Search 10 правил
Research Graph 100 графов

Reporting

Возможность Квота
APT Intelligence Reporting 10 отчётов (Master Yara и Master IoC отключены)
Crimeware Intelligence Reporting 10 отчётов (Master Yara и Master IoC отключены)

Threat Analysis

Возможность Квота
Cloud Sandbox 10 запросов в день
Threat Attribution Engine 10 запросов в день
Similarity 10 запросов в день

Прочие функции

Digital Footprint Intelligence – лишь демонстрационные уведомления.

Threat Infrastructure Tracking – уровень страны.

Data Feeds – только демонстрационные фиды.

Kaspersky Threat Landscape

Исполнительное резюме

Глоборальная картина угроз постоянно меняется: появл~~а задаё~~яются в новыпе методы адтаюк, а известные становятся более изощрёнными. Пользователям необходимо быстро прискоритизировать те ~~Internet~~угрозы, ~~channel~~ ~~[1].~~
которые

Блок	Описание
Digital Footprint Intelligence	—
Ask the Analyst	—
Threat Analysis	—
Takedown Service	—
CyberTrace	—
Crimeware Intelligence Reporting	—
APT Intelligence Reporting	—
ICS Reporting	—
Threat Data Feeds	—
Threat Lookup	—
Strategic / Operational / Tactical	—
Kaspersky Threat Intelligence	—

Функция	Доступ	Ограничения
Hunt Hub	Ограниченный доступ, детали правил скрыты	—
TTPs	Полный доступ, правила Suricata и Sigma не доступны для скачивания	—
Actors	Полный доступ	—
Software	Полный доступ	—
Mitigations	Полный доступ	—
Vulnerabilities	Полный доступ	—

Возможность	Квота
WHOIS Hunting Rule (Normal)	1 правило
WHOIS Hunting Rule (High)	1 правило
Saved Search	10 правил
Research Graph	100 графов

Возможность	Квота
APT Intelligence Reporting	10 отчётов (Master Yara и Master IoC отключены)
Crimeware Intelligence Reporting	10 отчётов (Master Yara и Master IoC отключены)

Возможность	Квота
Cloud Sandbox	10 запросов в день
Threat Attribution Engine	10 запросов в день
Similarity	10 запросов в день

2.3 Петреибуют незамедлительного реагирования.

Раздел «Threat Landscape» предоставляет информацию о злоумышленниках, нацеленных на конкретную отрасль и регионы, связывает технологии обнаружения с глобальнойл ра

зведкой,

Вдаёт полную и актуальную контекстную ~~Change~~информацию ~~file~~о ~~name~~тактиках, ~~and~~техниках ~~extension~~и to ввпроцедурах (TTP) атакующих.

Цель сервиса

Пользовате ~~новое имя и/и~~ли ~~расширение.~~

Ппортала могут самостоятельно с~~начала пытается запуск~~формировать ~~файл~~свою Threat Landscape в соглответствии с ма~~сно~~трицей ~~указанному~~MITRE ~~расширению, но~~ATT&CK, послучая:

актуальные зтехники, та~~груз~~ктики и процедуры, которые могут быть использовеаны пряотив них;

дет реальныйе описания актипёров, ~~(PE, image и т.п.)~~вредоносного ПО и используемых TTP;

отчёты с подробным описанием атак;

рекомендации‑смягчения (mitigations) – конкретные меры для предотвращенаия выполненизая техники.

Процедуры
Птестир~~еимен~~ования

Threat Landscape предлагает данные по:

географии;

отрасли;

типам угроз и актёрам;

их TTP;

используемому вредоносному ПО;

релезванотным ~~при~~IOC.
~~проверке,~~
к
Как ~~система~~ р~~еагирует на файлы с «поддельными» расширениями [1].~~

3. Работает матрица MITRE ATT&CK

Такт – цель, которую преследует злоумышленник.

Техника – действие, реализующее цель.

Подтехника – конкретный метод выполнения техники.

Пользовадтель может:

просматривать всё TTP или фильтровать их;

скрывать/пой ~~Threat Infrastructure~~
~~3.1 Ч~~казыватоь тактики/техники;

раскрывать/сворачивать все ~~Threat~~подтехники;

~~Infrastructure?~~

использовать
Эполноэкранный режим;

видетоь список ~~IP‑а~~подртехник с~~ов,~~ количеством связанных подпунктов;

получать имена и ID TTP;

переходить к детальному описанию каждой записи.

Статистика в Threat Landscape

Top Techniques – наиболее часто используемые техники.

Attacks by Industry – отрасли, получающие наибо~~сятся к~~льшее комличество а~~ндн~~так.

Related Rules and Reports – ко~~‑упра~~личеств~~ляющим (C&C) сервер~~ом, использованны~~м в конкретны~~х ~~образцах или кампаниях.~~

3 – Пошаговый процесс

~~Click → Threat Infrastructure~~ ~~→ откроется таблица IP‑адресов.~~

~~По умолчанию отображаются все IP; их можно отфильтровать по стране.~~

~~Пример фильтра:~~ ~~в шапке колонок выберите~~ ~~Germany~~ ~~– останутся только IP‑адреса, зарегистрированные в DE.~~

~~Download data~~ ~~– нажмите кнопку, выберите~~ ~~JSON~~ ~~или~~ ~~CSV~~.

~~JSON‑пример~~ ~~(упрощённый):~~

[
  {
    "ip": "185.62.195.166",
    "country": "RU",
    "first_seen": "2024‑03‑01T12:34:56Z",
    "last_seen":  "2024‑03‑08T08:21:10Z",
    "malware": ["APT28"]
  },
  {
    "ip": "185.62.195.167",
    "country": "RU",
    "first_seen": "2024‑03‑02T09:11:03Z",
    "last_seen":  "2024‑03‑09T14:45:22Z",
    "malware": ["APT28"]
  }
]

~~CSV‑пример~~:

ip,country,first_seen,last_seen,malware
185.62.195.166,RU,2024-03-01T12:34:56Z,2024-03-08T08:21:10Z,"APT28"
185.62.195.167,RU,2024-03-02T09:11:03Z,2024-03-09T14:45:22Z,"APT28"

~~Клик по отдельному IP открывает~~ ~~Lookup‑page~~ ~~с детальной информацией (геолокация, история активности, связанные кампаниям) [1].~~

3.4 Применение в режиме Alerting

~~Сохранённый файл (JSON/CSV) можно импортировать в SIEM как~~ ~~Data Feed~~.

~~При включённом режиме~~ ~~alerting~~ ~~система будет генерировать события каждый раз, когда в логах появляются совпадения с IP из списка.~~

4. Схема полного рабочего процесса

┌───────────────────────┐
│ 1. Загрузка файла      │
│    (указание времени, │
│    канала, имени)      │
└─────────┬─────────────┘
          ▼
┌───────────────────────┐
│ 2. Анализ в Sandbox    │
│    → получаем IOC,     │
│      TTP, лог‑историю │
└───────┬───────┬───────┘
        │       │
        ▼       ▼
┌───────────────┐ ┌─────────────────┐
│ 3a. Export    │ │ 3b. Threat      │
│    Procedures │ │    Infrastructure│
│    (JSON)     │ │    (IP‑list)     │
└───────┬───────┘ └───────┬─────────┘
        │               │
        ▼               ▼
┌───────────────────────────────┐
│ 4. Интеграция в SIEM/EDR       │
│   – загрузка IOC‑feed          │
│   – импорт правил (Sigma)и │соответствующих │отчётов.


Top Software – вкчасто исполючьзуенимое alerting        │
└───────────────┬───────────────┘
                ▼
┌───────────────────────────────┐
│ 5. Мвредониосное ПО.

Top Tactics – популярные торинг и реакцтияки.
│Related │Actors – активные актёры.


Фильтры автоматические опбновещенляют статиястику │и │   – ручные графики.

Цели тесследтирования
│

Тестировать └───────────────────────────────┘возможность Threat

Landscape

5.выполнять следующие задачи:

Создать heat‑map MITRE ATT&CK, релевантную компании.

Предоставимерыть практичную информацию о TTP, релевантных компании.

Определить актёров‑угроз и инструменты, используемые ими.

Тест 1 – Создание MITRE ATT&CK heat‑map, релевантной когмпании

Портал позволяет сохранять наборы фильтров, которые затем примененяются к матрия

5.1 Сце ATT&CK.

Возможнарые фий A – Бысльтрая проверка подозрённого PE‑файла

ШФильтр	Описание
Actor	Актёры/группы, использующие техники ATT&CK (включая алиасы).
Industry	Отраслевой фильтр.
Affected countries	Страны/регионы.
Platform	Семейства ОС, к которым применимы техники.

Как применить фильтры

На странице Threat Landscape выберите нужные фильтры и нажмите Apply.

При необходимости нажмите Reset to default для сброса.

Как сохранить набор фильтров

Выберите фильтры → Save.

В боковой панели введите имя (до 255 симв.) и описание (до 2048 симв.).

Нажмите Save – набор появится в коллекции.

Работа с сохранёнными наборами

Filter collection – список всех наборов, созданных пользователями организации (видно имя, описание, дату создания/изменения, автора).

Можно искать по имени, применять, редактировать (Edit) или удалять (Delete) набор.

Примерный чек‑лист действий

№	Действие	Ожидаемый результат
1	~~Загрузить файл, задать~~ ~~30 сек~~ ~~выполнения, в~~Выбрать ~~Tor~~Affected countries‑ → Россия и СНГ.	Heat‑map подсветит TTP, ак~~анал (ч~~т~~обы скрыть ре~~уальныйе ~~IP).~~	~~Фай~~для вы~~полнится в изоли~~брованнойых сет~~и TOR.~~ран.
2	~~Ост~~Добавить Industry → Государственный сектор.	Heat‑map уточнимят подсветку в соответствии с выбранной отраслью.
3	Нажать ~~malware.exe~~Hide (правый‑верхний угол).	Появятся только релевантные TTP.
4	Прокрутить вниз к Top Techniques / Top Tactics / Top Software и другим дашбордам.	Дашборды отразят данные, соответствующие выбранным фильтрам.

Тест 2 – Предоставление практичной информации о TTP, релевантных компании

Тактики

Страница Tactics содержит список тактик и общую информацию:

Поле	Описание
ID	Идентификатор тактики в ~~поле~~MITRE ~~пере~~ATT&CK.
Name	Наименование тактики (кликабельно, ведёт к детальному описанию).
Adversary action	Действие, которое злоумышленник стремится выполнить.
Created / Updated	Даты создания и последнего обновления.

Техники

Поле	Описание
Description	Подробное описание техники.
ID	Идентификатор техники.
Sub‑techniques	Список подтехник (кликабельно).
Tactics	Связанная тактика (кликабельно).
Platforms	ОС/приложения, в которых техника реализуется.
Permissions required	Требуемые привилегии.
Created / Updated / Version	Дата создания, последнего обновления, версия.

Подтехники

Поле	Описание
Description	Подробное описание подтехники.
ID	Идентификатор подтехники.
Sub‑technique of	Родительская техника (кликабельно).
Tactics / Platforms / Permissions required	Как у техники.
Created / Updated / Version	Даты и версия.

Примеры процедур

Раздел Procedure examples показывает хеши, связанные с подтехникой.

Поле	Описание
ID	ID актёра/программы, если привязан.
Name	Наименование актёра/программы/детекции.
Hash	MD5‑хеш.

Правила (Rules)

Раздел Rules перечисляет правила, покрывающие подтехнику. Возможна загрузка полного списка правил (Sigma, Suricata) при наличии коммерческой лицензии.

Sigma‑правила

Поле	Описание
ID	Идентификатор правила.
Title	Название.
Description	Описание.
Severity	Уровень серьёзности.
Actions	Кнопка загрузки полного файла правила.

Suricata‑правила

Поле	Описание
ID	Идентификатор.
Content	Текст правила (первые 100 символов).
Actions	Кнопка загрузки.

Отчёты (Reports)

Список отчётов, относящихся к подтехнике. Клик по строке раскрывает детали.

Поле	Описание
Date	Дата публикации.
Group	Группа отчёта – APT, Crimeware, Industrial.
Report ID	Идентификатор отчёта (кликабельно открывает полное описание).
Report	Название, краткое резюме, ссылки на загрузку в разных форматах.
Tags	Теги отчёта.

Примерный чек‑лист

№	Действие	Ожидаемый результат
1	Открыть релевантную ~~document.pdf~~Technique из heat‑map (например, Boot or Logon Autostart Execution).	Переход к странице талехники.
2	Перейти к подтехнике (напровимерит, Registry Run Keys / Startup Folder).	Пере~~альный~~ход к ст~~ип и всё~~ равнице по ~~обрабо~~дтает хник~~ак PE‑файл~~и.
3	Прокрутить до Procedure examples и нажать Export.	Файл JSON с примерами процедур скачан.
4	Прокрутить до Rules.	Виден список доступных Sigma/Suricata/EDR‑правил, их можно экспортировать.

Тест 3 – Идентификация актуальных для компании актёров‑угроз и их инструментов

Актёры

На странице Threat Landscape → Actors отображается список профилей актёров. Каждый профиль содержит:

общий обзор, поражённые страны, алиасы, жертвы, кампании, наборы инструментов, внешние ссылки.

Поле	Описание
ID	Идентификатор актёра.
Name	Основное имя (кликабельно → профиль).
Description	Краткое описание.
Aliases	Список алиасов.
Industries	Целевые отрасли.
Countries	Страны/регионы, где происходили атаки.
Updated	Дата последнего обновления.

Профиль актёра

General information – имя, группа (APT/Crimeware), иконка, алиасы.

CVEs – уязвимости, которые актёр использует.

Software – инструменты/вредоносное ПО, применяемое актёром (кликабельно → профиль ПО).

TTPs Details – таблица MITRE ATT&CK TTP, используемых акткёр~~ыть~~ом ~~Procedures examples~~,(можно экспортировать ~~JSON.~~в ~~Получаем~~JSON).

Reports – список ~~IOCs~~относящихся к актёру отчётов (~~SHA‑256,~~с ~~IP‑C&C, домены).~~ 4 ~~Сохранить IOCs в SIEM → соз~~дат~~ь корреляцию “если встречен люб~~ой, изгруппой, ~~SHA‑256~~ID, ~~→ создать инцидент”.~~ ~~Автоматическое об~~на~~ружение повторных попыток.~~
~~5.2 Сценарий B – Формиро~~званием, ~~C&C‑IP‑feed~~тегами).

Пример для SOC

ействий

~~Шаг~~№	Действие	ВОжидаемы~~вод~~й результат
1	Открыть вкладку ~~Threat~~Actors, ~~Infrastructure~~отфильтровать Affected Countries → Россия и Industries → Государственный сектор.	Список актёров, соответствующих ~~C&C‑IP з~~фильтра ~~последние 30 дней~~м.
2	Выбрать актёра (пример – Angry Likho).	Откроется профиль с описанием, TTP, отчётами.
3	В разделе TTPs Details нажать Download JSON.	Скачан JSON‑файл со всеми TTP.
4	В секции Reports просмотреть последние отчёты.	Список доступных отчётов.
5	Перейти к связанному Software (пример – Lumma Stealer).	Появится профиль ПО с описанием, возможностями детекции и TTP.
6	В Procedure examples нажать Download JSON.	Скачан JSON со списком хешей.
7	Дополнительно: сформировать heat‑map, выбрав страну, актёра, отрасль и платформу (например, Windows).	Получена кастомизированная матрица ATT&CK.

Программное обеспечение (Software)

На странице Threat Landscape → Software перечисляются инструменты, используемые в APT‑кампаниях.

Поле	Описание
ID	Идентификатор ПО.
Name	Наименование (кликабельно → профиль).
Aliases	Альтернативные имена.
Platforms affected	Уязвимые/затронутые платформы.
Related threat actors	Актёры, использующие ПО.
Updated	Дата последнего обновления.

Профиль программного обеспечения

Description – цель и функции.

Exploited vulnerabilities – уязвимости, которые ПО использует.

TTPs Details – таблица MITRE ATT&CK TTP (экспорт в JSON).

Procedure examples – хеши, примеры файлов.

Пример действий (см. таблицу выше)

Mitigations (смягчения)

Раздел Mitigations предоставляет сведения о мерах и технологиях, которые могут предотвратить успешное выполнение техники или подтехники.

Поле	Описание
ID	Идентификатор смягчения.
Name	Наименование (кликабельно → подробный профиль).
Updated	Дата/время последнего обновления.

Поиск возможен по имени или ID.

Чек‑лист результатов тестов

№	Критерий успеха	Достигнуто (да/нет)
1. Создать heat‑map MITRE ATT&CK
1.1	После выбора отрасли – heat‑map обновилась в реальном времени.	Да
1.2	После выбора географии – heat‑map обновилась в реальном времени.	Да
1.3	Фильтры легко фокусируют информацию о релевантных TTP.	Да
1.4	Threat Landscape предоставляет сводку по топ‑TTP и ПО.	Да
2. Предоставить практичную информацию о TTP
2.1	Лёгкий доступ к детальной информации о тактиках/техниках/подтехниках.	Да
2.2	Возможность собрать procedure examples.	Да
2.3	Экспорт примеров процедур в нужном формате (JSON).	Да
2.4	Предоставляются Sigma‑правила.	Да
2.5	Предоставляются Suricata‑правила.	Да
2.6	Предоставляются EDR‑правила (при наличии лицензии).	Да
3. Идентифицировать актёров и их инструменты
3.1	Лёгкий поиск актёров, релевантных компании.	Да
3.2	Экспорт TTP актёров в другие системы.	Да
3.3	Быстрый доступ к TI‑отчётам по актёрам.	Да
3.4	Возможность найти ПО, используемое актёрами.	Да
3.5	Экспорт примеров процедур, использованных актёрами.	Да

Отчётность

Исполнительное резюме

Совместный обмен разведданными – ключ к стратегии безопасности любой организации. Проблема большинства компаний – смешивание информации и разведки: без контекста «терабайты» данных мало что значат.

Наша позиция – предоставлять глубокую аналитическую разведку (APT‑кампании, финансово‑мотивированные группы, такие как Duqu, Carbanak, The Flame, Careto, Equation Group) и одновременно сохранять практический контекст для оперативного использования.

Цель сервиса

Kaspersky APT Intelligence Reporting – надёжный аналитический сервис, дающий:

сведения о текущих APT‑кампаниях, тактиках, техниках, инструментах и IOC;

рекомендации по обнаружению и смягчению;

executive‑summary для руководства;

техническую детализацию для аналитиков.

Kaspersky Crimeware Intelligence Reporting – информирует о кампаниях, направленных на финансовый сектор, банковские системы и платежные шлюзы.

Процедуры тестирования

Сервис предоставляет четыре типа отчётов:

APT‑отчёты (конкретные атаки) – executive‑summary, детальное описание, выводы и рекомендации, приложения (технический анализ, IOC, C2, хеши, маппинг MITRE ATT&CK).

Crimeware‑отчёты (анализ криминального ПО).

Researcher notes – дополнительные заметки от аналитиков.

Monthly APT activity report – обзор активности за месяц.

Фильтрация по Tags (Industry, Geolocation, Threat Actor). С помощью колонки Group можно отделить APT‑отчёты от Crimeware‑отчётов.

Тест 4 – Работа с актёрами и ПО

№	Действие	Ожидаемый результат
1	Открыть вкладку Reporting, отфильтровать по тегу ~~Germany~~Geo → Россия и Industry → Government.	Показаны отчёты, соответствующие выбранным тегам.
2	Найти нужный отчёт и кликнуть по Report ID (пример – Awaken Likho).	Открыт детальный отчёт.
3	Скачать Report (En) (PDF).	PDF‑файл скачан и открывается.
4	Скачать IoC (OpenIOC) и открыть в текстовом редакторе.	Список IOC получен.
5	Скачать Yara‑правила и открыть в редакторе.	Правила Yara получены.

Kaspersky Threat Lookup

Исполнительное резюме

Threat Lookup предлагает единый веб‑сервис, собирающий всю накопленную Kaspersky информацию о киберугрозах и их взаимосвязях. Цель – дать команде безопасности максимум данных для предотвращения атак до их возникновения.

Ключевые возможности

Надёжная разведка – проверенные данные, низкий уровень ложных срабатываний.

Реальное время – автоматическая генерация данных по всему миру.

Threat hunting – проактивный поиск, раннее обнаружение.

Широкий спектр данных – хеши, URL, IP, WHOIS/DNS, pDNS, GeoIP, атрибуты файлов, цепочки загрузок, timestamps и пр.

Непрерывная доступность – отказоустойчивая инфраструктура.

Экспорт в STIX, OpenIOC, JSON, Yara, Snort, CSV.

Web‑интерфейс и REST‑API.

Процедуры тестирования

Поиск индикаторов (IP, домен, хеш, URL) через веб‑интерфейс или API.

Оценка статуса (malicious, clean, unknown и т.п.).

Просмотр подробностей (WHOIS, DNS, связанные файлы, URL‑маски, спам‑/фишинг‑атаки).

Кнопки Open in research graph, Copy request, Export all results (CSV, OpenIOC, STIX).

Пример анализа хеша

Поле	Описание
Status	Малисийный/чистый/неизвестный.
Hits	Популярность (сколько раз обнаружен).
First/Last seen	Дата первого/последнего появления.
Format	Формат файла.
Size	Размер (байт).
Signed by / Packed by	Подписант / упаковщик.
MD5 / SHA‑1 / SHA‑256	Хеши.
Category	Принадлежность к APT.
Reports	Ссылка на связанные отчёты (при наличии лицензии).
Data Feeds	Список фидов, содержащих объект.
Industries	Отрасли, где объект встречался.

Пример анализа IP‑адреса

Поле	Описание
Status	Рискованность.
Hits	Популярность.
First/Last seen	Даты появления.
Threat scope	Оценка (0‑100).
Owner name / ID	Владелец.
Created / Updated	Даты регистрации/обновления.
Category	Категория.
Reports / Data Feeds / Industries	Аналогично хешам.

Пример анализа домена/URL

Поле	Описание
Status, IPv4 count, Files count, Created, Expires, Domain, Registrar, Owner, Category, Reports, Data Feeds, Industries	Как в таблицах выше.

Тест 5 – Работа с Threat Lookup

№	Действие	Ожидаемый результат
1	Ввести IP 81.0.236.93 в Master search. Проверить Overview, WHOIS, Timeline, Files related.	Показаны результаты поиска.
2	В секции Files related to IP address нажать Download data.	CSV‑файл со списком файлов скачан.
3	Поиск в системе по одному из хешей (пример 093B946FD1C80071AA0AE912D7362FAA). Перейти к Files downloaded from web address и открыть URL.	Показаны результаты по выбранному хешу и URL.
4	В Files that accessed the requested web address кликнуть хеш → открывается страница хеша.	Показан список хешей.
5	Прокрутить к TTPs details для данного хеша.	Видны детали TTP.

AI OSINT IoCs

Раздел AI OSINT IoCs автоматически генерирует резюме из открытых источников (соцсети, блоги, форумы) по запрошенному индикатору.

Возможные поля в AI‑резюме: Observed, Threat actors, Affected areas, Affected industries, Associated software, Exploited vulnerabilities, Exploited weaknesses, General threat information, Highlights.

Тест 6 – Работа с AI OSINT IoC

№	Действие	Ожидаемый результат
1	На главной странице кликнуть по индикатору (пример 346C29015AFE9380B6499F5A88CDDBB7), открыть вкладку OSINT IoCs.	Переход к Look‑up‑tab.
2	Проверить AI‑генерированную карточку.	Карточка отображается сверху.

Сохранённые поиски (Saved Searches)

Позволяют задать периодические запросы (ежедневно) для отслеживания изменений индикаторов.

Тест 7 – Работа со Saved Searches и Research Graph

№	Действие	Ожидаемый результат
1	В Saved Searches создать запрос, отслеживающий файлы, обращающиеся к вашему домену (пример: `Request → kaspersky.com`, `Service → Lookup`, `Section → Files accessing domain`, `Name → test`).	Открыта страница создантия поискового запроса.
2	Через 24 ч проверить результаты.	Появитсуя AI‑карточка с новыми данными.
3	Ввести IP в Master search, нажать Open in research graph.	Откроется страница графа.
4	Правой кнопкой мыши по группе объектов → Show grouped nodes, найти нужный хеш, перетащить в граф.	Хеш добавлен в граф.

Kaspersky Threat Analysis

Исполнительное резюме

Традиционные антивирусы способны остановить лишь известные угрозы. Сегодня необходимы аналитика поведения, атрибуция и технологии сходства, позволяющие обнаруживать ранее невидимый малвер. Kaspersky Threat Analysis объединяет:

Cloud Sandbox – динамический анализ поведения.

Attribution Engine – определение источника/автора APT‑образцов.

Similarity – поиск файлов, схожих по поведению и структуре.

Эти инструменты позволяют ускорить приоритизацию инцидентов и автоматизировать рутинные задачи.

Kaspersky Research Sandbox (облачная версия)

Гибридный подход: эмуляция поведения + анти‑эвейшн‑техники.

Патент US10339301.

Автоматическое ускорение времени внутри ВМ, когда малвер пытается «замедлиться» в VM.

Как загрузить и проанализировать файл

Upload and execute file – выбрать файл (или drag‑and‑drop). Максимальный размер – 256 МБ.

Выбрать нужные технологии: Sandbox, Attribution, Similarity (по умолчанию только Sandbox).

При необходимости указать Archive password, Document password, Internet channel (Any, Tor, Tarpit, отдельные страны).

Выбрать File execution environment (Windows XP, 7 x86/64, 10 x64, Android x86/ARM).

При желании задать Execution time, Decrypt HTTPS, Click links, Command line parameters.

Нажать Start analysis → ожидать завершения (в Recent results статус Completed).

Выводы Sandbox

Summary – карта активности, скриншоты, сетевые запросы.

Results – обнаруженные угрозы, правила, сетевые активности.

Static analysis – только для Android.

System activities, Extracted files, Network activities – детальная информация.

Для каждой секции доступна кнопка Download data (CSV, JSON, STIX, ZIP).

Тест 8 – Анализ подозрительного файла в Cloud Sandbox

№	Дейсктвие	Ожидаемый результат
1	Скачать обрафзец по ссылке `https://support.kaspersky.com/common/diagnostics/7399`, загрузить в Threat Analysis, нажать Start file analysis, после завершения отк)рыть Sandbox.	~~Остаё~~Появятся ~~подм~~результаты аножализа, summary в верхней части.
2	Кликнуть Malware в разделе Detects.	Показаны ~~IP.~~названия детекций.
3	Прокрутить до Execution map.	Отображаются действия файла в системе.
4	Прокрутить до Screenshots.	Показаны скриншоты выполнения.
5	Нажать Export Results → Debug report.	Скачан zip‑архив (пароль infected) со всеми API‑вызовами.

Kaspersky Attribution Engine (облачная версия)

Сравнивает загруженный файл с базой более 80 000 APT‑образцов и 25‑летней коллекцией «чистых» файлов.

Выдаёт Summary, Sample & Content, Similar samples, Matched genotypes, Matched strings.

Экспорт в JSON, STIX, CSV.

Kaspersky Similarity

Ищет файлы с похожими хешами (50+ типов similarity‑hashes).

Отображает Summary, Sample & Content, Similar files, Confidence (8‑11), Statistics, Detection names, Status summary.

Threat Infrastructure Tracking

Исполнительное резюме

Сервис Threat Infrastructure Tracking выдаёт IP‑адреса инфраструктуры, связанной с продвинутыми угрозами (C2‑серверы, хостинг‑провайдеры и пр.). Обновляется ежедневно, содержит:

IP, дата первого/последнего появления, домен, страна, тип IP, теги, краткое описание.

IP‑адреса доступны в машинно‑читаемом виде (JSON/CSV) для интеграции в существующие решения.

Процедуры тестирования

Доступен в Threat Intelligence Portal → вкладка Active feed (список IP) и History (история активности).

Фильтрация по стране.

Тест 9 – Работа с вкладкой Threat Infrastructure

№	Действие	Ожидаемый результат
1	Открыть Threat Infrastructure.	Показан список IP‑адресов, принадлежащих C2.
2	Нажать Download data → выбрать JSON или CSV. При нажатии на IP перейти в Threat Lookup для детального просмотра.	ФСкачан файл, `cnc_germany.json`.
4	~~Импортировать в SIEM (~~при~~мер Splunk) через~~ `splunk add oneshot cnc_germany.json`.	~~Любой вх~~год~~ящий соединён~~ный кдля эти~~м IP будет генерир~~спользоватьния ~~событие.~~
5	~~Включить~~ ~~alerting~~ ~~→ устано~~витьде ~~порог~~Data ~~“> 5 соединений за 10 минут”.~~	~~SOC получает тревогу о возможной кампании.~~Feed.

6.Ссылки

~~“Сх~~

https://www.kaspersky.com/

https://www.securelist.com

6.1являются собственностью их владельцев.

Примечание: Некоторые разделы (например, траблицы с нумерацией «0», «1», «2») сполдержат placeholder‑значения загружаемого файла

┌───────────────────────────────┐
│  Upload file                    │
│  ───────────────────────────── │
│  [ Recommended ]  <─► Slider   │   ← время (30‑500 сек)
│  [ Reset ]                     │
│                                 │
│  Internet channel:             │
│   • Any channel   (default)    │
│   • Tor                         │
│   • Tarpit                      │
│   • Country list (AU, DE…)     │
│                                 │
│  Change name/extension → ____  │
└───────────────────────────────┘

6.2 Поток данных из Threat Infrastructure в SIEM

┌───────────────┐   Click   ┌─────────────────────┐   Export   ┌─────────────────┐
│ Threat Infra  │─────────►│  IP‑table (filter)  │──────────►│  JSON/CSV Feed │
└──────┬────────┘          └───────┬─────────────┘            └─────┬───────────┘
       │                          │                               │
       ▼                          ▼                               ▼
   Lookup page                Save to disk                 Load into SIEM
   (detail view)                (CSV/JSON)                (alerting mode)

7. Практические рекомендации

~~Рекомендация~~	~~Почему это важно~~
~~Всегда задавайте канал~~ ~~(не оставляйте~~ ~~Any channel~~~~), если хотите контролировать выход в Интернет.~~	~~Позволяет избежать «утечки» к реальным C&C‑сервером при тесте.~~
~~Сохраняйте~~ оригинальныйом хдокумеш ~~(SHA‑256)~~нте; в~~месте с~~ переимводен о~~ванным файлом.~~	~~Упрощает корреляцию с внеш~~ни~~ми репозиториями (VirusTotal, MISP).~~
~~Регулярно~~ о~~бновляйте IP‑feeds~~ ~~(не реже 24 ч).~~	~~C&C‑инфраструктура быстро меняется, у~~старев~~ший список приводит к пропуску угроз.~~
~~Включайте режим Alerting только пос~~ле ~~валидации~~ ~~(проверьте, что SIEM правильно импортировал поля).~~	~~Предотвращает “шум”‑оповещения и лож~~ны бе ~~срабатывания.~~
~~Экспортируйте процедуры в JSON и храните в репо~~з~~итории (Git/MISP)~~.	~~История~~ изменени~~й помогает отслеживать эволюцию кампаний~~я.

8. При необходимерости скрипта авутоматической загрузки C&C‑IP‑feed

#!/usr/bin/env bash
# Скрипт: fetch_cnc_feed.sh
# Предполагает наличие токена API (TOKEN) и curl

TOKEN="YOUR_KTI_API_TOKEN"
URL="https://ti.kaspersky.com/api/v1/threat-infrastructure?region=RU"

curl -H "Authorization: Bearer $TOKEN" -H "Accept: application/json" \
     "$URL" -o cnc_ru.json

# Пример быстрой загрузки в Elastic SIEM (filebeat)
cp cnc_ru.json /etc/filebeat/modules.d/kaspersky_cnc.json
systemctl restart filebeat

~~Данный скрипт иллюстрирует автоматизацию: скачивание списка в JSON и его передачу в систему мо~~ниторе и~~нга — в реальном PoC‑Guide API‑эндпоинт может отличаться, но~~х концте~~пция о~~кст~~аётся~~ ~~той же [1].~~

9. Заключение

~~Портал KTI~~у п~~ред~~остав~~ляет г~~щи~~бкие возможности~~ ~~контроля параметров исполнения~~ ~~(время, интернет‑канал, переименование) [1].~~

~~Вклад~~ка ~~Threat Infrastructure~~ ~~позволяет бы~~ус~~тро собрать~~ ~~IP‑feed~~ ~~в удобных форматах — JSON или CSV [1].~~

~~Экспорт процедур и их хранение в виде JSON — база знаний для дальнейшего анализа и построения корреляций.~~

~~Интеграция по~~лу~~ченных артефактов в SIEM/EDR (через~~ ~~Data Feed~~ и ~~alerting~~~~) закрывает цикл: от обнаружения до автоматической реакци~~ги.

Следуя описанному пошаговому процессу, аналитик SOC получит полностью воспроизводимый, автоматизируемый и документированный метод работы с интеллектуальными данными Kaspersky Threat Intelligence, что значительно ускорит реагирование на текущие и будущие киберугрозы. [1]

TIP: Плейбук использования решения

Kaspersky TIP PoC Guide

1.Решения и услуги

Команда, не имеющая аналогов, формирующая будущее кибербезопасности

Защита Kaspersky: самая протестированная, самая награждённая

Kaspersky признан лидером в области ИИ

Kaspersky Threat Intelligence

2. Подготовка и загрузка файла в Sandbox

2.1 Выбор времени исполнения

2.2типы ВыборThreat интернет‑канала

Перечень продуктовых блоков в рамках Threat Intelligence

Область применения PoC Threat Intelligence

Threat Landscape

Threat Lookup – 100 запросов в день

Reporting

Threat Analysis

Прочие функции

Kaspersky Threat Landscape

Исполнительное резюме

Цель сервиса

Процедуры Птестиреименования

Как система реагирует на файлы с «поддельными» расширениями [1].

3. Работает матрица MITRE ATT&CK

3.1 Чказыватоь тактики/техники;

Статистика в Threat Landscape

3 – Пошаговый процесс

3.4 Применение в режиме Alerting

4. Схема полного рабочего процесса

Цели тесследтирования

Тест 1 – Создание MITRE ATT&CK heat‑map, релевантной когмпании

5.1 Сце ATT&CK.

Возможнарые фий A – Бысльтрая проверка подозрённого PE‑файла

Как применить фильтры

Как сохранить набор фильтров

Работа с сохранёнными наборами

Примерный чек‑лист действий

Тест 2 – Предоставление практичной информации о TTP, релевантных компании

Тактики

Техники

Подтехники

Примеры процедур

Правила (Rules)

Sigma‑правила

Suricata‑правила

Отчёты (Reports)

Примерный чек‑лист

Тест 3 – Идентификация актуальных для компании актёров‑угроз и их инструментов

Актёры

Профиль актёра

5.2 Сценарий B – Формирозванием, C&C‑IP‑feedтегами).

Пример для SOC

Программное обеспечение (Software)

Профиль программного обеспечения

Пример действий (см. таблицу выше)

Mitigations (смягчения)

Чек‑лист результатов тестов

Отчётность

Исполнительное резюме

Цель сервиса

Процедуры тестирования

Тест 4 – Работа с актёрами и ПО

Kaspersky Threat Lookup

Исполнительное резюме

Процедуры тестирования

Пример анализа хеша

Пример анализа IP‑адреса

Пример анализа домена/URL

Тест 5 – Работа с Threat Lookup

AI OSINT IoCs

Тест 6 – Работа с AI OSINT IoC

Сохранённые поиски (Saved Searches)

Тест 7 – Работа со Saved Searches и Research Graph

Kaspersky Threat Analysis

Исполнительное резюме

Kaspersky Research Sandbox (облачная версия)

Как загрузить и проанализировать файл

Выводы Sandbox

Тест 8 – Анализ подозрительного файла в Cloud Sandbox

Kaspersky Attribution Engine (облачная версия)

Kaspersky Similarity

Процедуры
Птестиреименования

Как система реагирует на файлы с «поддельными» расширениями [1].

3 – Пошаговый процесс

Тест 1 – Создание MITRE ATT&CK heat‑map, релевантной когмпании

Возможнарые фий A – Бысльтрая проверка подозрённого PE‑файла

Тест 2 – Предоставление практичной информации о TTP, релевантных компании

Тест 3 – Идентификация актуальных для компании актёров‑угроз и их инструментов

5.2 Сценарий B – Формирозванием, C&C‑IP‑feedтегами).

Тест 4 – Работа с актёрами и ПО

Тест 5 – Работа с Threat Lookup

Тест 6 – Работа с AI OSINT IoC

Тест 7 – Работа со Saved Searches и Research Graph

Тест 8 – Анализ подозрительного файла в Cloud Sandbox

Тест 9 – Работа с вкладкой Threat Infrastructure