Определяет, как события должны сверяться с потоками данных об угрозах.
Путь
Feeds
Атрибуты
У этого элемента есть следующие атрибуты:
Атрибуты элемента «Feeds»
Атрибут |
Описание |
---|---|
|
Этот атрибут указывает, сколько раз поле события может быть сопоставлено с потоками данных об угрозах. Например, определенный URL может соответствовать нескольким записям потока данных об угрозах, поэтому будет сформировано несколько событий обнаружений киберугроз. Атрибут Этот атрибут не является обязательным. Если атрибут не указан, количество генерируемых событий не ограничено. |
|
Этот атрибут указывает интервал обновления потоков данных об угрозах (в минутах). Можно использовать одно из следующих значений: Значение Этот атрибут не является обязательным. Если атрибут не указан, по умолчанию используется значение |
Вложенные элементы
Этот элемент является контейнером для следующего вложенного элемента:
Каждый элемент Feed описывает один потока данных об угрозах.
Конфигурационный файл должен содержать хотя бы один элемент Feed.
Пример
Ниже приведен пример этого элемента.
<Feeds per_scan_detect_limit="10000" update_frequency="30"> <Feed filename="Demo_Botnet_CnC_URL_Data_Feed.json" enabled="true" confidence="100"> ... </Feed> <Feed filename="Demo_Malicious_Hash_Data_Feed.json" enabled="true" confidence="100"> ... </Feed> <Feed filename="Demo_IP_Reputation_Data_Feed.json" enabled="true" confidence="100"> ... </Feed> </Feeds> |