Описывает поток данных об угрозах или источник данных об угрозах.
Путь
Feeds > Feed
Атрибуты
У этого элемента есть следующие атрибуты:
Атрибуты элемента «Feed»
Атрибут |
Описание |
---|---|
|
Указывает, включен ли поток данных об угрозах или источник данных об угрозах на глобальном уровне (для всех тенантов). |
|
Имя источника данных об угрозах или имя файла потока данных об угрозах в каталоге, указанном в элементе ServiceSettings > Bases. Этот атрибут является обязательным. |
|
Уровень доверия к потоку данных об угрозах или источнику данных об угрозах. Можно использовать значения в диапазоне от Этот атрибут является обязательным. |
|
Время (в часах) с момента последнего обновления потока данных об угрозах, по истечении которого в место назначения события отправляется уведомление об устаревшем потоке данных об угрозах ( Чтобы отключить уведомления для этого потока данных об угрозах, задайте для этого параметра значение Рекомендуется установить значение Для сторонних источников данных об угрозах этот параметр по умолчанию имеет значение Этот атрибут не является обязательным. |
|
Время (в минутах), по истечении которого индикаторы компрометации потока данных об угрозах или источника данных об угрозах удаляются из базы данных. Если индикатор обнаруживается на основе входящего события, он не удаляется из базы данных, но больше не может использоваться в процессе сопоставления для потока данных об угрозах, содержащего этот индикатор, или источника данных об угрозах, который его предоставляет. Чтобы снять ограничение по времени для аннулирования потока или источника данных об угрозах, установите для этого атрибута значение Этот атрибут применяется к источникам, отличным от Kaspersky Threat Data Feeds. |
|
Название поставщика потока данных об угрозах или источника данных об угрозах. Этот атрибут не является обязательным. |
|
Указывает, следует ли использовать индикаторы из потока данных об угрозах или источника данных об угрозах для ретроспективного сканирования. Если индикаторы должны использоваться для ретроспективного сканирования, для этого атрибута задается значение Если индикаторы не должны использоваться для ретроспективного сканирования, для этого атрибута задается значение |
|
Указывает, что источник данных об угрозах был добавлен с помощью REST API. Если источник данных об угрозах был добавлен с помощью REST API, значение этого атрибута — Этот атрибут не является обязательным. |
Вложенные элементы
Этот элемент является контейнером для следующего вложенного элемента:
Определяет поля контекста.
Пример
Ниже приведен пример этого элемента.
<Feed filename="Demo_Botnet_CnC_URL_Data_Feed.json" enabled="true" confidence="100"> <ActionableFields> ... </ActionableFields> </Feed> |