В этом разделе описывается порядок проверки соединения с Kaspersky CyberTrace Service и способности Kaspersky CyberTrace Service сопоставлять события с определенными потоками данных об угрозах.
Перед проверкой соединения с Kaspersky CyberTrace Service необходимо убедиться, что в элементе ServiceSettings > ScannersCount
конфигурационного файла есть хотя бы один неиспользуемый сканер.
Отправка ping-запроса
Для проверки соединения с Kaspersky CyberTrace Service можно отправить ping-запрос. Этот метод не требует, чтобы какие-либо потоки данных об угрозах были включены. Для использования этого метода не потребуется коммерческий сертификат для доступа к потокам данных об угрозах от «Лаборатории Касперского» Kaspersky Threat Data Feeds.
Чтобы проверить соединение с Kaspersky CyberTrace Service путем отправки ping-запроса, выполните следующие действия:
X-KF-ReplyBackPING
в качестве первого сообщения.Если в ответ приходит PONG
, это означает, что Kaspersky CyberTrace Service работает и прослушивает указанные IP-адрес и порт в ожидании входящих событий.
Отправка тестового события
Кроме реальных индикаторов компрометации, потоки данных об угрозах Kaspersky Threat Data Feeds также содержат записи, предназначенные только для тестирования, и не соответствующие реальным вредоносным объектам. С помощью данных записей можно убедиться в корректности функционирования Kaspersky CyberTrace Service в части сопоставления входящих событий с потоками данных об угрозах Kaspersky Threat Data Feeds. Эти записи всегда присутствуют в потоках данных об угрозах Kaspersky Threat Data Feeds и никогда не удаляются.
Чтобы проверить соединение с Kaspersky CyberTrace Service путем отправки тестового события, выполните следующие действия:
X-KF-SendFinishedEventX-KF-ReplyBack
в качестве первого сообщения.В следующей таблице приведены тестовые записи для коммерческих потоков данных об угрозах.
Тестовые записи (коммерческие потоки данных об угрозах)
Используемый поток данных об угрозах |
Тестовые записи |
Категория события |
Malicious URL Data Feed |
http://fakess123.nu |
KL_Malicious_URL |
Phishing URL Data Feed |
http://fakess123ap.nu |
KL_Phishing_URL |
Botnet C&C URL Data Feed |
http://fakess123bn.nu |
KL_BotnetCnC_URL |
IP Reputation Data Feed |
192.0.2.1 |
KL_IP_Reputation |
Malicious Hash Data Feed |
FEAF2058298C1E174C2B79AFFC7CF4DF |
KL_Malicious_Hash_MD5 |
Mobile Malicious Hash Data Feed |
60300A92E1D0A55C7FDD360EE40A9DC1 |
KL_Mobile_Malicious_Hash_MD5 |
Mobile Botnet C&C URL Data Feed |
http://sdfed7233dsfg93acvbhl.su/steallallsms.php |
KL_Mobile_BotnetCnC_URL |
Ransomware URL Data Feed |
http://fa7830b4811fbef1b187913665e6733c.com |
KL_Ransomware_URL |
APT URL Data Feed |
http://b046f5b25458638f6705d53539c79f62.com |
KL_APT_URL |
APT Hash Data Feed |
7A2E65A0F70EE0615EC0CA34240CF082 |
KL_APT_Hash_MD5 |
APT IP Data Feed |
192.0.2.4 |
KL_APT_IP |
IoT URL Data Feed |
http://e593461621ee0f9134c632d00bf108fd.com/.i |
KL_IoT_URL |
ICS Hash Data Feed |
7A8F30B40C6564EFF95E678F7C43346C |
KL_ICS_Hash_MD5 |
В следующей таблице приведены тестовые записи, которые можно использовать, когда включены только демонстрационные потоки данных об угрозах.
Тестовые записи (демонстрационные потоки данных об угрозах)
Используемый поток данных об угрозах |
Тестовые записи |
Категория события |
DEMO Botnet_CnC_URL_Data_Feed |
http://5a015004f9fc05290d87e86d69c4b237.com |
KL_BotnetCnC_URL |
DEMO IP_Reputation_Data_Feed |
192.0.2.1 |
KL_IP_Reputation |
DEMO Malicious_Hash_Data_Feed |
776735A8CA96DB15B422879DA599F474 |
KL_Malicious_Hash_MD5 |
LookupFinished
без информации о событии, это означает, что Kaspersky CyberTrace Service может получать события и выполнять сопоставление, но конкретный поток данных об угрозах отключен.