Начиная с версии Kaspersky CyberTrace 4.0, обнаружение по некоторым полям потоков данных об угрозах было отключено, соответственно, были отключены и соответствующие категории обнаружений (см. список ниже).
Чтобы включить обнаружение событий для этих категорий, выполните следующие действия:
systemctl stop cybertrace.service
(в Linux)
sc stop cybertrace
(в Windows)
httpsrv\etc\kl_feed_info.conf
httpsrv/etc/kl_feed_info.conf
fields
потока данных об угрозах. Подробная информация о категориях, которые можно добавить, приведена в таблице ниже. Например, чтобы включить обнаружение по MD5, SHA1 и SHA256 для потока данных об угрозах Botnet C&C URL Data Feed, отредактируйте файл kl_feed_info.conf
следующим образом:
{ "name": "Botnet_CnC_URL_Data_Feed", "id": 65, "description": "A set of URLs and hashes with context that cover desktop botnet C&C servers and related malicious objects. Masked and non-masked records are available.", "fields": [ { "name": "mask", "type": "URL", "category": "KL_BotnetCnC_URL" },
"verification": [ { "indicator": "http://fakess123bn.nu/", "category": "KL_BotnetCnC_URL" } ] } |
systemctl start cybertrace.service
(в Linux)
sc start cybertrace
(в Windows)
В таблице ниже приведены значения для элементов name
, type
и category
в файле kl_feed_info.conf
.
Категории, которые можно добавить в потоки данных об угрозах
Имя |
Тип |
Категория |
---|---|---|
Botnet C&C URL Data Feed и Demo Botnet C&C URL Data Feed |
||
files/MD5 |
MD5 |
KL_BotnetCnC_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_BotnetCnC_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_BotnetCnC_Hash_SHA256 |
IP Reputation Data Feed и Demo IP Reputation Data Feed |
||
files/MD5 |
MD5 |
KL_IP_Reputation_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_IP_Reputation_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_IP_Reputation_Hash_SHA256 |
Malicious URL Data Feed |
||
files/MD5 |
MD5 |
KL_Malicious_URL_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_Malicious_URL_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_Malicious_URL_Hash_SHA256 |
Mobile Botnet C&C URL Data Feed |
||
files/MD5 |
MD5 |
KL_Mobile_BotnetCnC_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_Mobile_BotnetCnC_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_Mobile_BotnetCnC_Hash_SHA256 |
Ransomware URL Data Feed |
||
files/MD5 |
MD5 |
KL_Ransomware_URL_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_Ransomware_URL_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_Ransomware_URL_Hash_SHA256 |
После выполнения действий, описанных в этом разделе, Kaspersky CyberTrace выполняет следующие действия: в дополнение к загрузке IP-адресов и масок при загрузке в базу индикаторов потоков данных об угрозах «Лаборатории Касперского» Kaspersky CyberTrace также загружает индикаторы, соответствующие хешам. В результате для потоков данных об угрозах, перечисленных в этом разделе, Kaspersky CyberTrace обнаруживает события не только по IP-адресам и маскам, но и по хешам файлов.
В начало