Feed Utility представляет собой консольное приложение. Его можно вызвать его из командной строки.
Синтаксис
В ОС Linux Feed Utility использует следующий синтаксис:
./kl_feed_util [options]
В ОС Windows Feed Utility использует следующий синтаксис:
kl_feed_util.exe [options]
Параметры
Доступны следующие параметры:
−h [ −−help ]Вывод справочного сообщения.
−v [ −−verbose ]Включение подробного режима.
Если включен подробный режим, Feed Utility выводит на экран подробную информацию о выполняемых действиях. Если подробный режим выключен, выводится краткая информация.
−s [ −−silent ]Включение режима подавления вывода.
Если включен режим подавления вывода, Feed Utility не выводит на экран информацию о выполняемых действиях.
−c [ −−config ] argЗадает путь к конфигурационному файлу Путь указывается в аргументе arg.
Можно использовать как абсолютные, так и относительные пути. Если указан относительный путь, он отсчитывается относительно бинарного файла Feed Utility.
Значение по умолчанию для этого параметра — kl_feed_util.conf. Feed Utility ищет этот файл в каталоге, в котором находится бинарный файл Feed Utility.
−d [ −−download ]Включение режима загрузки.
Если указан этот параметр, Feed Utility загружает потоки данных об угрозах, но не обрабатывает их.
Загруженные файлы располагаются в каталоге, указанном в параметре WorkDir конфигурационного файла Feed Utility.
−u [ −−unpack ]Распаковка загруженных потоков данных об угрозах.
Если указан этот параметр, Feed Utility распаковывает потоки данных об угрозах после загрузки.
Этот параметр можно использовать только в сочетании с параметром −d или −p.
−p [ −−processing ]Включение режима обработки.
Если указан этот параметр, Feed Utility обрабатывает потоки данных об угрозах, но не загружает и не распаковывает их. Feed Utility не удаляет исходные файлы потоков данных об угрозах.
Feed Utility ищет потоки данных об угрозах в каталоге, указанном в параметре WorkDir конфигурационного файла Feed Utility.
В режиме обработки Feed Utility не удаляет исходные файлы потоков данных об угрозах, расположенные в каталоге WorkDir. В результате в этом каталоге может оказаться несколько версий одного файла потока данных об угрозах. В этом случае Feed Utility выводит в консоль сообщение об ошибке. Чтобы избежать этой ситуации, необходимо вручную удалить исходные файлы потоков данных об угрозах из каталога WorkDir после их обработки Feed Utility.
−f [−−feed] argЗагрузка или обработка указанного потока данных об угрозах.
Имя потока данных об угрозах указывается в аргументе arg. Это имя должно соответствовать значению параметра Name, указанному в правилах потока данных об угрозах (Feeds > Feed > Name).
Можно указать несколько потоков данных об угрозах. В этом случае названия потоков данных об угрозах разделяются точкой с запятой («;»).
Этот параметр можно использовать с параметрами −d и −p.
−i [−−input]Парсинг внешнего потока данных об угрозах с преобразованием его в формат JSON в соответствии с правилами парсинга, определенными для этого потока данных об угрозах.
Имя потока данных об угрозах указывается в формате −f.
−l [ −−list ]Выводит в консоль список потоков данных об угрозах, доступных с текущим сертификатом и информацию о том, указан ли каждый из потоков данных об угрозах в конфигурационном файле Feed Utility: строка used в выводе означает, что поток данных об угрозах указан в конфигурационном файле, а строка unused означает, что этот поток данных об угрозах там не указан. Поток данных об угрозах указанный в конфигурационном файле (used), может быть как включенным, так и отключенным.
Этот параметр можно использовать в сочетании с параметром −c или −v.
−−set−proxy username:password@host:portЗаписывает указанные параметры соединения с прокси в конфигурационный файл Feed Utility. Параметры username и password записываются в зашифрованном виде.
Имя пользователя указывается в параметре username, пароль — в параметре password, а адрес и порт прокси-сервера — в параметрах host и port.
Если прокси-сервер не требует аутентификации, следует использовать формат −−set−proxy host:port.
−−set−taxii username:password@feedname@taxii−address@collectionnameЗаписывает указанные параметры соединения с сервером TAXII в конфигурационный файл Feed Utility. Параметры username и password записываются в зашифрованном виде.
Если сервер TAXII не требует аутентификации, следует использовать формат feedname@taxii−address@collectionname.
−−set−basic−auth username:password@feednameЗаписывает указанные базовые настройки аутентификации в конфигурационный файл Feed Utility. Параметры username и password записываются в зашифрованном виде.
Если пароль не требуется, следует использовать формат username:@feedname.
−−speedtestИзмерение средней скорости, с которой Feed Utility загружает потоки данных об угрозах с серверов «Лаборатории Касперского».
Этот параметр можно комбинировать с параметром −c и указать путь к конфигурационному файлу, который требуется использовать.
−−set−mailboxДля подключения к почтовому серверу Feed Utility кодирует имя пользователя и пароль с помощью этого параметра.
В параметре −−set-mailbox указывается атрибут {user}:{pass}@{FeedName},
где:
{user} — учетная запись пользователя для подключения к почтовому серверу.
{pass} — пароль учетной записи пользователя для подключения к почтовому серверу.
{FeedName} – имя потока данных об угрозах, для которого настраивается подключение.
Если в имени потока данных об угрозах есть пробел, такое имя следует заключать в кавычки.
−−check−mailbox−connectionДля проверки соединения с почтовым сервером в параметре −−check-mailbox-connection следует указать атрибут {FeedName}, где {FeedName} — имя потока данных об угрозах, для которого требуется проверить параметры подключения.
Если в имени потока данных об угрозах есть пробел, такое имя следует заключать в кавычки.
Примеры синтаксиса
Запуск Feed Utility с параметрами по умолчанию. Feed Utility загрузит, распакует и обработает потоки данных об угрозах.
./kl_feed_util |
kl_feed_util.exe |
Запуск Feed Utility в подробном режиме с конфигурационным файлом custom_configuration.conf, расположенным в том же каталоге, что и бинарный файл Feed Utility.
./kl_feed_util −v −c custom_configuration.conf |
kl_feed_util.exe −v −c custom_configuration.conf |
Загрузка и распаковка потоков данных об угрозах.
./kl_feed_util −d −u |
kl_feed_util.exe −d −u |
Обработка распакованных потоков данных об угрозах. В этом случае Feed Utility не загружает потоки данных об угрозах, а только ищет распакованные файлы потоков данных об угрозах и обрабатывает их.
./kl_feed_util −p |
kl_feed_util.exe −p |
Распаковка и обработка потоков данных об угрозах.
./kl_feed_util −u −p |
kl_feed_util.exe −u −p |
Загрузка, распаковка и обработка указанного потока данных об угрозах.
./kl_feed_util −f Demo_Botnet_CnC_URL_Data_Feed |
kl_feed_util.exe −f Demo_Botnet_CnC_URL_Data_Feed |
Указание параметров подключения к прокси-серверу. Эти параметры записываются в конфигурационный файл.
./kl_feed_util −−set−proxy 'user:pass@proxy.example.com:3128' |
kl_feed_util.exe −−set−proxy 'user:pass@proxy.example.com:3128' |
Указание параметров подключения к прокси-серверу для прокси-сервера, не требующего аутентификации. Эти параметры записываются в конфигурационный файл.
./kl_feed_util −−set−proxy 'proxy.example.com:3128' |
kl_feed_util.exe −−set−proxy 'proxy.example.com:3128' |
Указание параметров подключения к серверу TAXII. Эти параметры записываются в конфигурационный файл.
./kl_feed_util −−set−taxii ' |
kl_feed_util.exe −−set−taxii ' |
Отображение средней скорости, с которой Feed Utility загружает потоки данных об угрозах с серверов «Лаборатории Касперского».
./kl_feed_util −−speedtest |
kl_feed_util.exe −−speedtest |
Получение списка доступных потоков данных об угрозах с последующим сохранением этого списка в файле available_feeds.txt.
./kl_feed_util −l > available_feeds.txt |
kl_feed_util.exe −l > available_feeds.txt |