Feed Utility считывает параметры конфигурации, правила потоков данных об угрозах, правила фильтрации и правила парсинга для потоков данных об угрозах из конфигурационного файла. В этом файле в формате XML несколько групп параметров.
Пути в конфигурационном файле должны содержать только символы, используемые в локали операционной системы, иначе Feed Utility не будет работать.
Feed (правила потоков данных об угрозах, правила фильтрации и правила парсинга)
Параметр Feed содержит правила для определенного потока данных об угрозах. Этот элемент имеет несколько типов вложенных параметров:
У этого параметра есть следующие атрибуты:
enabledУказывает, должна ли Feed Utility загружать и обрабатывать этот поток данных об угрозах.
Если параметр enabled имеет значение «true», Feed Utility загружает и обрабатывает этот поток данных об угрозах. Если параметр enabled имеет значение «false», Feed Utility пропускает этот поток данных об угрозах.
В следующем примере показаны вложенные правила потока данных об угрозах, правила фильтрации и правила парсинга в конфигурационном файле.
<Settings> ... <Feeds> ... <Feed enabled="true"> <Name>Malicious_Hash_Data_Feed</Name> <!-- Other feed rules for this feed --> <Filters> <Field name="popularity" value="4;5"/> <!-- Other filtering rules for this feed --> </Filters> </Feed> <Feed> <Name>Botnet_CnC_URL_Data_Feed</Name> <!-- Other feed rules for this feed --> <!-- This feed has no filtering rules --> </Feed> ... </Feeds> ... </Settings> |
FeedsDir
Параметр FeedsDir задает каталог, в который Feed Utility помещает обработанные файлы потоков данных об угрозах.
WorkDir
Параметр WorkDir задает каталог, в который Feed Utility помещает загруженные и распакованные файлы потоков данных об угрозах.
Если этот параметр не указан, Feed Utility использует временный каталог операционной системы по умолчанию.
WorkDir не может быть идентичным FeedsDir.
CertFile
Параметр CertFile задает путь к файлу сертификата. Этот сертификат используется Feed Utility для загрузки потоков данных об угрозах.
Файл сертификата должен иметь формат PEM.
SourceIPs
Параметр SourceIPs задает IP-адреса, которые используются в Feed Utility для загрузки потоков данных об угрозах.
Этот параметр является необязательным. Если он не указан или имеет пустое значение, Feed Utility использует для разрешения адресов серверов «Лаборатории Касперского» их доменные имена.
В этом параметре можно указать один или несколько адресов IPv4. При указании нескольких IP-адресов следует использовать точку с запятой («;») в качестве разделителя.
В следующем примере демонстрируется указание IP-адресов в параметре SourceIPs.
<SourceIPs>192.0.2.1;192.0.2.2</SourceIPs> |
SourceDomains
Параметр SourceDomains задает доменные имена, используемые Feed Utility для загрузки потоков данных об угрозах.
В этом параметре можно указать одно или несколько доменных имен. При указании нескольких доменных имен следует использовать точку с запятой («;») в качестве разделителя. Feed Utility будет пытаться загрузить потоки данных об угрозах с указанных доменных имен в том порядке, в котором они указаны в конфигурационном файле.
Когда параметры SourceDomains и SourceIPs используются одновременно, домены, указанные в параметре SourceDomains, используются прежде IP-адресов, указанных в параметре SourceIPs. Если все попытки загрузить потоки данных об угрозах завершились неуспешно, Feed Utility выдает сообщение об ошибке.
В этом параметре можно использовать символы Uncode.
В следующем примере демонстрируется указание IP-адресов в параметре SourceDomains.
<SourceDomains>updates1.example.com;updates2.example.com</SourceDomains> |
CreateExternalFeedInfoList path="PATH"
Этот параметр считается устаревшим. В текущей версии Kaspersky CyberTrace он игнорируется.
Параметр CreateExternalFeedInfoList указывает, должен ли создаваться список поддерживаемых потоков данных об угрозах OSINT. Этот параметр является обязательным.
Если этот параметр имеет значение 1, Feed Utility создает список поддерживаемых потоков данных об угрозах OSINT «osint_feed_list.conf» в каталоге, указанном в атрибуте path. Если в Kaspersky CyberTrace были добавлены какие-либо пользовательские или сторонние потоки данных об угрозах, Feed Utility также создаст список этих потоков данных об угрозах «custom_feed_list.conf» в том же каталоге, что и «osint_feed_list.conf».
Если этот параметр имеет значение 0, Feed Utility не создает список поддерживаемых потоков данных об угрозах OSINT.
В следующем примере демонстрируется указание пути, по которому должен быть создан список. В этом примере список создается в том же каталоге, в котором находится бинарный файл Feed Utility.
<CreateExternalFeedInfoList path=".">1</CreateExternalFeedInfoList> |
NotifyKTFS path="PATH"
Параметр NotifyKTFS указывает, должен ли Kaspersky CyberTrace Service получать уведомления об обновлениях потоков данных об угрозах.
Этот параметр можно использовать только с форматом вывода json.
Если этот параметр имеет значение 1, Feed Utility уведомляет Kaspersky CyberTrace Service о необходимости перезагрузки потоков данных об угрозах. В атрибуте path этого параметра должен быть указан путь к бинарному файлу Kaspersky CyberTrace Service.
Если этот параметр имеет значение 0, Feed Utility не отправляет уведомления в Kaspersky CyberTrace Service.
EULA
Параметр EULA указывает, были ли приняты условия Лицензионного соглашения (EULA).
Если этот параметр имеет значение accepted, условия лицензионного соглашения были приняты.
Если этот параметр имеет значение rejected, условия лицензионного соглашения не были приняты. В этом случае использование Feed Utility невозможно.
RetryCount
Параметр RetryCount указывает количество попыток загрузки потока данных об угрозах Kaspersky Threat Data Feeds. Feed Utility пытается повторно загрузить поток данных об угрозах при истечении времени ожидания соединения, при частичной загрузки и при возникновении других ошибок.
Если указанное количество попыток оказалось безуспешным, Feed Utility отобразит сообщение об ошибке и продолжит работу.
Этот параметр используется только для потоков данных об угрозах Kaspersky Threat Data Feeds. Feed Utility не загружает повторно потоки данных об угрозах OSINT и другие пользовательские потоки данных об угрозах.
Этот параметр является необязательным. Если этот параметр не указан, Feed Utility использует значение по умолчанию 10.
Если этот параметр имеет значение 0, количество попыток не ограничено.
SequentialDownload
Параметр SequentialDownload указывает, должна ли Feed Utility загружать потоки данных об угрозах в последовательном или параллельном режиме.
Если это значение равно 1 или true, Feed Utility загружает потоки данных об угрозах в последовательном режиме, один за другим.
Если это значение равно 0 или false, Feed Utility загружает потоки данных об угрозах в параллельном режиме, все одновременно.
По умолчанию этот параметр имеет значение 0.
OutputFormat
Параметр OutputFormat определяет формат вывода для всех потоков данных об угрозах. Этот параметр может иметь следующие значения:
jsonПотоки данных об угрозах выводятся в формате JSON. Файлы потоков данных об угрозах имеют расширение .json.
Это значение задано по умолчанию. Если параметр OutputFormat пропущен, для определения формата вывода используется это значение.
txtПотоки данных об угрозах выводятся в простом текстовом формате (UTF-8 с BOM). Файлы потокjd данных об угрозах имеют расширение .txt.
delimiterВ этом формате поля записи разделяются разделителем. По умолчанию в качестве разделителя используется точка с запятой — «;». Указать собственный разделитель можно с помощью атрибута delimiter следующим образом:
<OutputFormat delimiter="%delimiter%">txt</OutputFormat>
Здесь %delimiter% необходимо заменить символом, который должен использоваться в качестве разделителя.
indicatorPerLineЧтобы выводить по одному полю записи в строке, установите для атрибута indicatorPerLine значение 1 следующим образом:
<OutputFormat indicatorPerLine="1">txt</OutputFormat>
Если используется этот атрибут, вложенные поля, указанные в правиле потока данных об угрозах RequiredFields, должны иметь одно и то же родительское поле. Например, запись "files/MD5;files/SHA1" корректна, а запись "files/MD5;whois/domain" некорректна и приведет к ошибке.
Если указан этот формат вывода, все правила потоков данных об угрозах в конфигурационном файле должны включать в себя параметр RequiredFields. Параметр RequiredFields задает порядок, в котором поля записываются в выходной поток данных об угрозах.
csvТо же, что и txt. Файлы потоков данных об угрозах имеют расширение .csv.
Можно использовать атрибуты delimiter и indicatorPerLine.
openiocПотоки данных об угрозах имеют формат OpenIOC. Файлы потоков данных об угрозах имеют расширение .ioc.
Версию формата OpenIOC можно указатьв атрибуте version: это может быть 1.0 или 1.1. Если этот атрибут не указан, используется версия 1.1.
Преобразование потоков данных об угрозах в формат OpenIOC 1.0 связано с некоторыми ограничениями. Потоки данных об угрозах Phishing URL Data Feed и Malicious URL Data Feed не могут быть преобразованы в формат OpenIOC 1.0; вместо этого в консоль выводится сообщение об ошибке. Для других потоков данных об угрозах конвертируются только поля хешей и IP-адресов. Конвертация потоков данных об угрозах в формат OpenIOC 1.1 не влечет таких ограничений.
Элемент RequiredFields использовать не рекомендуется. В этом случае в потоке данных об угрозах будут отсутствовать поля, обязательные для преобразования в формат OpenIOC.
Параметр RecordsCount использовать не рекомедуется, поскольку он не предназначен для этого формата. Результаты использования этого параметра могут быть непредсказуемыми.
Потоки данных об угрозах в формате OpenIOC занимают значительно больше места на жестком диске, чем исходные файлы потоков данных об угрозах.
stixПотока данных об угрозах имеют формат STIX™. Файлы имеют расширение .xml.
Для формата STIX потоки данных об угрозах с масками URL должны иметь поле type.
Версию формата STIX можно указать в атрибуте version: это может быть 1, 2.0 или 2.1. Если указано значение 1, поток данных об угрозах выводится в формате STIX 1.1. Если атрибут не указан, используется значение 1.
Элемент RequiredFields использовать не рекомендуется. В этом случае в потоке данных об угрозах будут отсутствовать поля, обязательные для преобразования в формат STIX.
Параметр RecordsCount использовать не рекомедуется, поскольку он не предназначен для этого формата. Результаты использования этого параметра могут быть непредсказуемыми.
Потоки данных об угрозах в формате STIX занимают значительно больше места на жестком диске, чем исходные файлы потоков данных об угрозах.
В следующем примере показан вложенный параметр OutputFormat в конфигурационном файле.
<Settings> ... <Feeds> <OutputFormat>json</OutputFormat> ... </Feeds> ... </Settings> |
CreateDiff
Параметр CreateDiff указывает, должна ли Feed Utility создавать инкрементные части для потоков данных об угрозах. Инкрементные потоки данных об угрозах — это файлы, содержащие различия между старой и новой версиями обрабатываемого файла потока данных об угрозах. Этот параметр влияет на все потоки данных об угрозах, создаваемые Feed Utility, следующим образом:
0, Feed Utility не создает инкрементные потоки данных об угрозах. Это значение задано по умолчанию.1, Feed Utility создает инкрементные потоки данных об угрозах. Если для параметра CreateDiff задано значение 1 и загружаются новые версии потоков данных об угрозах, для каждого потока данных об угрозах создаются два дополнительных файла (%feed_name% — имя файла потока данных об угрозах):
%feed_name% _new.json содержит записи, которые были добавлены в новую версию файла потока данных об угрозах.%feed_name% _del.json содержит записи, которые были удалены в новой версии файла потока данных об угрозах.Инкрементные потоки данных об угрозах можно создавать только для потоков данных об угрозах в формате JSON, содержащихся в одном файле:
OutputFormat должен иметь значение json.UrlMatcherField должен быть опущен или иметь пустое значение.RecordsCount не должен иметь атрибута perFile или этот атрибут должен иметь значение 0.Для создания инкрементного потока данных об угрозах Feed Utility использует ключевое поле в старой и новой версиях потока данных об угрозах:
id, MD5, ip, url или domain, это поле используется как ключевое поле.В следующем примере показан вложенный параметр OutputFormat в конфигурационном файле.
<Settings> ... <Feeds> ... <CreateDiff>0</CreateDiff> ... </Feeds> ... </Settings> |
ProxySettings
Параметр ProxySettings задает настройки прокси-сервера для Feed Utility. Если указан прокси-сервер, Feed Utility загружает потоки данных об угрозах с использованием указанных параметров.
Имя пользователя и пароль для прокси-сервера хранятся в конфигурационном файле Feed Utility. Эта информация не передается в «Лабораторию Касперского».
Настройки прокси задаются в следующих параметрах:
HostХост прокси-сервера.
В этом параметре можно указать доменное имя или IP-адрес. Поддерживаются адреса IPv4 и IPv6.
PortПорт прокси-сервера.
UserЗашифрованное имя пользователя для аутентификации на прокси-сервере.
Если прокси-сервер не требует аутентификации, оставьте этот параметр пустым.
Этот параметр хранится в зашифрованном виде. Для установки этого параметра используется параметр командной строки --set-proxy. Если вместо использования этого параметра командной строки ввести имя пользователя в незашифрованном виде, соединение с прокси-сервером не будет установлено.
PasswordЗашифрованный пароль для аутентификации на прокси-сервере.
Если прокси-сервер не требует аутентификации, оставьте этот параметр пустым.
Этот параметр хранится в зашифрованном виде. Для установки этого параметра используется параметр командной строки --set-proxy. Если вместо использования этого параметра командной строки ввести пароль в незашифрованном виде, соединение с прокси-сервером не будет установлено.
В следующем примере показаны вложенные параметры прокси-сервера в конфигурационном файле.
<Settings> ... <ProxySettings> <Host></Host> <Port></Port> <User></User> <Password></Password> </ProxySettings> ... </Settings> |
LogSettings
Параметр LogSettings определяет, каким образом Feed Utility ведет свой журнал.
Если ведение журнала включено, Feed Utility может записывать в файлы журнала любые из следующих сведений, которые могут считаться конфиденциальными, относящимися к безопасности или чувствительными: параметры конфигурации Feed Utility, хост и порт прокси-сервера, а также операции, выполняемые при загрузке и обработке потоков данных об угрозах.
Если ведение журнала включено, Feed Utility записывает в файлы журнала информацию о свободном месте на жестком диске, доступном для рабочих каталогов и каталогов потоков данных об угрозах. Также, начиная с этой версии, в журналы будет записываться средняя скорость загрузки потоков данных об угрозах.
Файлы журнала представляют собой простые текстовые файлы. Вся информация записывается в файлы журнала в незашифрованном виде. Файлы журнала имеют стандартные унаследованные права доступа. Рекомендуется назначить каталогу для хранения файлов журнала соответствующие права, чтобы читать файлы журнала мог только администратор.
Файлы журнала хранятся до тех пор, пока они не будут явным образом удалены пользователем.
Feed Utility не отправляет файлы журналов или какие-либо данные, содержащиеся в них, в «Лабораторию Касперского». В целях оказания технической поддержки ваш персональный технический менеджер (ПТМ) может попросить вас предоставить файлы журнала.
Настройки ведения журнала задаются в следующих параметрах:
EnableLogВключение ведения журнала.
Если это значение равно 1 или true, Feed Utility ведет журнал своих действий.
Если это значение равно 0 или false, Feed Utility не ведет журнал своих действий.
LogsDirКаталог, в котором Feed Utility хранит свои файлы журналов.
CleanOldLogПозволяет удалять старые файлы журналов.
Если это значение равно 0, при инициализации Feed Utility сохраняет старые файлы журналов.
Если это значение равно 1, при инициализации Feed Utility удаляет старые файлы журналов.
В следующем примере показаны вложенные настройки ведения журнала в конфигурационном файле.
<Settings> ... <LogSettings> <EnableLog>0</EnableLog> <LogsDir>logs</LogsDir> <CleanOldLog>1</CleanOldLog> </LogSettings> </Settings> |