Kaspersky CyberTrace バージョン 4.0 以降、フィードのいくつかのフィールドによる検知は無効になりました。したがって、各検知カテゴリも無効です(次のリストを参照)。
これらのカテゴリの検知イベントを有効にするには:
systemctl stop cybertrace.service
(Linux の場合)
sc stop cybertrace
(Windows の場合)
httpsrv\etc\kl_feed_info.conf
httpsrv/etc/kl_feed_info.conf
fields
]要素にカテゴリを追加します。追加可能なカテゴリの詳細は、次の表を参照してください。たとえば、Botnet C&C URL Data Feed 用として MD5、SHA1、SHA256 による検知を有効にするには、次のように kl_feed_info.conf
を編集します:
{ "name": "Botnet_CnC_URL_Data_Feed", "id": 65, "description": "A set of URLs and hashes with context that cover desktop botnet C&C servers and related malicious objects.Masked and non-masked records are available.", "fields": [ { "name": "mask", "type": "URL", "category": "KL_BotnetCnC_URL" },
"verification": [ { "indicator": "http://fakess123bn.nu/", "category": "KL_BotnetCnC_URL" } ] } |
systemctl start cybertrace.service
(Linux の場合)
sc start cybertrace
(Windows の場合)
次の表で、kl_feed_info.conf
内の[name
]、[type
]、[category
]要素の値を見つけることができます。
フィードに追加可能なカテゴリ
名前 |
種別 |
カテゴリ |
---|---|---|
Botnet C&C URL Data Feed と Demo Botnet C&C URL Data Feed |
||
files/MD5 |
MD5 |
KL_BotnetCnC_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_BotnetCnC_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_BotnetCnC_Hash_SHA256 |
IP Reputation Data Feed と Demo IP Reputation Data Feed |
||
files/MD5 |
MD5 |
KL_IP_Reputation_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_IP_Reputation_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_IP_Reputation_Hash_SHA256 |
Malicious URL Data Feed |
||
files/MD5 |
MD5 |
KL_Malicious_URL_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_Malicious_URL_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_Malicious_URL_Hash_SHA256 |
Mobile Botnet C&C URL Data Feed |
||
files/MD5 |
MD5 |
KL_Mobile_BotnetCnC_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_Mobile_BotnetCnC_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_Mobile_BotnetCnC_Hash_SHA256 |
Ransomware URL Data Feed |
||
files/MD5 |
MD5 |
KL_Ransomware_URL_Hash_MD5 |
files/SHA1 |
SHA1 |
KL_Ransomware_URL_Hash_SHA1 |
files/SHA256 |
SHA256 |
KL_Ransomware_URL_Hash_SHA256 |
このセクションで説明されている動作を実行した後、カスペルスキーのフィードがインジケーターデータベースにロードされる際に IP アドレスとマスクがロードされる以外に、ハッシュに対応するインジケーターもロードされます。このため、このセクションにリストされているフィードについては、イベントが IP アドレスとマスク別に検知される以外に、ファイルのハッシュ別に検知されます。
ページのトップに戻る