Поток данных

Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства администратора

Руководство по Kaspersky CyberTrace Service

Справка по конфигурационному файлу Kaspersky CyberTrace Service

Feeds

Поток данных

11 апреля 2024

ID 198874

Описывает поток данных об угрозах или источник данных об угрозах.

Путь

Feeds > Feed

Атрибуты

У этого элемента есть следующие атрибуты:

Атрибуты элемента «Feed»

Атрибут	Описание
`enabled`	Указывает, включен ли поток данных об угрозах или источник данных об угрозах на глобальном уровне (для всех тенантов).
`filename`	Имя источника данных об угрозах или имя файла потока данных об угрозах в каталоге, указанном в элементе ServiceSettings > Bases. Этот атрибут является обязательным.
`confidence`	Уровень доверия к потоку данных об угрозах или источнику данных об угрозах. Можно использовать значения в диапазоне от `1` до `100`. По умолчанию заданы значения: `100` для потоков данных об угрозах «Лаборатории Касперского», `50` для потоков данных об угрозах OSINT и `50` для сторонних потоков или источников данных об угрозах. Этот атрибут является обязательным.
`outdated_alert_period`	Время (в часах) с момента последнего обновления потока данных об угрозах, по истечении которого в место назначения события отправляется уведомление об устаревшем потоке данных об угрозах (`KL_ALERT_OutdatedFeed`). Чтобы отключить уведомления для этого потока данных об угрозах, задайте для этого параметра значение `0`. Если атрибут не указан, используется значение элемента `ServiceSettings` > `OutdatedBasesAlertPeriod`. Рекомендуется установить значение `120` для коммерческих потоков данных об угрозах Kaspersky Data Feed и `720` для потоков данных о постоянных угрозах повышенной сложности (APT). Также рекомендуется для потоков данных об угрозах OSINT установить для этого параметра значение `0` или другое целесообразное значение. Для сторонних источников данных об угрозах этот параметр по умолчанию имеет значение `0`. Этот атрибут не является обязательным.
`indicator_lifetime`	Время (в минутах), по истечении которого индикаторы компрометации потока данных об угрозах или источника данных об угрозах удаляются из базы данных. Если индикатор обнаруживается на основе входящего события, он не удаляется из базы данных, но больше не может использоваться в процессе сопоставления для потока данных об угрозах, содержащего этот индикатор, или источника данных об угрозах, который его предоставляет. Чтобы снять ограничение по времени для аннулирования потока или источника данных об угрозах, установите для этого атрибута значение `0`. По умолчанию значение этого атрибута равно семи дням (10080 минутам). Этот атрибут применяется к источникам, отличным от Kaspersky Threat Data Feeds.
`vendor`	Название поставщика потока данных об угрозах или источника данных об угрозах. Этот атрибут не является обязательным.
`use_for_retroscan`	Указывает, следует ли использовать индикаторы из потока данных об угрозах или источника данных об угрозах для ретроспективного сканирования. Если индикаторы должны использоваться для ретроспективного сканирования, для этого атрибута задается значение `true`. Если индикаторы не должны использоваться для ретроспективного сканирования, для этого атрибута задается значение `false`.
`is_restapi`	Указывает, что источник данных об угрозах был добавлен с помощью REST API. Если источник данных об угрозах был добавлен с помощью REST API, значение этого атрибута — `true`. Этот атрибут не является обязательным.

Вложенные элементы

Этот элемент является контейнером для следующего вложенного элемента:

ActionableFields
Определяет поля контекста.

Пример

Ниже приведен пример этого элемента.

...

</ActionableFields>

</Feed>

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!