Проверка соединения с Kaspersky CyberTrace Service и наличия потоков данных об угрозах
11 апреля 2024
ID 211378
В этом разделе описывается порядок проверки соединения с Kaspersky CyberTrace Service и способности Kaspersky CyberTrace Service сопоставлять события с определенными потоками данных об угрозах.
Перед проверкой соединения с Kaspersky CyberTrace Service необходимо убедиться, что в элементе ServiceSettings > ScannersCount
конфигурационного файла есть хотя бы один неиспользуемый сканер.
Отправка ping-запроса
Для проверки соединения с Kaspersky CyberTrace Service можно отправить ping-запрос. Этот метод не требует, чтобы какие-либо потоки данных об угрозах были включены. Для использования этого метода не потребуется коммерческий сертификат для доступа к потокам данных об угрозах от «Лаборатории Касперского» Kaspersky Threat Data Feeds.
Чтобы проверить соединение с Kaspersky CyberTrace Service путем отправки ping-запроса, выполните следующие действия:
- Установите TCP-соединение с использованием IP-адреса и порта, которые Kaspersky CyberTrace Service прослушивает для получения входящих событий.
- Отправьте
X-KF-ReplyBackPING
в качестве первого сообщения. - Дождитесь ответа.
Если в ответ приходит PONG
, это означает, что Kaspersky CyberTrace Service работает и прослушивает указанные IP-адрес и порт в ожидании входящих событий.
Отправка тестового события
Кроме реальных индикаторов компрометации, потоки данных об угрозах Kaspersky Threat Data Feeds также содержат записи, предназначенные только для тестирования, и не соответствующие реальным вредоносным объектам. С помощью данных записей можно убедиться в корректности функционирования Kaspersky CyberTrace Service в части сопоставления входящих событий с потоками данных об угрозах Kaspersky Threat Data Feeds. Эти записи всегда присутствуют в потоках данных об угрозах Kaspersky Threat Data Feeds и никогда не удаляются.
Чтобы проверить соединение с Kaspersky CyberTrace Service путем отправки тестового события, выполните следующие действия:
- Установите TCP-соединение с использованием IP-адреса и порта, которые Kaspersky CyberTrace Service прослушивает для получения входящих событий.
- Отправьте
X-KF-SendFinishedEventX-KF-ReplyBack
в качестве первого сообщения. - Отправьте тестовое событие, содержащее тестовую запись для конкретного потока данных об угрозах из таблиц, приведенных ниже.
В следующей таблице приведены тестовые записи для коммерческих потоков данных об угрозах.
Тестовые записи (коммерческие потоки данных об угрозах)
Используемый поток данных об угрозах
Тестовые записи
Категория события
Malicious URL Data Feed
http://fakess123.nu
KL_Malicious_URL
Phishing URL Data Feed
http://fakess123ap.nu
KL_Phishing_URL
Botnet C&C URL Data Feed
http://fakess123bn.nu
KL_BotnetCnC_URL
IP Reputation Data Feed
192.0.2.1
KL_IP_Reputation
Malicious Hash Data Feed
FEAF2058298C1E174C2B79AFFC7CF4DF
KL_Malicious_Hash_MD5
Mobile Malicious Hash Data Feed
60300A92E1D0A55C7FDD360EE40A9DC1
KL_Mobile_Malicious_Hash_MD5
Mobile Botnet C&C URL Data Feed
http://sdfed7233dsfg93acvbhl.su/steallallsms.php
KL_Mobile_BotnetCnC_URL
Ransomware URL Data Feed
http://fa7830b4811fbef1b187913665e6733c.com
KL_Ransomware_URL
APT URL Data Feed
http://b046f5b25458638f6705d53539c79f62.com
KL_APT_URL
APT Hash Data Feed
7A2E65A0F70EE0615EC0CA34240CF082
KL_APT_Hash_MD5
APT IP Data Feed
192.0.2.4
KL_APT_IP
IoT URL Data Feed
http://e593461621ee0f9134c632d00bf108fd.com/.i
KL_IoT_URL
ICS Hash Data Feed
7A8F30B40C6564EFF95E678F7C43346C
KL_ICS_Hash_MD5
В следующей таблице приведены тестовые записи, которые можно использовать, когда включены только демонстрационные потоки данных об угрозах.
Тестовые записи (демонстрационные потоки данных об угрозах)
Используемый поток данных об угрозах
Тестовые записи
Категория события
DEMO Botnet_CnC_URL_Data_Feed
http://5a015004f9fc05290d87e86d69c4b237.com
KL_BotnetCnC_URL
DEMO IP_Reputation_Data_Feed
192.0.2.1
KL_IP_Reputation
DEMO Malicious_Hash_Data_Feed
776735A8CA96DB15B422879DA599F474
KL_Malicious_Hash_MD5
- Дождитесь ответа.
- Если ответ представляет собой событие обнаруженной киберугрозы, содержащее соответствующую категорию события из приведенных выше таблиц, это означает, что Kaspersky CyberTrace Service может получать события и сопоставлять их с конкретным потоком данных об угрозах.
- Если же приходит ответ
LookupFinished
без информации о событии, это означает, что Kaspersky CyberTrace Service может получать события и выполнять сопоставление, но конкретный поток данных об угрозах отключен.