Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства администратора

Проверка соединения с Kaspersky CyberTrace Service и наличия потоков данных об угрозах

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Проверка соединения с Kaspersky CyberTrace Service и наличия потоков данных об угрозах

11 апреля 2024

ID 211378

В этом разделе описывается порядок проверки соединения с Kaspersky CyberTrace Service и способности Kaspersky CyberTrace Service сопоставлять события с определенными потоками данных об угрозах.

Перед проверкой соединения с Kaspersky CyberTrace Service необходимо убедиться, что в элементе ServiceSettings > ScannersCount конфигурационного файла есть хотя бы один неиспользуемый сканер.

Отправка ping-запроса

Для проверки соединения с Kaspersky CyberTrace Service можно отправить ping-запрос. Этот метод не требует, чтобы какие-либо потоки данных об угрозах были включены. Для использования этого метода не потребуется коммерческий сертификат для доступа к потокам данных об угрозах от «Лаборатории Касперского» Kaspersky Threat Data Feeds.

Чтобы проверить соединение с Kaspersky CyberTrace Service путем отправки ping-запроса, выполните следующие действия:

  1. Установите TCP-соединение с использованием IP-адреса и порта, которые Kaspersky CyberTrace Service прослушивает для получения входящих событий.
  2. Отправьте X-KF-ReplyBackPING в качестве первого сообщения.
  3. Дождитесь ответа.

Если в ответ приходит PONG, это означает, что Kaspersky CyberTrace Service работает и прослушивает указанные IP-адрес и порт в ожидании входящих событий.

Отправка тестового события

Кроме реальных индикаторов компрометации, потоки данных об угрозах Kaspersky Threat Data Feeds также содержат записи, предназначенные только для тестирования, и не соответствующие реальным вредоносным объектам. С помощью данных записей можно убедиться в корректности функционирования Kaspersky CyberTrace Service в части сопоставления входящих событий с потоками данных об угрозах Kaspersky Threat Data Feeds. Эти записи всегда присутствуют в потоках данных об угрозах Kaspersky Threat Data Feeds и никогда не удаляются.

Чтобы проверить соединение с Kaspersky CyberTrace Service путем отправки тестового события, выполните следующие действия:

  1. Установите TCP-соединение с использованием IP-адреса и порта, которые Kaspersky CyberTrace Service прослушивает для получения входящих событий.
  2. Отправьте X-KF-SendFinishedEventX-KF-ReplyBack в качестве первого сообщения.
  3. Отправьте тестовое событие, содержащее тестовую запись для конкретного потока данных об угрозах из таблиц, приведенных ниже.

    В следующей таблице приведены тестовые записи для коммерческих потоков данных об угрозах.

    Тестовые записи (коммерческие потоки данных об угрозах)

    Используемый поток данных об угрозах

    Тестовые записи

    Категория события

    Malicious URL Data Feed

    http://fakess123.nu

    KL_Malicious_URL

    Phishing URL Data Feed

    http://fakess123ap.nu

    KL_Phishing_URL

    Botnet C&C URL Data Feed

    http://fakess123bn.nu

    KL_BotnetCnC_URL

    IP Reputation Data Feed

    192.0.2.1

    KL_IP_Reputation

    Malicious Hash Data Feed

    FEAF2058298C1E174C2B79AFFC7CF4DF

    KL_Malicious_Hash_MD5

    Mobile Malicious Hash Data Feed

    60300A92E1D0A55C7FDD360EE40A9DC1

    KL_Mobile_Malicious_Hash_MD5

    Mobile Botnet C&C URL Data Feed

    http://sdfed7233dsfg93acvbhl.su/steallallsms.php

    KL_Mobile_BotnetCnC_URL

    Ransomware URL Data Feed

    http://fa7830b4811fbef1b187913665e6733c.com

    KL_Ransomware_URL

    APT URL Data Feed

    http://b046f5b25458638f6705d53539c79f62.com

    KL_APT_URL

    APT Hash Data Feed

    7A2E65A0F70EE0615EC0CA34240CF082

    KL_APT_Hash_MD5

    APT IP Data Feed

    192.0.2.4

    KL_APT_IP

    IoT URL Data Feed

    http://e593461621ee0f9134c632d00bf108fd.com/.i

    KL_IoT_URL

    ICS Hash Data Feed

    7A8F30B40C6564EFF95E678F7C43346C

    KL_ICS_Hash_MD5

    В следующей таблице приведены тестовые записи, которые можно использовать, когда включены только демонстрационные потоки данных об угрозах.

    Тестовые записи (демонстрационные потоки данных об угрозах)

    Используемый поток данных об угрозах

    Тестовые записи

    Категория события

    DEMO Botnet_CnC_URL_Data_Feed

    http://5a015004f9fc05290d87e86d69c4b237.com

    KL_BotnetCnC_URL

    DEMO IP_Reputation_Data_Feed

    192.0.2.1

    KL_IP_Reputation

    DEMO Malicious_Hash_Data_Feed

    776735A8CA96DB15B422879DA599F474

    KL_Malicious_Hash_MD5
  4. Дождитесь ответа.
    • Если ответ представляет собой событие обнаруженной киберугрозы, содержащее соответствующую категорию события из приведенных выше таблиц, это означает, что Kaspersky CyberTrace Service может получать события и сопоставлять их с конкретным потоком данных об угрозах.
    • Если же приходит ответ LookupFinished без информации о событии, это означает, что Kaspersky CyberTrace Service может получать события и выполнять сопоставление, но конкретный поток данных об угрозах отключен.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!