Расширение категорий обнаруженных киберугроз

Начиная с версии Kaspersky CyberTrace 4.0, обнаружение по некоторым полям потоков данных об угрозах было отключено, соответственно, были отключены и соответствующие категории обнаружений (см. список ниже).

• Botnet C&C URL Data Feed и Demo Botnet C&C URL Data Feed:
  • KL_BotnetCnC_Hash_MD5
  • KL_BotnetCnC_Hash_SHA1
  • KL_BotnetCnC_Hash_SHA256
• IP Reputation Data Feed и Demo IP Reputation Data Feed:
  • KL_IP_Reputation_Hash_MD5
  • KL_IP_Reputation_Hash_SHA1
  • KL_IP_Reputation_Hash_SHA256
• Malicious URL Data Feed:
  • KL_Malicious_URL_Hash_MD5
  • KL_Malicious_URL_Hash_SHA1
  • KL_Malicious_URL_Hash_SHA256
• Mobile Botnet C&C URL Data Feed:
  • KL_Mobile_BotnetCnC_Hash_MD5
  • KL_Mobile_BotnetCnC_Hash_SHA1
  • KL_Mobile_BotnetCnC_Hash_SHA256
• Ransomware URL Data Feed:
  • KL_Ransomware_URL_Hash_MD5
  • KL_Ransomware_URL_Hash_SHA1
  • KL_Ransomware_URL_Hash_SHA256

Чтобы включить обнаружение событий для этих категорий, выполните следующие действия:

1. Остановите Kaspersky CyberTrace Service.

   systemctl stop cybertrace.service (в Linux)

   sc stop cybertrace (в Windows)

2. Откройте конфигурационный файл:
   • Windows: httpsrv\etc\kl_feed_info.conf
   • Linux: httpsrv/etc/kl_feed_info.conf
3. Добавьте необходимые категории в элемент fields потока данных об угрозах. Подробная информация о категориях, которые можно добавить, приведена в таблице ниже.

   Например, чтобы включить обнаружение по MD5, SHA1 и SHA256 для потока данных об угрозах Botnet C&C URL Data Feed, отредактируйте файл kl_feed_info.conf следующим образом:

   { "name": "Botnet_CnC_URL_Data_Feed", "id": 65, "description": "A set of URLs and hashes with context that cover desktop botnet C&C servers and related malicious objects. Masked and non-masked records are available.", "fields": [ { "name": "mask", "type": "URL", "category": "KL_BotnetCnC_URL" }, { "name": "files/MD5", "type": "MD5", "category": "KL_BotnetCnC_Hash_MD5" }, { "name": "files/SHA1", "type": "SHA1", "category": "KL_BotnetCnC_Hash_SHA1" }, { "name": "files/SHA256", "type": "SHA256", "category": "KL_BotnetCnC_Hash_SHA256" } ], "verification": [ { "indicator": "http://fakess123bn.nu/", "category": "KL_BotnetCnC_URL" } ] }

4. Запустите Kaspersky CyberTrace Service.

   systemctl start cybertrace.service (в Linux)

   sc start cybertrace (в Windows)

5. Откройте веб-интерфейс CyberTrace. Перейдите в раздел Settings > Feeds, затем запустите обновление потоков данных об угрозах кнопкой Launch update now.

В таблице ниже приведены значения для элементов name, type и category в файле kl_feed_info.conf.

Категории, которые можно добавить в потоки данных об угрозах

После выполнения действий, описанных в этом разделе, Kaspersky CyberTrace выполняет следующие действия: в дополнение к загрузке IP-адресов и масок при загрузке в базу индикаторов потоков данных об угрозах «Лаборатории Касперского» Kaspersky CyberTrace также загружает индикаторы, соответствующие хешам. В результате для потоков данных об угрозах, перечисленных в этом разделе, Kaspersky CyberTrace обнаруживает события не только по IP-адресам и маскам, но и по хешам файлов.