Расширение категорий обнаруженных киберугроз
22 августа 2024
ID 216094
Начиная с версии Kaspersky CyberTrace 4.0, обнаружение по некоторым полям потоков данных об угрозах было отключено, соответственно, были отключены и соответствующие категории обнаружений (см. список ниже).
- Botnet C&C URL Data Feed и Demo Botnet C&C URL Data Feed:
- KL_BotnetCnC_Hash_MD5
- KL_BotnetCnC_Hash_SHA1
- KL_BotnetCnC_Hash_SHA256
- IP Reputation Data Feed и Demo IP Reputation Data Feed:
- KL_IP_Reputation_Hash_MD5
- KL_IP_Reputation_Hash_SHA1
- KL_IP_Reputation_Hash_SHA256
- Malicious URL Data Feed:
- KL_Malicious_URL_Hash_MD5
- KL_Malicious_URL_Hash_SHA1
- KL_Malicious_URL_Hash_SHA256
- Mobile Botnet C&C URL Data Feed:
- KL_Mobile_BotnetCnC_Hash_MD5
- KL_Mobile_BotnetCnC_Hash_SHA1
- KL_Mobile_BotnetCnC_Hash_SHA256
- Ransomware URL Data Feed:
- KL_Ransomware_URL_Hash_MD5
- KL_Ransomware_URL_Hash_SHA1
- KL_Ransomware_URL_Hash_SHA256
Чтобы включить обнаружение событий для этих категорий, выполните следующие действия:
- Остановите Kaspersky CyberTrace Service.
systemctl stop cybertrace.service
(в Linux)sc stop cybertrace
(в Windows) - Откройте конфигурационный файл:
- Windows:
httpsrv\etc\kl_feed_info.conf
- Linux:
httpsrv/etc/kl_feed_info.conf
- Windows:
- Добавьте необходимые категории в элемент
fields
потока данных об угрозах. Подробная информация о категориях, которые можно добавить, приведена в таблице ниже.Например, чтобы включить обнаружение по MD5, SHA1 и SHA256 для потока данных об угрозах Botnet C&C URL Data Feed, отредактируйте файл
kl_feed_info.conf
следующим образом:{
"name": "Botnet_CnC_URL_Data_Feed",
"id": 65,
"description": "A set of URLs and hashes with context that cover desktop botnet C&C servers and related malicious objects. Masked and non-masked records are available.",
"fields": [
{ "name": "mask", "type": "URL", "category": "KL_BotnetCnC_URL" },
{ "name": "files/MD5", "type": "MD5", "category": "KL_BotnetCnC_Hash_MD5" },
{ "name": "files/SHA1", "type": "SHA1", "category": "KL_BotnetCnC_Hash_SHA1" },
{ "name": "files/SHA256", "type": "SHA256", "category": "KL_BotnetCnC_Hash_SHA256" }
],"verification": [
{ "indicator": "http://fakess123bn.nu/", "category": "KL_BotnetCnC_URL" } ]
}
- Запустите Kaspersky CyberTrace Service.
systemctl start cybertrace.service
(в Linux)sc start cybertrace
(в Windows) - Откройте веб-интерфейс Kaspersky CyberTrace. Перейдите в раздел Settings > Feeds, затем запустите обновление потоков данных об угрозах кнопкой Launch update now.
В таблице ниже приведены значения для элементов name
, type
и category
в файле kl_feed_info.conf
.
Категории, которые можно добавить в потоки данных об угрозах
Имя | Тип | Категория |
---|---|---|
Botnet C&C URL Data Feed и Demo Botnet C&C URL Data Feed | ||
files/MD5 | MD5 | KL_BotnetCnC_Hash_MD5 |
files/SHA1 | SHA1 | KL_BotnetCnC_Hash_SHA1 |
files/SHA256 | SHA256 | KL_BotnetCnC_Hash_SHA256 |
IP Reputation Data Feed и Demo IP Reputation Data Feed | ||
files/MD5 | MD5 | KL_IP_Reputation_Hash_MD5 |
files/SHA1 | SHA1 | KL_IP_Reputation_Hash_SHA1 |
files/SHA256 | SHA256 | KL_IP_Reputation_Hash_SHA256 |
Malicious URL Data Feed | ||
files/MD5 | MD5 | KL_Malicious_URL_Hash_MD5 |
files/SHA1 | SHA1 | KL_Malicious_URL_Hash_SHA1 |
files/SHA256 | SHA256 | KL_Malicious_URL_Hash_SHA256 |
Mobile Botnet C&C URL Data Feed | ||
files/MD5 | MD5 | KL_Mobile_BotnetCnC_Hash_MD5 |
files/SHA1 | SHA1 | KL_Mobile_BotnetCnC_Hash_SHA1 |
files/SHA256 | SHA256 | KL_Mobile_BotnetCnC_Hash_SHA256 |
Ransomware URL Data Feed | ||
files/MD5 | MD5 | KL_Ransomware_URL_Hash_MD5 |
files/SHA1 | SHA1 | KL_Ransomware_URL_Hash_SHA1 |
files/SHA256 | SHA256 | KL_Ransomware_URL_Hash_SHA256 |
После выполнения действий, описанных в этом разделе, Kaspersky CyberTrace выполняет следующие действия: в дополнение к загрузке IP-адресов и масок при загрузке в базу индикаторов потоков данных об угрозах «Лаборатории Касперского» Kaspersky CyberTrace также загружает индикаторы, соответствующие хешам. В результате для потоков данных об угрозах, перечисленных в этом разделе, Kaspersky CyberTrace обнаруживает события не только по IP-адресам и маскам, но и по хешам файлов.