フィードの使用
2024年4月11日
ID 178648
フィードユーティリティは、設定情報ファイルで定義されているルールの指定されたセットに従って、Kaspersky Threat Data Feeds をダウンロード、フィルタリング、およびコンパイルできるツールです。これらのルールは、Kaspersky CyberTrace Web を使用して設定することもできます。
ダウンロード
フィードユーティリティは、フィードを含むアーカイブをカスペルスキーのアップデートサーバーからダウンロードします。ダウンロードした各アーカイブには、1 つのフィードが含まれています。Kaspersky Threat Data Feeds をダウンロードする前に、フィードユーティリティはそれらが使用中のものより新しいかどうかを確認します。OSINT およびサードパーティのフィードをダウンロードする前に、フィードユーティリティはそのような確認を実行しません。
フィードユーティリティは、認証の証明書を使用します。証明書では、フィードユーティリティがダウンロードできる Kaspersky Threat Data Feeds も定義します。たとえば、デモ用の証明書がある場合、フィードユーティリティがダウンロードできるのはデモ用のフィードのみです。
サードパーティのソースからフィードをダウンロードする際に問題がある場合は、「フィードユーティリティのトラブルシューティング」セクションの「サードパーティのフィードのダウンロード中に SSL エラーが発生した」サブセクションを確認してください。
カスペルスキーが新しいデータフィードをリリースし、このフィードがユーザーの証明書で使用可能である場合、フィードユーティリティ設定情報ファイルに新しい[Feed
]要素を追加してください:
<Feed enabled="true"> <Name>New Feed Name</Name> <FeedID>New Feed Id</FeedID> </Feed> |
新しい[Feed
]要素を追加した後、フィードユーティリティがこの新しいフィードを処理できるようになります。
ユーザーの証明書で使用可能なデータフィードのリストを取得するには、コマンドラインでフィードユーティリティを実行するときに -l
/ --list
オプションを指定します。
差分フィードのダウンロード
フィードユーティリティは、特定の Kaspersky Threat Data Feeds の差分更新のダウンロードをサポートしています。このドキュメントでは、そのようなフィードを差分フィードと呼びます。差分フィードは、通常のシナリオ下で更新された Kaspersky Threat Data Feeds に似ていますが、フィード ID が異なります。使用可能な差分フィードのリストも参照してください。
差分フィードをダウンロードするには:
フィードユーティリティ設定情報ファイルの差分フィードの ID を指定します。
差分フィードでは、更新サーバーで使用可能な snapshot および差分パートが存在します。snapshot は、毎日生成されるフィードのフル機能版です。フィードの差分パートには、フィードを最新にするためにフィードに適用する必要がある変更内容が含まれています。
フィードユーティリティは、次のようにして差分フィードを更新します:
- snapshot は、次の場合にダウンロードされます:
- フィードを初めてダウンロードする。
- フィードがずっと以前に更新されており、差分パートをダウンロードできない。
差分パートのダウンロードの実行可能性は、更新サーバーで判別されます。
- 差分パートを含む 1 つ以上のアーカイブが、ステップ 1 でダウンロードした snapshot より新しいか、またはフィードファイルが現在使用中の場合、アーカイブがダウンロードされます。
差分パートを含むアーカイブがダウンロードされると、名前が
%FILE_NAME_SRC%_%TIMESTAMP%.zip
に変更されます。ここで、%FILE_NAME_SRC%
は最初のファイル名(拡張子なし)で、%TIMESTAMP%
はyyyy-mm-dd HH:MM:SS
形式の差分パート公開のタイムスタンプです。 - フィードユーティリティが処理モードで実行されている場合([
-p
]を指定)、以前にダウンロードされて解凍された差分パートが、ディレクトリWorkDir
に置かれている snapshot に適用されます(フィードユーティリティ設定情報ファイル
内の WorkDir パラメータを参照してください)。差分パートを含むアーカイブが解凍されると、名前が
%FILE_NAME_SRC%_%TIMESTAMP%.json
に変更されます。ここで、%FILE_NAME_SRC%
は最初のファイル名(拡張子なし)で、%TIMESTAMP%
はyyyy-mm-dd HH:MM:SS
形式の差分パート公開のタイムスタンプです。
既定では、フィードユーティリティはフィードの差分パートを並行してダウンロードします。連続ダウンロードを有効にするには、フィードユーティリティ設定情報ファイルの[SequentialDownload
]パラメータを True
に設定します。
Kaspersky Threat Data Feeds の差分バージョン(存在する場合)は、通常のバージョンの場合と同じ証明書を使用してダウンロードできます。
処理とフィルタリング
フィードを含むアーカイブをダウンロードした後、フィードユーティリティはアーカイブを解凍して、元のフィードファイルを処理します。フィードファイルは、フィードユーティリティ設定情報ファイルで指定した フィードルール、フィルタリングルール、およびその他のパラメータの組み合わせに従って変更されます。これらのパラメータでは、結果として生成されたフィードに含まれているデータ、結果として生成されたフィードの出力形式、および結果として生成されたフィードの最大レコード数を定義します。
フィルタリングは、指定したフィルタリング基準に従って、元のフィードファイルを変更するプロセスです。フィルタリング基準は、フィードごとにフィルタリングルールで定義されます。フィードユーティリティの意図する 使用シナリオに応じて、元のフィードに含まれている情報のサブセットのみを使用するフィードを作成する必要があります。これを達成するには、フィードルールとフィルタリングルールの組み合わせを使用します。
既定のフィルタリングルール
Kaspersky CyberTrace 配布キットに付属している既定のフィードユーティリティ設定情報ファイルには、IP Reputation Data Feed および Demo IP Reputation Data Feed の次のフィルタリングルールが含まれています:
threat_score
パラメータが少なくとも 75
のフィードレコードのみがダウンロードされます。
カスペルスキーでは、threat_score
が少なくとも 75
の IP アドレスを悪意があると判断しています。threat_score
が 75
未満の IP アドレスは、スパムに関連していると判断され、大きな脅威はもたらしません。
境界値を低減するかフィルターを削除すると、Demo IP Reputation Data Feed および IP Reputation Data Feed によって多数の検知アラートが表示されます。これらのアラートは、スパム IP アドレスの検知に関する通知です。
フィルターを削除するには:
- Kaspersky CyberTrace Web の[Settings]→[Feeds]ページを順に開きます。
- Demo IP Reputation Data Feed(または、IP Reputation Data Feed)では、[
threat_score
]フィールドのフィルタリングルールを削除します。
コンパイル
フィードユーティリティを Kaspersky CyberTrace サービスと使用する場合、URL マスクを含むフィードをバイナリ形式に変換する必要があります。フィードユーティリティは、これらのフィードから抽出した URL マスクをコンパイルしてから、Kaspersky CyberTrace サービスが使用するバイナリファイルを作成することにより、受信したイベントからの URL を URL マスクとすぐに照合します。フィードルールで[UrlMatcherField
]が指定されている場合、フィードユーティリティによりコンパイルが自動的に実行されます。
再読み込み
通知されると、Kaspersky CyberTrace サービスは使用するためのフィードを再読み込みします。つまり、古いフィードをメモリから解放し、新しいフィードを読み込みます。
フィードの更新