検知カテゴリの拡張
2024年4月11日
ID 216094
Kaspersky CyberTrace バージョン 4.0 以降、フィードのいくつかのフィールドによる検知は無効になりました。したがって、各検知カテゴリも無効です(次のリストを参照)。
- Botnet C&C URL Data Feed と Demo Botnet C&C URL Data Feed:
- KL_BotnetCnC_Hash_MD5
- KL_BotnetCnC_Hash_SHA1
- KL_BotnetCnC_Hash_SHA256
- IP Reputation Data Feed と Demo IP Reputation Data Feed:
- KL_IP_Reputation_Hash_MD5
- KL_IP_Reputation_Hash_SHA1
- KL_IP_Reputation_Hash_SHA256
- Malicious URL Data Feed:
- KL_Malicious_URL_Hash_MD5
- KL_Malicious_URL_Hash_SHA1
- KL_Malicious_URL_Hash_SHA256
- Mobile Botnet C&C URL Data Feed:
- KL_Mobile_BotnetCnC_Hash_MD5
- KL_Mobile_BotnetCnC_Hash_SHA1
- KL_Mobile_BotnetCnC_Hash_SHA256
- Ransomware URL Data Feed:
- KL_Ransomware_URL_Hash_MD5
- KL_Ransomware_URL_Hash_SHA1
- KL_Ransomware_URL_Hash_SHA256
これらのカテゴリの検知イベントを有効にするには:
- Kaspersky CyberTrace サービスを停止します。
systemctl stop cybertrace.service
(Linux の場合)sc stop cybertrace
(Windows の場合) - 設定情報ファイルを開きます:
- Windows:
httpsrv\etc\kl_feed_info.conf
- Linux:
httpsrv/etc/kl_feed_info.conf
- Windows:
- フィードの[
fields
]要素にカテゴリを追加します。追加可能なカテゴリの詳細は、次の表を参照してください。たとえば、Botnet C&C URL Data Feed 用として MD5、SHA1、SHA256 による検知を有効にするには、次のように
kl_feed_info.conf
を編集します:{
"name": "Botnet_CnC_URL_Data_Feed",
"id": 65,
"description": "A set of URLs and hashes with context that cover desktop botnet C&C servers and related malicious objects.Masked and non-masked records are available.",
"fields": [
{ "name": "mask", "type": "URL", "category": "KL_BotnetCnC_URL" },
{ "name": "files/MD5", "type": "MD5", "category": "KL_BotnetCnC_Hash_MD5" },
{ "name": "files/SHA1", "type": "SHA1", "category": "KL_BotnetCnC_Hash_SHA1" },
{ "name": "files/SHA256", "type": "SHA256", "category": "KL_BotnetCnC_Hash_SHA256" }
],"verification": [
{ "indicator": "http://fakess123bn.nu/", "category": "KL_BotnetCnC_URL" } ]
}
- Kaspersky CyberTrace サービスを起動します。
systemctl start cybertrace.service
(Linux の場合)sc start cybertrace
(Windows の場合) - CyberTrace Web を開きます。[Settings]→[Feeds]の順に移動し、[Launch update now]を使用してフィードの更新を起動します。
次の表で、kl_feed_info.conf
内の[name
]、[type
]、[category
]要素の値を見つけることができます。
フィードに追加可能なカテゴリ
名前 | 種別 | カテゴリ |
---|---|---|
Botnet C&C URL Data Feed と Demo Botnet C&C URL Data Feed | ||
files/MD5 | MD5 | KL_BotnetCnC_Hash_MD5 |
files/SHA1 | SHA1 | KL_BotnetCnC_Hash_SHA1 |
files/SHA256 | SHA256 | KL_BotnetCnC_Hash_SHA256 |
IP Reputation Data Feed と Demo IP Reputation Data Feed | ||
files/MD5 | MD5 | KL_IP_Reputation_Hash_MD5 |
files/SHA1 | SHA1 | KL_IP_Reputation_Hash_SHA1 |
files/SHA256 | SHA256 | KL_IP_Reputation_Hash_SHA256 |
Malicious URL Data Feed | ||
files/MD5 | MD5 | KL_Malicious_URL_Hash_MD5 |
files/SHA1 | SHA1 | KL_Malicious_URL_Hash_SHA1 |
files/SHA256 | SHA256 | KL_Malicious_URL_Hash_SHA256 |
Mobile Botnet C&C URL Data Feed | ||
files/MD5 | MD5 | KL_Mobile_BotnetCnC_Hash_MD5 |
files/SHA1 | SHA1 | KL_Mobile_BotnetCnC_Hash_SHA1 |
files/SHA256 | SHA256 | KL_Mobile_BotnetCnC_Hash_SHA256 |
Ransomware URL Data Feed | ||
files/MD5 | MD5 | KL_Ransomware_URL_Hash_MD5 |
files/SHA1 | SHA1 | KL_Ransomware_URL_Hash_SHA1 |
files/SHA256 | SHA256 | KL_Ransomware_URL_Hash_SHA256 |
このセクションで説明されている動作を実行した後、カスペルスキーのフィードがインジケーターデータベースにロードされる際に IP アドレスとマスクがロードされる以外に、ハッシュに対応するインジケーターもロードされます。このため、このセクションにリストされているフィードについては、イベントが IP アドレスとマスク別に検知される以外に、ファイルのハッシュ別に検知されます。