フィードユーティリティの構成パラメータ
2024年4月11日
ID 171650
フィードユーティリティは設定情報ファイルからのフィードの構成パラメータ、フィードルール、フィルタリングルール、解析ルールを読み取ります。このファイルは XML 形式で、複数のグループのパラメータがあります。
設定情報ファイル内のパスには、オペレーティングシステムのロケールで使用されている文字しか含めることはできません。それ以外の文字を含めると、フィードユーティリティが機能しなくなります。
Feed (フィードルール、フィルタリングルール、解析ルール)
Feed
パラメータには、特定のフィードのルールが含まれています。この要素には、複数の種別のネストされたパラメータがあります:
- フィードルールでは、フィードユーティリティによるこの特定のフィードの処理方法を指定します。
- フィルタリングルールは、フィードユーティリティが元のフィードファイルのフィルタリングに使用する基準です。フィルタリングルールは、各フィードのフィードルールの一部です。
- 解析ルールはカスタムフィード(OSINT feeds や Kaspersky Threat Data Feeds ではないその他のフィード)のルールです。これらのパラメータでは、フィードユーティリティによる各フィードの解析方法を指定します。
このパラメータには、次の属性があります:
enabled
フィードユーティリティがこのフィードをダウンロードして処理する必要があるかどうかを指定します。
enabled
が true の場合、フィードユーティリティはフィードをダウンロードして処理します。enabled
が false の場合、フィードユーティリティはこのフィードをスキップします。
次の例では、フィードルール、フィルタリングルール、解析ルールが設定情報ファイルでどのようにネストされているかを示します。
<Settings> ... <Feeds> ... <Feed enabled="true"> <Name>Malicious_Hash_Data_Feed</Name> <!-- Other feed rules for this feed --> <Filters> <Field name="popularity" value="4;5"/> <!-- Other filtering rules for this feed --> </Filters> </Feed> <Feed> <Name>Botnet_CnC_URL_Data_Feed</Name> <!-- Other feed rules for this feed --> <!-- This feed has no filtering rules --> </Feed> ... </Feeds> ... </Settings> |
FeedsDir
FeedsDir
パラメータはフィードユーティリティによる、処理済みフィードファイルの格納先ディレクトリを指定します。
WorkDir
WorkDir
パラメータはフィードユーティリティによる、ダウンロードおよび解凍済みフィードファイルの格納先ディレクトリを指定します。
このパラメータを指定しない場合、フィードユーティリティはオペレーティングシステムの既定の一時ディレクトリを使用します。
WorkDir
を FeedsDir
と同じディレクトリにすることはできません。
CertFile
CertFile
パラメータは、証明書ファイルへのパスを指定します。この証明書は、フィードユーティリティがフィードをダウンロードする際に使用します。
証明書ファイルは PEM 形式にする必要があります。
SourceIPs
SourceIPs
パラメータは、フィードユーティリティがフィードのダウンロードに使用する IP アドレスを指定します。
このパラメータは任意です。省略するか、値を空にすると、フィードユーティリティはカスペルスキーのサーバーアドレスをそのドメイン名で解決します。
このパラメータには 1 つ以上の IPv4 アドレスを指定できます。複数の IP アドレスを指定するには、セミコロン(「;」
)を区切り記号として使用します。
次の例では、SourceIPs
パラメータに IP アドレスを指定する方法を示します。
<SourceIPs>192.0.2.1;192.0.2.2</SourceIPs> |
SourceDomains
SourceDomains
パラメータは、フィードユーティリティがフィードのダウンロードに使用するドメイン名を指定します。
このパラメータには 1 つ以上のドメイン名を指定できます。複数のドメイン名を指定するには、セミコロン(「;」
)を区切り記号として使用します。フィードユーティリティは、設定情報ファイルに記載されている順に指定のドメイン名からフィードをダウンロードしようとします。
SourceDomains
パラメータと SourceIPs
パラメータを併用すると、SourceDomains
パラメータで指定したドメインが、SourceIPs
パラメータで指定した IP アドレスより先に使用されます。フィードをダウンロードしようとする試行がすべて失敗すると、フィードユーティリティはエラーメッセージを生成します。
このパラメータには Unicode 記号を使用できます。
次の例では、SourceDomains
パラメータに IP アドレスを指定する方法を示します。
<SourceDomains>updates1.example.com;updates2.example.com</SourceDomains> |
CreateExternalFeedInfoList path="PATH"
このパラメータは廃止されました。最新バージョンの Kaspersky CyberTrace では無視されます。
CreateExternalFeedInfoList
パラメータは、サポート対象の OSINT feeds のリストを生成する必要があるかどうかを指定します。このパラメータは必須です。
このパラメータが 1
の場合、フィードユーティリティは path
属性で指定したディレクトリ内に、サポート対象の OSINT feeds のリスト osint_feed_list.conf を作成します。カスタムフィードまたはサードパーティのフィードを Kaspersky CyberTrace に追加した場合も、フィードユーティリティは osint_feed_list.conf と同じディレクトリ内にこれらのフィードのリスト custom_feed_list.conf を作成します。
このパラメータが 0
の場合、フィードユーティリティはサポート対象の OSINT feeds のリストを作成しません。
次の例では、リストを作成する必要がある場所へのパスの指定方法を示します。この例では、フィードユーティリティバイナリのあるディレクトリにリストが作成されます。
<CreateExternalFeedInfoList path=".">1</CreateExternalFeedInfoList> |
NotifyKTFS path="PATH"
NotifyKTFS
パラメータは、フィードの更新を Kaspersky CyberTrace サービスに通知する必要があるかどうかを指定します。
このパラメータは json
出力形式でのみ使用できます。
このパラメータが 1
の場合、フィードユーティリティはフィードの再読み込みが必要なことを Kaspersky CyberTrace サービスに通知します。Kaspersky CyberTrace サービスバイナリファイルへのパスは、このパラメータの path
属性で指定する必要があります。
このパラメータが 0
の場合、フィードユーティリティは Kaspersky CyberTrace サービスに通知しません。
EULA
EULA
パラメータは、エンドユーザー使用許諾契約(EULA)の条件にユーザーが同意したかどうかを示します。
値が accepted
の場合、EULA の条件は同意されています。
この値が rejected
の場合、EULA の条件は拒否されています。この場合、フィードユーティリティを使用することはできません。
RetryCount
RetryCount
パラメータは、Kaspersky Threat Data Feed のダウンロードの試行回数を指定します。接続がタイムアウトしたり、ダウンロードが一部しか行われなかったり、その他のエラーが発生したりすると、フィードユーティリティは再ダウンロードを試行します。
指定した回数の試行に失敗すると、フィードユーティリティはエラーメッセージを表示し、操作を続行します。
このパラメータの使用は Kaspersky Threat Data Feeds だけが対象です。OSINT feeds と他のカスタムフィードはフィードユーティリティによって再ダウンロードされません。
このパラメータは任意です。このパラメータを指定しない場合、フィードユーティリティは既定値 10
を使用します。
このパラメータが 0
の場合、試行回数は無制限になります。
SequentialDownload
SequentialDownload
パラメータは、シーケンシャルモードまたはパラレルモードのどちらでフィードをフィードユーティリティにダウンロードさせるかを指定します。
この値が 1
または true
の場合、フィードユーティリティはシーケンシャルモードでフィードを 1 つずつダウンロードします。
この値が 0
または false
の場合、フィードユーティリティはパラレルモードですべてのフィードを同時にダウンロードします。
このパラメータの既定値は 0
です。
OutputFormat
OutputFormat
パラメータは、全フィードの出力形式を定義します。このパラメータには次の値を指定できます:
json
フィードは JSON 形式になります。フィードファイルの拡張子は json です。
これが既定値となります。
OutputFormat
パラメータを省略する場合、この値は出力形式の定義に使用されます。txt
フィードはプレーンテキスト形式(UTF-8 の BOM 付き)になります。フィードファイルの拡張子は txt です。
delimiter
属性この形式では、レコードフィールドは区切り記号で区切られます。既定の区切り記号は
「;」
です。カスタム区切り記号を指定する場合は、delimiter
属性を次のように使用します:<OutputFormat delimiter="%delimiter%">txt</OutputFormat>
区切り記号として使用する必要のある記号に
%delimiter%
を置き換えます。indicatorPerLine
属性1 行ごとに 1 つのレコードを出力する場合は、
indicatorPerLine
属性を次のように 1 に設定します:<OutputFormat indicatorPerLine="1">txt</OutputFormat>
この属性を使用する場合、
RequiredFields
フィードルールで指定したサブフィールドは同じ親フィールドを持つ必要があります。たとえば、「files/MD5;files/SHA1」
は有効ですが、「files/MD5;whois/domain」
は無効でエラーとなります。
この出力形式を指定する場合、設定情報ファイルのすべてのフィードルールに
RequiredFields
パラメータを含める必要があります。RequiredFields
パラメータは、フィールドが出力フィードに書き込まれる順序を指定します。csv
txt
と同じです。フィードファイルの拡張子は csv です。delimiter
属性とindicatorPerLine
属性を使用できます。openioc
フィードは OpenIOC 形式になります。フィードファイルの拡張子は ioc です。
OpenIOC 形式のバージョンを
version
属性で指定でき、1.0
または1.1
のいずれかにすることができます。属性を省略すると、バージョン1.1
が使用されます。OpenIOC 1.0 形式へのフィードの変換にはいくつかの制限があります。Phishing URL Data Feed と Malicious URL Data Feed を OpenIOC 1.0 形式に変換することはできません。変換すると、代わりにエラーメッセージが出力されます。その他のフィードの場合、ハッシュと IP アドレスのフィールドのみが変換されます。OpenIOC 1.1 形式へのフィードの変換にはそのような制限はありません。
RequiredFields
要素を使用することは推奨しません。この場合、フィードからは、OpenIOC 形式に変換するために必須であるフィールドが欠落します。RecordsCount
パラメータはこの形式を目的としていないため、使用しないことを推奨します。このパラメータの使用結果は、予期せぬものである可能性があります。OpenIOC 形式のフィードは、元のフィードファイルよりもはるかに多くのハードドライブ容量を消費します。
stix
フィードは STIX 形式になります。ファイルの拡張子は xml です。
STIX 形式の場合、URL マスクのあるフィードには
type
フィールドが必要です。STIX 形式のバージョンを
version
属性で指定でき、1
、2.0
、または2.1
にすることができます。値1
を指定すると、フィードは STIX 1.1 形式になります。属性を省略すると、値1
が使用されます。RequiredFields
要素を使用することは推奨しません。この場合、フィードからは、STIX 形式に変換するために必須であるフィールドが欠落します。RecordsCount
パラメータはこの形式を目的としていないため、使用しないことを推奨します。このパラメータの使用結果は、予期せぬものである可能性があります。STIX 形式のフィードは、元のフィードファイルよりもはるかに多くのハードドライブ容量を消費します。
次の例は、OutputFormat
パラメータが設定情報ファイルでどのようにネストされているのかを示します。
<Settings> ... <Feeds> <OutputFormat>json</OutputFormat> ... </Feeds> ... </Settings> |
CreateDiff
CreateDiff
パラメータは、フィードユーティリティがフィードの差分を作成する必要があるかどうかを指定します。フィードの差分は、新旧バージョンの処理済みフィードファイル間の差分が含まれるファイルです。このパラメータは、フィードユーティリティが作成したすべてのフィードに次のように反映されます:
- このパラメータが
0
の場合、フィードユーティリティはフィードの差分を作成しません。これが既定値となります。 - このパラメータが
1
の場合、フィードユーティリティはフィードの差分を作成します。
CreateDiff
が 1
の場合、新しいバージョンのフィードがダウンロードされ、フィードごとに 2 つの追加ファイルが作成されます(%feed_name%
はフィードファイルの名前です):
- ファイル
%feed_name%_new.json
には、フィードファイルの新しいバージョンに追加されたレコードが含まれます。 - ファイル
%feed_name%_del.json
には、フィードファイルの新しいバージョンから削除されたレコードが含まれます。
フィードの差分は、1 つのファイルに含まれる JSON 形式のフィードのみを対象に作成できます。
OutputFormat
パラメータの値はjson
にする必要があります。- 各フィードで
UrlMatcherField
パラメータは省略するか、値を空にする必要があります。 - 各フィードで
RecordsCount
パラメータにperFile
属性を指定しないようにするか、この属性の値を0
にする必要があります。
フィードの差分を作成するため、フィードユーティリティは新旧バージョンのフィードで key フィールドを使用します。
- このフィードに、ネストされていない
id
、MD5
、ip
、url
、またはdomain
フィールドがある場合、そのフィールドは key フィールドとして使用されます。 - 上記のフィールドがいずれもない場合、フィードユーティリティはフィード全体で一意の値を持つフィールドを見つけようとします。そのようなフィードが見つからない場合、警告が生成されます。
次の例は、OutputFormat
パラメータが構成ファイルでどのようにネストされているのかを示します。
<Settings> ... <Feeds> ... <CreateDiff>0</CreateDiff> ... </Feeds> ... </Settings> |
ProxySettings
ProxySettings
パラメータはフィードユーティリティのプロキシ設定を指定します。プロキシサーバーを指定すると、フィードユーティリティは指定のパラメータを使用してフィードをダウンロードします。
プロキシのユーザー名とパスワードはフィードユーティリティ設定情報ファイルに保存されています。カスペルスキーからこの情報は提供されません。
プロキシ設定は次のパラメータで指定します:
Host
プロキシサーバーのホストです。
このパラメータでドメイン名または IP アドレスを指定できます。IPv4 アドレスと IPv6 アドレスの両方がサポートされます。
Port
プロキシサーバーのポートです。
User
プロキシサーバー認証用の暗号化されたユーザー名です。
プロキシサーバーの認証が必要ない場合は、このパラメータを空のままにしてください。
このパラメータは暗号化された状態で保存されます。このパラメータを設定するには、
--set-proxy
コマンドラインオプションを使用します。このオプションを使用せず、ユーザー名をプレーンテキストで入力すると、プロキシサーバーへの接続は確立されません。Password
プロキシサーバー認証用の暗号化されたパスワードです。
プロキシサーバーの認証が必要ない場合は、このパラメータを空のままにしてください。
このパラメータは暗号化された状態で保存されます。このパラメータを設定するには、
--set-proxy
コマンドラインオプションを使用します。このオプションを使用せず、パスワードをプレーンテキストで入力すると、プロキシサーバーへの接続は確立されません。
次の例は、プロキシ設定が設定情報ファイルでどのようにネストされているのかを示します。
<Settings> ... <ProxySettings> <Host></Host> <Port></Port> <User></User> <Password></Password> </ProxySettings> ... </Settings> |
LogSettings
LogSettings
パラメータは、フィードユーティリティによる自身の活動の記録方法を定義します。
ロギングを有効にすると、フィードユーティリティは、プライベート、セキュリティ関連、または機密と判断される可能性のあるフィードユーティリティ構成パラメータ、プロキシのホストとポート、フィードのダウンロードと処理中に実行された操作といった情報をすべてログファイルに書き込むことができます。
ロギングを有効にすると、フィードユーティリティは、作業ディレクトリとフィードディレクトリ用のハードドライブの空き容量に関する情報をログファイルに書き込みます。また、このバージョン以降、フィードの読み込み時の平均速度もログに書き込まれます。
ログファイルは通常のテキストファイルです。ログファイルに書き込まれた情報はいずれも暗号化されません。ログファイルには、継承された標準のアクセス権が備わっています。管理者だけがログファイルを読み取ることができるように、ログファイルの保存先ディレクトリに適切な権限を割り当てることを推奨します。
ログファイルはユーザーが明示的に削除するまで残ります。
フィードユーティリティはカスペルスキー用に格納したログファイルまたはデータを送信しません。テクニカルアカウントマネージャー(TAM)は技術的なサポートのために、ログファイルの提出を依頼することがあります。
ロギング設定は次のパラメータで指定します:
EnableLog
ロギングを有効化します。
この値が
1
またはtrue
の場合、フィードユーティリティは自身の活動を記録します。この値が
0
またはfalse
の場合、フィードユーティリティは自身の活動を記録しません。LogsDir
フィードユーティリティがログファイルを保存するディレクトリです。
CleanOldLog
古いログファイルの削除を有効化します。
この値が
0
の場合、フィードユーティリティは初期化時に古いログファイルを保持します。この値が
1
の場合、フィードユーティリティは初期化時に古いログファイルを削除します。
次の例は、ロギング設定が設定情報ファイルでどのようにネストされているのかを示します。
<Settings> ... <LogSettings> <EnableLog>0</EnableLog> <LogsDir>logs</LogsDir> <CleanOldLog>1</CleanOldLog> </LogSettings> </Settings> |