フィードユーティリティの構成パラメータ
2024年4月11日
ID 171650
フィードユーティリティは設定情報ファイルからのフィードの構成パラメータ、フィードルール、フィルタリングルール、解析ルールを読み取ります。このファイルは XML 形式で、複数のグループのパラメータがあります。
設定情報ファイル内のパスには、オペレーティングシステムのロケールで使用されている文字しか含めることはできません。それ以外の文字を含めると、フィードユーティリティが機能しなくなります。
Feed (フィードルール、フィルタリングルール、解析ルール)
Feed パラメータには、特定のフィードのルールが含まれています。この要素には、複数の種別のネストされたパラメータがあります:
- フィードルールでは、フィードユーティリティによるこの特定のフィードの処理方法を指定します。
- フィルタリングルールは、フィードユーティリティが元のフィードファイルのフィルタリングに使用する基準です。フィルタリングルールは、各フィードのフィードルールの一部です。
- 解析ルールはカスタムフィード(OSINT feeds や Kaspersky Threat Data Feeds ではないその他のフィード)のルールです。これらのパラメータでは、フィードユーティリティによる各フィードの解析方法を指定します。
このパラメータには、次の属性があります:
enabledフィードユーティリティがこのフィードをダウンロードして処理する必要があるかどうかを指定します。
enabledが true の場合、フィードユーティリティはフィードをダウンロードして処理します。enabledが false の場合、フィードユーティリティはこのフィードをスキップします。
次の例では、フィードルール、フィルタリングルール、解析ルールが設定情報ファイルでどのようにネストされているかを示します。
<Settings> ... <Feeds> ... <Feed enabled="true"> <Name>Malicious_Hash_Data_Feed</Name> <!-- Other feed rules for this feed --> <Filters> <Field name="popularity" value="4;5"/> <!-- Other filtering rules for this feed --> </Filters> </Feed> <Feed> <Name>Botnet_CnC_URL_Data_Feed</Name> <!-- Other feed rules for this feed --> <!-- This feed has no filtering rules --> </Feed> ... </Feeds> ... </Settings> |
FeedsDir
FeedsDir パラメータはフィードユーティリティによる、処理済みフィードファイルの格納先ディレクトリを指定します。
WorkDir
WorkDir パラメータはフィードユーティリティによる、ダウンロードおよび解凍済みフィードファイルの格納先ディレクトリを指定します。
このパラメータを指定しない場合、フィードユーティリティはオペレーティングシステムの既定の一時ディレクトリを使用します。
WorkDir を FeedsDir と同じディレクトリにすることはできません。
CertFile
CertFile パラメータは、証明書ファイルへのパスを指定します。この証明書は、フィードユーティリティがフィードをダウンロードする際に使用します。
証明書ファイルは PEM 形式にする必要があります。
SourceIPs
SourceIPs パラメータは、フィードユーティリティがフィードのダウンロードに使用する IP アドレスを指定します。
このパラメータは任意です。省略するか、値を空にすると、フィードユーティリティはカスペルスキーのサーバーアドレスをそのドメイン名で解決します。
このパラメータには 1 つ以上の IPv4 アドレスを指定できます。複数の IP アドレスを指定するには、セミコロン(「;」)を区切り記号として使用します。
次の例では、SourceIPs パラメータに IP アドレスを指定する方法を示します。
<SourceIPs>192.0.2.1;192.0.2.2</SourceIPs> |
SourceDomains
SourceDomains パラメータは、フィードユーティリティがフィードのダウンロードに使用するドメイン名を指定します。
このパラメータには 1 つ以上のドメイン名を指定できます。複数のドメイン名を指定するには、セミコロン(「;」)を区切り記号として使用します。フィードユーティリティは、設定情報ファイルに記載されている順に指定のドメイン名からフィードをダウンロードしようとします。
SourceDomains パラメータと SourceIPs パラメータを併用すると、SourceDomains パラメータで指定したドメインが、SourceIPs パラメータで指定した IP アドレスより先に使用されます。フィードをダウンロードしようとする試行がすべて失敗すると、フィードユーティリティはエラーメッセージを生成します。
このパラメータには Unicode 記号を使用できます。
次の例では、SourceDomains パラメータに IP アドレスを指定する方法を示します。
<SourceDomains>updates1.example.com;updates2.example.com</SourceDomains> |
CreateExternalFeedInfoList path="PATH"
このパラメータは廃止されました。最新バージョンの Kaspersky CyberTrace では無視されます。
CreateExternalFeedInfoList パラメータは、サポート対象の OSINT feeds のリストを生成する必要があるかどうかを指定します。このパラメータは必須です。
このパラメータが 1 の場合、フィードユーティリティは path 属性で指定したディレクトリ内に、サポート対象の OSINT feeds のリスト osint_feed_list.conf を作成します。カスタムフィードまたはサードパーティのフィードを Kaspersky CyberTrace に追加した場合も、フィードユーティリティは osint_feed_list.conf と同じディレクトリ内にこれらのフィードのリスト custom_feed_list.conf を作成します。
このパラメータが 0 の場合、フィードユーティリティはサポート対象の OSINT feeds のリストを作成しません。
次の例では、リストを作成する必要がある場所へのパスの指定方法を示します。この例では、フィードユーティリティバイナリのあるディレクトリにリストが作成されます。
<CreateExternalFeedInfoList path=".">1</CreateExternalFeedInfoList> |
NotifyKTFS path="PATH"
NotifyKTFS パラメータは、フィードの更新を Kaspersky CyberTrace サービスに通知する必要があるかどうかを指定します。
このパラメータは json 出力形式でのみ使用できます。
このパラメータが 1 の場合、フィードユーティリティはフィードの再読み込みが必要なことを Kaspersky CyberTrace サービスに通知します。Kaspersky CyberTrace サービスバイナリファイルへのパスは、このパラメータの path 属性で指定する必要があります。
このパラメータが 0 の場合、フィードユーティリティは Kaspersky CyberTrace サービスに通知しません。
EULA
EULA パラメータは、エンドユーザー使用許諾契約(EULA)の条件にユーザーが同意したかどうかを示します。
値が accepted の場合、EULA の条件は同意されています。
この値が rejected の場合、EULA の条件は拒否されています。この場合、フィードユーティリティを使用することはできません。
RetryCount
RetryCount パラメータは、Kaspersky Threat Data Feed のダウンロードの試行回数を指定します。接続がタイムアウトしたり、ダウンロードが一部しか行われなかったり、その他のエラーが発生したりすると、フィードユーティリティは再ダウンロードを試行します。
指定した回数の試行に失敗すると、フィードユーティリティはエラーメッセージを表示し、操作を続行します。
このパラメータの使用は Kaspersky Threat Data Feeds だけが対象です。OSINT feeds と他のカスタムフィードはフィードユーティリティによって再ダウンロードされません。
このパラメータは任意です。このパラメータを指定しない場合、フィードユーティリティは既定値 10 を使用します。
このパラメータが 0 の場合、試行回数は無制限になります。
SequentialDownload
SequentialDownload パラメータは、シーケンシャルモードまたはパラレルモードのどちらでフィードをフィードユーティリティにダウンロードさせるかを指定します。
この値が 1 または true の場合、フィードユーティリティはシーケンシャルモードでフィードを 1 つずつダウンロードします。
この値が 0 または false の場合、フィードユーティリティはパラレルモードですべてのフィードを同時にダウンロードします。
このパラメータの既定値は 0 です。
OutputFormat
OutputFormat パラメータは、全フィードの出力形式を定義します。このパラメータには次の値を指定できます:
jsonフィードは JSON 形式になります。フィードファイルの拡張子は json です。
これが既定値となります。
OutputFormatパラメータを省略する場合、この値は出力形式の定義に使用されます。txtフィードはプレーンテキスト形式(UTF-8 の BOM 付き)になります。フィードファイルの拡張子は txt です。
delimiter属性この形式では、レコードフィールドは区切り記号で区切られます。既定の区切り記号は
「;」です。カスタム区切り記号を指定する場合は、delimiter属性を次のように使用します:<OutputFormat delimiter="%delimiter%">txt</OutputFormat>区切り記号として使用する必要のある記号に
%delimiter%を置き換えます。indicatorPerLine属性1 行ごとに 1 つのレコードを出力する場合は、
indicatorPerLine属性を次のように 1 に設定します:<OutputFormat indicatorPerLine="1">txt</OutputFormat>この属性を使用する場合、
RequiredFieldsフィードルールで指定したサブフィールドは同じ親フィールドを持つ必要があります。たとえば、「files/MD5;files/SHA1」は有効ですが、「files/MD5;whois/domain」は無効でエラーとなります。
この出力形式を指定する場合、設定情報ファイルのすべてのフィードルールに
RequiredFieldsパラメータを含める必要があります。RequiredFieldsパラメータは、フィールドが出力フィードに書き込まれる順序を指定します。csvtxtと同じです。フィードファイルの拡張子は csv です。delimiter属性とindicatorPerLine属性を使用できます。openiocフィードは OpenIOC 形式になります。フィードファイルの拡張子は ioc です。
OpenIOC 形式のバージョンを
version属性で指定でき、1.0または1.1のいずれかにすることができます。属性を省略すると、バージョン1.1が使用されます。OpenIOC 1.0 形式へのフィードの変換にはいくつかの制限があります。Phishing URL Data Feed と Malicious URL Data Feed を OpenIOC 1.0 形式に変換することはできません。変換すると、代わりにエラーメッセージが出力されます。その他のフィードの場合、ハッシュと IP アドレスのフィールドのみが変換されます。OpenIOC 1.1 形式へのフィードの変換にはそのような制限はありません。
RequiredFields要素を使用することは推奨しません。この場合、フィードからは、OpenIOC 形式に変換するために必須であるフィールドが欠落します。RecordsCountパラメータはこの形式を目的としていないため、使用しないことを推奨します。このパラメータの使用結果は、予期せぬものである可能性があります。OpenIOC 形式のフィードは、元のフィードファイルよりもはるかに多くのハードドライブ容量を消費します。
stixフィードは STIX 形式になります。ファイルの拡張子は xml です。
STIX 形式の場合、URL マスクのあるフィードには
typeフィールドが必要です。STIX 形式のバージョンを
version属性で指定でき、1、2.0、または2.1にすることができます。値1を指定すると、フィードは STIX 1.1 形式になります。属性を省略すると、値1が使用されます。RequiredFields要素を使用することは推奨しません。この場合、フィードからは、STIX 形式に変換するために必須であるフィールドが欠落します。RecordsCountパラメータはこの形式を目的としていないため、使用しないことを推奨します。このパラメータの使用結果は、予期せぬものである可能性があります。STIX 形式のフィードは、元のフィードファイルよりもはるかに多くのハードドライブ容量を消費します。
次の例は、OutputFormat パラメータが設定情報ファイルでどのようにネストされているのかを示します。
<Settings> ... <Feeds> <OutputFormat>json</OutputFormat> ... </Feeds> ... </Settings> |
CreateDiff
CreateDiff パラメータは、フィードユーティリティがフィードの差分を作成する必要があるかどうかを指定します。フィードの差分は、新旧バージョンの処理済みフィードファイル間の差分が含まれるファイルです。このパラメータは、フィードユーティリティが作成したすべてのフィードに次のように反映されます:
- このパラメータが
0の場合、フィードユーティリティはフィードの差分を作成しません。これが既定値となります。 - このパラメータが
1の場合、フィードユーティリティはフィードの差分を作成します。
CreateDiff が 1 の場合、新しいバージョンのフィードがダウンロードされ、フィードごとに 2 つの追加ファイルが作成されます(%feed_name% はフィードファイルの名前です):
- ファイル
%feed_name%_new.jsonには、フィードファイルの新しいバージョンに追加されたレコードが含まれます。 - ファイル
%feed_name%_del.jsonには、フィードファイルの新しいバージョンから削除されたレコードが含まれます。
フィードの差分は、1 つのファイルに含まれる JSON 形式のフィードのみを対象に作成できます。
OutputFormatパラメータの値はjsonにする必要があります。- 各フィードで
UrlMatcherFieldパラメータは省略するか、値を空にする必要があります。 - 各フィードで
RecordsCountパラメータにperFile属性を指定しないようにするか、この属性の値を0にする必要があります。
フィードの差分を作成するため、フィードユーティリティは新旧バージョンのフィードで key フィールドを使用します。
- このフィードに、ネストされていない
id、MD5、ip、url、またはdomainフィールドがある場合、そのフィールドは key フィールドとして使用されます。 - 上記のフィールドがいずれもない場合、フィードユーティリティはフィード全体で一意の値を持つフィールドを見つけようとします。そのようなフィードが見つからない場合、警告が生成されます。
次の例は、OutputFormat パラメータが構成ファイルでどのようにネストされているのかを示します。
<Settings> ... <Feeds> ... <CreateDiff>0</CreateDiff> ... </Feeds> ... </Settings> |
ProxySettings
ProxySettings パラメータはフィードユーティリティのプロキシ設定を指定します。プロキシサーバーを指定すると、フィードユーティリティは指定のパラメータを使用してフィードをダウンロードします。
プロキシのユーザー名とパスワードはフィードユーティリティ設定情報ファイルに保存されています。カスペルスキーからこの情報は提供されません。
プロキシ設定は次のパラメータで指定します:
Hostプロキシサーバーのホストです。
このパラメータでドメイン名または IP アドレスを指定できます。IPv4 アドレスと IPv6 アドレスの両方がサポートされます。
Portプロキシサーバーのポートです。
Userプロキシサーバー認証用の暗号化されたユーザー名です。
プロキシサーバーの認証が必要ない場合は、このパラメータを空のままにしてください。
このパラメータは暗号化された状態で保存されます。このパラメータを設定するには、
--set-proxyコマンドラインオプションを使用します。このオプションを使用せず、ユーザー名をプレーンテキストで入力すると、プロキシサーバーへの接続は確立されません。Passwordプロキシサーバー認証用の暗号化されたパスワードです。
プロキシサーバーの認証が必要ない場合は、このパラメータを空のままにしてください。
このパラメータは暗号化された状態で保存されます。このパラメータを設定するには、
--set-proxyコマンドラインオプションを使用します。このオプションを使用せず、パスワードをプレーンテキストで入力すると、プロキシサーバーへの接続は確立されません。
次の例は、プロキシ設定が設定情報ファイルでどのようにネストされているのかを示します。
<Settings> ... <ProxySettings> <Host></Host> <Port></Port> <User></User> <Password></Password> </ProxySettings> ... </Settings> |
LogSettings
LogSettings パラメータは、フィードユーティリティによる自身の活動の記録方法を定義します。
ロギングを有効にすると、フィードユーティリティは、プライベート、セキュリティ関連、または機密と判断される可能性のあるフィードユーティリティ構成パラメータ、プロキシのホストとポート、フィードのダウンロードと処理中に実行された操作といった情報をすべてログファイルに書き込むことができます。
ロギングを有効にすると、フィードユーティリティは、作業ディレクトリとフィードディレクトリ用のハードドライブの空き容量に関する情報をログファイルに書き込みます。また、このバージョン以降、フィードの読み込み時の平均速度もログに書き込まれます。
ログファイルは通常のテキストファイルです。ログファイルに書き込まれた情報はいずれも暗号化されません。ログファイルには、継承された標準のアクセス権が備わっています。管理者だけがログファイルを読み取ることができるように、ログファイルの保存先ディレクトリに適切な権限を割り当てることを推奨します。
ログファイルはユーザーが明示的に削除するまで残ります。
フィードユーティリティはカスペルスキー用に格納したログファイルまたはデータを送信しません。テクニカルアカウントマネージャー(TAM)は技術的なサポートのために、ログファイルの提出を依頼することがあります。
ロギング設定は次のパラメータで指定します:
EnableLogロギングを有効化します。
この値が
1またはtrueの場合、フィードユーティリティは自身の活動を記録します。この値が
0またはfalseの場合、フィードユーティリティは自身の活動を記録しません。LogsDirフィードユーティリティがログファイルを保存するディレクトリです。
CleanOldLog古いログファイルの削除を有効化します。
この値が
0の場合、フィードユーティリティは初期化時に古いログファイルを保持します。この値が
1の場合、フィードユーティリティは初期化時に古いログファイルを削除します。
次の例は、ロギング設定が設定情報ファイルでどのようにネストされているのかを示します。
<Settings> ... <LogSettings> <EnableLog>0</EnableLog> <LogsDir>logs</LogsDir> <CleanOldLog>1</CleanOldLog> </LogSettings> </Settings> |