О REST API

В этом разделе описываются возможности REST API Kaspersky CyberTrace.

О REST API

Kaspersky CyberTrace предоставляет интерфейс REST API, с помощью которого можно выполнять следующие действия:

• Выполнение поиска индикатора.
• Добавление новых источников данных об угрозах, а также настройка и удаление источников данных об угрозах, которые были добавлены с помощью REST API.
• Добавление, удаление и обновление индикаторов поставщиков для источников данных об угрозах, которые были добавлены с помощью REST API, а также для источников данных об угрозах InternalTI и FalsePositive.
• Добавление, обновление и удаление тегов в базе данных Kaspersky CyberTrace. Назначение тегов индикаторам и снятие тегов с индикаторов.

Поддерживаемые протоколы

REST API поддерживает протокол HTTPS с базовой аутентификацией. Все запросы синхронные. Kaspersky CyberTrace обрабатывает запрос и возвращает результат в ответе.

Для обмена данными по протоколу HTTPS Kaspersky CyberTrace использует сертификат, указанный в элементах GUISettings > HTTPServer >SSLCertificatePath and GUISettings > HTTPServer >SSLPrivateKeyPath конфигурационного файла kl_feed_service.conf.

Максимальное количество обрабатываемых запросов задается в элементе ServiceSettings > ScannersCount конфигурационного файла kl_feed_service.conf.

Источники данных об угрозах REST API

Источники данных об угрозах, добавленные с помощью REST API, отличаются от обычных источников данных об угрозах. Посредством REST API можно работать только с теми источниками данных об угрозах, которые были добавлены через REST API. Обращаться через REST API ко всем остальным источникам данных об угрозах невозможно. Кроме того, REST API предоставляет возможность управления индикаторами из источников данных об угрозах FalsePositive и InternalTI.

Источники данных об угрозах, добавленные с помощью REST API, отображаются на вкладке «Custom feeds». Если для источника данных об угрозах указан поставщик, такой источник данных об угрозах отображается на вкладке поставщика. У каждого источника данных об угрозах REST API есть краткое описание, в котором он обозначен как источник данных об угрозах REST API.

Для источников данных об угрозах которые были добавлены с помощью REST API невозможно выполнять следующие действия в веб-интерфейсе Kaspersky CyberTrace:

• Редактирование свойств источника данных об угрозах.
• Включение или отключение полей источника данных об угрозах.
• Определение правил фильтрации для источника данных об угрозах.
• Указание максимального количества записей в источнике данных об угрозах.

В веб-интерфейсе Kaspersky CyberTrace можно выполнять следующие действия с поставщиками, которые были добавлены с помощью REST API:

• Указание полей контекста для источника данных об угрозах.
• Включение или выключение источника данных об угрозах.
• Удаление источника данных об угрозах.

Роли пользователей и REST API

Доступные пользователю методы зависят от роли пользователя:

• Пользователи с ролью «Администратор» могут выполнять все запросы.
• Пользователи с ролью «Аналитик» могут выполнять поиск индикаторов.

REST API и ведение журнала

Kaspersky CyberTrace заносит в журнал следующую информацию о REST API:

• Если уровень ведения журнала — err и выше, Kaspersky CyberTrace регистрирует информацию об ошибках REST API.
• Если уровень ведения журнала — info и выше, Kaspersky CyberTrace регистрирует информацию обо всех запросах и ответах REST API.