Содержание
- Взаимодействие с внешними системами по API
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об обнаружениях программы
- API для управления действиями по реагированию на угрозы
Взаимодействие с внешними системами по API
Вы можете настроить интеграцию Kaspersky Anti Targeted Attack Platform с внешними системами, чтобы управлять действиями по реагированию на угрозы, а также для проверки хранящихся в них файлов и предоставления внешним системам доступа к информации обо всех обнаружениях программы.
Взаимодействие внешних систем с Kaspersky Anti Targeted Attack Platform осуществляется с помощью интерфейса API. Вызовы методов API доступны только для авторизованных внешних систем. Для авторизации администратору программы необходимо создать запрос на интеграцию внешней системы с программой. После этого администратор должен обработать запрос в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с внешней системой одним из следующих способов:
- Использовать функцию Round Robin.
- Настроить параметры внешней системы, чтобы при возникновении таймаута внешняя система переключалась между IP-адресами серверов кластера.
Чтобы настроить отказоустойчивую интеграцию с внешней системой:
- Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
- В параметрах почтового сервера укажите это доменное имя.
Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.
Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
Для начала работы с API необходимо выполнить интеграцию внешней системы с Kaspersky Anti Targeted Attack Platform. Внешняя система должна пройти авторизацию на сервере Kaspersky Anti Targeted Attack Platform.
Чтобы выполнить интеграцию внешней системы с Kaspersky Anti Targeted Attack Platform:
- Сгенерируйте уникальный идентификатор внешней системы для авторизации в Kaspersky Anti Targeted Attack Platform –
sensorId. - Сгенерируйте сертификат сервера внешней системы.
- Создайте любой запрос от внешней системы в Kaspersky Anti Targeted Attack Platform, содержащий идентификатор
sensorId. Например, вы можете создать запрос на проверку объекта из внешней системы в Kaspersky Anti Targeted Attack Platform.
В веб-интерфейсе Kaspersky Anti Targeted Attack Platform отобразится запрос на авторизацию от внешней системы. Обратитесь к администратору программы для обработки запроса.
Если вам нужно сменить сертификат сервера внешней системы, выполните действия по интеграции внешней системы в Kaspersky Anti Targeted Attack Platform повторно.
В началоAPI для проверки объектов внешних систем
Kaspersky Anti Targeted Attack Platform предоставляет HTTPS REST интерфейс проверки объектов, хранящихся во внешних системах.
Для проверки объектов, хранящихся во внешних системах, рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:
- Создание запроса на проверку объектов HTTP-методом
POST - Создание запроса на получение результатов проверки HTTP-методом
GETИнтерфейс API является асинхронным, то есть Kaspersky Anti Targeted Attack Platform выполняет проверку объектов не в момент обращения внешней системы, а в фоновом режиме. Поэтому для получения результатов проверки требуется периодически отправлять запрос от внешней системы HTTP-методом
GET. Рекомендуемая периодичность отправки запроса 1 раз в минуту.Вы также можете настроить отправку уведомлений об обнаруженных объектах в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
- Создание запроса на удаление результатов проверки HTTP-методом
DELETEВы можете удалить результаты проверки указанного объекта или всех объектов.
Работа с кластером
Если внешняя система представляет собой несколько серверов, объединенных в кластер, рекомендуется использовать один идентификатор (sensorId) для всех серверов. В этом случае в веб-интерфейсе Kaspersky Anti Targeted Attack Platform будет отображаться один запрос на интеграцию для всей системы. При необходимости разграничить получение результатов проверки по отдельным серверам вы можете назначить каждому серверу уникальный идентификатор экземпляра (sensorInstanceId).
Ограничения
В конфигурационном файле Kaspersky Anti Targeted Attack Platform установлены максимально допустимое количество запросов на проверку объектов от внешних систем и максимально допустимый размер проверяемого объекта.
Если превышено максимально допустимое количество одновременных запросов на проверку объектов, Kaspersky Anti Targeted Attack Platform перестает обрабатывать дальнейшие запросы до тех пор, пока количество запросов на проверку объектов не станет меньше максимально допустимого. До этого времени выдается код возврата 429. Необходимо повторить запрос на проверку позже.
Если превышен максимально допустимый размер объекта, Kaspersky Anti Targeted Attack Platform не проверяет этот объект. При создании запроса HTTP-методом POST выдается код возврата 413. Вы можете узнать максимально допустимый размер объекта, просмотрев список ограничений программы на проверку объектов с помощью метода GET.
Запрос на проверку объектов
Для создания запроса на проверку объектов используется HTTP-метод POST. Создать запрос можно, например, с помощью утилиты командной строки cURL.
Вы можете задавать параметры выполнения команды cURL с помощью дополнительных ключей (см. таблицу ниже).
Подробную информацию о ключах команд cURL см. в документации cURL.
Синтаксис команды
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/scanner/v1/sensors/<идентификатор sensorId>/scans?sensorInstanceId=<идентификатор sensorInstanceId>" -F "content=<путь к файлу, который вы хотите проверить>" -F scanId=<идентификатор запроса на проверку> -F "objectType=file"
При успешной обработке запроса отобразится статус "OK".
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
string |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
file |
Содержимое проверяемого объекта. |
|
string |
Уникальный идентификатор запроса на проверку. Должен быть сформирован на стороне внешней системы. Не может содержать пробелы и специальные символы. Не используйте имена файлов в качестве идентификатора запроса на проверку. Если этот параметр не указан, просмотр результатов проверки недоступен. |
|
string |
Тип проверяемого объекта. Возможное значения параметра: |
|
string |
Уникальный идентификатор экземпляра внешней системы. Экземплярами внешней системы считаются также серверы, объединенные в кластер. Параметр не является обязательным. |
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Проверка выполнена успешно. |
|
Требуется авторизация. |
|
Превышено количество запросов. Повторите запрос позднее. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Пример ввода команды с параметрами
|
Запрос на получение результатов проверки
Для создания запроса на получение результатов проверки используется HTTP-метод GET. Создать запрос можно, например, с помощью утилиты командной строки cURL.
Вы можете задавать параметры выполнения команды cURL с помощью дополнительных ключей (см. таблицу ниже).
Подробную информацию о ключах команд cURL см. в документации cURL.
Синтаксис команды
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/scanner/v1/sensors/<идентификатор sensorId>/scans/state?sensorInstanceId=<идентификатор sensorInstanceId>&state=<один или несколько статусов проверки, которые вы хотите отобразить в результатах проверки>"
При успешной отправке запроса отобразится список запросов на проверку объектов и результаты проверки этих объектов. Результаты проверки будут отфильтрованы по статусам, которые вы указали в параметре state. Например, если в запросе на получение результатов проверки вы указали статусы state=processing,detect, отобразятся только запросы на проверку объектов, которые находятся в обработке или в которых программа обнаружила угрозу.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
string |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
array (тип элементов string) |
Статус проверки объекта. При указании этого параметра результаты проверки будут отфильтрованы по статусу. Указывайте один или несколько статусов через запятую. Возможны следующие значения параметра:
|
|
string |
Уникальный идентификатор экземпляра внешней системы. Экземплярами внешней системы считаются также серверы, объединенные в кластер. Параметр не является обязательным. |
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Проверка выполнена успешно. |
|
Нет содержимого. |
|
Не найдены результаты проверки по указанному идентификатору. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Пример ввода команды с параметрами, если вы хотите отобразить все статусы проверки объектов в результатах проверки
|
Запрос на удаление результатов проверки
Для создания запроса на удаление результатов проверки одного или нескольких объектов используется метод DELETE. Создать запрос можно, например, с помощью утилиты командной строки cURL.
Синтаксис команды
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/scanner/v1/sensors/<идентификатор sensorId>/scans/<идентификатор scanId>"
При успешной обработке запроса результаты проверки объекта будут удалены. Отобразится статус "OK".
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
string |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
string |
Уникальный идентификатор запроса на проверку объекта. Если этот параметр не задан, будут удалены результаты проверки всех объектов. |
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Проверка выполнена успешно. |
|
Требуется авторизация. |
|
Не найдены результаты проверки по указанному идентификатору. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Пример ввода команды
|
Запрос на вывод ограничений программы на проверку объектов
Для создания запроса на вывод ограничений программы на проверку объектов (например, по размеру) используется HTTP-метод GET. Создать запрос можно, например, с помощью утилиты командной строки cURL.
Синтаксис команды
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/scanner/v1/sensors/<идентификатор sensorId>/scans/filters"
При успешной обработке запроса отобразятся ограничения программы на проверку объектов. Например, ограничение maxObjectSize – максимально допустимый размер объекта, который вы можете отправить на проверку.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
string |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Проверка выполнена успешно. |
|
Требуется авторизация. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Пример ввода команды
|
API для получения внешними системами информации об обнаружениях программы
Kaspersky Anti Targeted Attack Platform предоставляет интерфейс API для доступа внешних систем к информации обо всех обнаружениях программы, а не только о результатах проверки объектов, хранящихся в этих внешних системах.
Вы можете указать в параметрах запроса фильтры, чтобы получить информацию только о тех обнаружениях, которые удовлетворяют требуемым условиям.
При появлении новых обнаружений программа не отправляет информацию о них автоматически на основе предыдущих запросов. Для получения актуальной информации требуется отправить повторный запрос.
Особенности работы в распределенном решении
Если программа работает в режиме распределенного решения, то внешняя система может проходить процедуру авторизации только на сервере SCN. Авторизация на сервере PCN недоступна.
В таком случае внешняя система не может получить информацию обо всех обнаружениях, зарегистрированных в инфраструктуре, за одно обращение. Это ограничение связано с тем, что общая база данных, содержащая записи обо всех обнаружениях инфраструктуры, хранится на сервере PCN. Для получения информации обо всех обнаружениях внешней системе потребуется обращаться к каждому серверу SCN отдельно.
Запрос на вывод информации об обнаружениях
Для создания запроса на вывод информации об обнаружениях Kaspersky Anti Targeted Attack Platform используется HTTP-метод GET. Создать запрос можно, например, с помощью утилиты командной строки cURL.
Синтаксис команды
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/scanner/v1/sensors/<идентификатор sensorId>/detects?detect_type=<одна или несколько технологий, с помощью которых выполнено обнаружение>&limit=<количество обнаружений в ответе на запрос>&token=<идентификатор запроса>"
При успешной обработке запроса отобразится список обнаружений, выполненных программой Kaspersky Anti Targeted Attack Platform на сервере внешней системы.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
String |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
Array |
Технология, с помощью которой выполнено обнаружение. Возможно указать несколько технологий через запятую. Возможные значения:
|
|
Integer |
Количество объектов, информация о которых будет предоставлена в ответ на запрос. Допустимые значения: целые числа от 1 до 10000. По умолчанию установлено значение |
|
String |
Идентификатор запроса. При указании этого параметра в повторном запросе не отображается информация об обнаружениях, полученная в предыдущих запросах. Это позволяет избежать дублирования информации об одних и тех же обнаружениях при повторных запросах. Если этот параметр не указан, предоставляется информация обо всех обнаружениях. |
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Превышено количество запросов. |
|
Требуется авторизация. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Пример ввода команды с параметрами
|
Состав передаваемых данных
Информация, передаваемая о каждом обнаружении, представлена в таблице ниже.
Состав передаваемых данных об обнаружении
Параметр |
Значение |
Описание |
|---|---|---|
|
Целочисленное значение. |
Идентификатор обнаружения. |
|
Дата и время. |
Время события. |
|
Дата и время. |
Время занесения информации об обнаружении в базу Kaspersky Anti Targeted Attack Platform. |
|
Одно из следующих значений:
|
Важность обнаружения. |
|
Одно из следующих значений:
|
Источник обнаруженного объекта. |
|
Одно из следующих значений:
|
Технология, с помощью которой обнаружен объект. |
|
Одно из следующих значений:
|
Тип обнаруженного объекта. |
|
Зависит от типа обнаруженного объекта. |
|
|
Зависит от технологии, с помощью которой обнаружен объект. |
|
|
Зависит от источника обнаруженного объекта. |
Данные об обнаруженных объектах
Состав передаваемых данных об обнаруженных объектах в зависимости от типа объекта приведен в таблице ниже.
Данные об обнаруженных объектах
|
Параметр |
Тип данных |
Описание |
Пример |
|---|---|---|---|---|
|
|
MD5 |
MD5-хеш файла или составного объекта, переданного на проверку. |
|
|
SHA256 |
SHA256-хеш файла или составного объекта, переданного на проверку. |
|
|
|
String |
Имя файла или составного объекта, переданного на проверку. |
|
|
|
String |
Тип файла или составного объекта, переданного на проверку. |
|
|
|
Integer |
Размер файла или составного объекта, переданного на проверку, в байтах. |
|
|
|
MD5 |
MD5-хеш файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза. |
|
|
|
String |
Имя файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза. |
|
|
|
Integer |
Размер файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза, в байтах. |
|
|
|
|
String |
URL-адрес обнаруженного объекта. |
|
|
|
Array |
Список доменов, к которым относятся обнаруженные объекты.
|
|
Данные о найденных угрозах
Состав передаваемых данных о найденных угрозах в зависимости от технологии, с помощью которой выполнено обнаружение, приведен в таблице ниже.
Данные о найденных угрозах
Технология |
Параметр |
Описание |
Тип данных |
Пример |
|---|---|---|---|---|
Одна из следующих технологий:
|
|
Список найденных угроз. |
Array |
|
|
Версия баз, с помощью которых проверен файл. |
Integer |
|
|
Sandbox |
|
Список найденных угроз. |
Array |
|
|
Имя образа виртуальной машины, на которой был проверен файл. |
String |
|
|
|
Версия баз в следующем формате: |
Integer |
|
|
URL Reputation |
|
Список категорий URL Reputation для обнаруженного объекта (для объектов типа |
Array |
|
Targeted Attack Analyzer |
|
Название обнаружения модуля ТАА. |
Единственно возможное значение: |
|
Данные об окружении обнаруженных объектов
Состав передаваемых данных об окружении обнаруженных объектов в зависимости от источника объекта приведен в таблице ниже.
Данные об окружении обнаруженных объектов
Источник объекта |
Параметр |
Описание |
Тип данных |
Пример |
|---|---|---|---|---|
|
|
IP-адрес компьютера, установившего соединение. |
IP address |
|
|
Имя компьютера, установившего соединение. |
String |
|
|
|
IP-адрес компьютера, с которым установлено соединение. |
IP address |
|
|
|
Порт компьютера, с которым установлено соединение. |
Integer |
|
|
|
URL-адрес интернет-ресурса, к которому выполнено обращение. Для обнаружений, выполненных технологией IDS, этот параметр отсутствует. Для обнаружений, выполненных технологией URL, этот параметр совпадает с параметром |
String |
|
|
|
Метод HTTP-запроса. |
String |
|
|
|
URL-адрес, на который была выполнена переадресация. |
String |
|
|
|
Заголовок |
String |
|
|
|
|
Адрес электронной почты отправителя. |
String |
|
|
Список адресов электронной почты получателей через запятую. |
Array |
|
|
|
Тема сообщения. |
String |
|
|
|
ID сообщения электронной почты. |
String |
|
|
|
|
Имя компьютера, на котором выполнено обнаружение. |
String |
|
|
IP-адрес компьютера, на котором выполнено обнаружение. |
IP address |
|
|
|
|
IP-адрес компьютера, инициировавшего соединение по протоколу DNS. |
IP address |
|
|
IP-адрес компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). |
IP address |
|
|
|
Порт компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). |
Integer |
|
|
|
Тип DNS-сообщения:
|
String |
|
|
|
Один из следующих типов записи DNS-запроса:
|
String |
|
|
|
Имя домена из DNS-запроса. |
String |
|
API для управления действиями по реагированию на угрозы
Kaspersky Anti Targeted Attack Platform предоставляет интерфейс API для осуществления действий по реагированию на угрозы. Команды на выполнение операций поступают на сервер Central Node, после чего программа передает их Kaspersky Endpoint Agent.
С помощью внешних систем вы можете выполнить следующие операции на хостах c Kaspersky Endpoint Agent:
Все перечисленные операции доступны на хостах с Kaspersky Endpoint Agent для Windows. На хостах с Kaspersky Endpoint Agent для Linux доступна только функция запуска программы.
Запрос на получение списка хостов Kaspersky Endpoint Agent
Для создания запроса на вывод информации о хостах с Kaspersky Endpoint Agent используется HTTP-метод GET.
Синтаксис команды
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors"
При успешной обработке запроса отобразится список хостов с Kaspersky Endpoint Agent.
Вы можете создать запрос на вывод информации о хостах с указанными параметрами: IP-адресом, именем или идентификатором хоста. Вы можете указать один, несколько или все параметры.
При указании имени хоста вам нужно учитывать, что фильтр чувствителен к регистру символов.
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors?ip=<IP-адрес хоста>&host=<имя хоста>&sensor_id=<идентификатор sensor_id>"
При успешной обработке запроса отобразится информация о выбранном хосте с Kaspersky Endpoint Agent.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
string |
IP-адрес хоста Kaspersky Endpoint Agent. |
|
string |
Имя хоста Kaspersky Endpoint Agent. |
Пример ввода команд с параметрами
|
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Требуется авторизация. |
|
Ошибка ввода параметров. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Запрос на получение информации о сетевой изоляции и наличии правил запрета для хостов Kaspersky Endpoint Agent
Для создания запроса на вывод информации о сетевой изоляции и наличии правил запрета для хостов Kaspersky Endpoint Agent используется HTTP-метод GET.
Синтаксис команды
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=<network_isolation или prevention>"
При успешной обработке запроса отобразится список хостов Kaspersky Endpoint Agent, для которых на момент выполнения запроса применены правила запрета или сетевой изоляции.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
enum |
Тип правила - network_isolation или prevention. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Требуется авторизация. |
|
Ошибка ввода параметров. |
|
Не найден указанный хост Kaspersky Endpoint Agent. |
|
Внутренняя ошибка. Повторите запрос позднее. |
Управление сетевой изоляцией хостов
Для изоляции хоста Kaspersky Endpoint Agent с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:
- Создание запроса на получение списка хостов Kaspersky Endpoint Agent
- Создание запроса на получение информации о хостах, для которых уже включена сетевая изоляция
- Создание запроса на одну из следующих операций с хостами Kaspersky Endpoint Agent:
Вы можете управлять созданными правилами сетевой изоляции в веб-интерфейсе программы.
В началоЗапрос на включение сетевой изоляции
Чтобы включить сетевую изоляцию для выбранного хоста, вам требуется добавить правило сетевой изоляции. Для создания запроса используется HTTP-метод POST.
Параметры команды передаются в теле запроса в формате JSON.
Синтаксис команды
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '
{
"settings": {
"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>}
}
'
При успешной обработке запроса правило сетевой изоляции будет добавлено. Сетевая изоляция для выбранного хоста действует с момента добавления правила.
По истечении времени, указанного при создании запроса, сетевая изоляция перестанет действовать. Правило сетевой изоляции при этом не удаляется. При необходимости вы можете удалить выбранное правило.
Для отключения сетевой изоляции вам требуется создать запрос на отключение выбранного правила.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
integer |
Время, в течение которого будет действовать сетевая изоляция хоста. Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост Kaspersky Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Если вы хотите изменить параметры созданного правила сетевой изоляции, вам требуется создать новый запрос на добавление правила с нужными параметрами.
В началоЗапрос на отключение сетевой изоляции
Чтобы отключить сетевую изоляцию для выбранного хоста, вам требуется создать запрос на отключение правила сетевой изоляции. Для создания запроса используется HTTP-метод DELETE.
Синтаксис команды
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation"
При успешной обработке запроса правило сетевой изоляции будет отключено.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост Kaspersky Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Запрос на добавление исключения в правило сетевой изоляции
Чтобы добавить исключение для ранее созданного правила сетевой изоляции, вам требуется создать запрос на добавление исключения. Для создания запроса используется HTTP-метод POST.
Параметры команды передаются в теле запроса в формате JSON.
Синтаксис команды
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '
{
"settings": [
{
"excludedRules": [
{
"direction": "<outbound или inbound>",
"protocol": <номер IP-протокола>,
"remotePortRange": {
"fromPort": remoteIpv4Address,
"toPort": <номер порта>
},
"localPortRange":
{
"fromPort": <номер порта>,
"toPort": <номер порта>
}
}
],
"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>
}
}
'
Параметры
Параметр |
Тип |
Описание |
|
|
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
|
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
|
Направление сетевого трафика, которое не должно быть заблокировано. Может иметь следующие значения:
|
|
|
Номер IP-протокола, назначенный Internet Assigned Numbers Authority (IANA). |
|
|
IP-адрес хоста Kaspersky Endpoint Agent, сетевой трафик которого не должен быть заблокирован. |
|
|
Порт назначения. |
|
|
Порт, с которого устанавливается соединение. |
|
|
Время, в течение которого будет действовать сетевая изоляция хоста. Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост Kaspersky Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Если вы хотите изменить параметры созданного исключения, вам требуется создать новый запрос на добавление исключения с нужными параметрами.
В началоУправление правилами запрета
С помощью правил запрета вы можете заблокировать запуск файлов или процессов на выбранном хосте или всех хостах с Kaspersky Endpoint Agent. Например, вы можете запретить запуск программ, использование которых считаете небезопасным. Программа идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Правило запрета, созданное через внешние системы, может содержать несколько хешей файлов.
Через внешние системы вы можете управлять всеми правилами запрета, созданными для одного хоста или всех хостов, одновременно. При создании правила запрета для выбранного хоста через внешние системы Kaspersky Anti Targeted Attack Platform заменяет все правила запрета, назначенные на этот хост, правилом с новыми параметрами. Например, если ранее вы добавили несколько правил запрета для выбранного хоста через веб-интерфейс программы, а потом добавили правило запрета через внешние системы, все правила запрета, добавленные в веб-интерфейсе, будут заменены добавленным через внешние системы правилом.
При изменении параметров правила запрета, созданного через внешние системы, программа сохраняет только новые параметры. Например, если вы создали правило запрета, которое содержит хеши для нескольких файлов, и хотите добавить в это правило еще один хеш, вам требуется создать запрос на добавление правила запрета и указать в нем все хеши, для которых вы создавали запрет ранее, и новый хеш.
Описанный сценарий также актуален для правил запрета, назначенных на все хосты.
Для создания правила запрета с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:
- Создание запроса на получение списка хостов Kaspersky Endpoint Agent
- Создание запроса на получение информации о хостах, для которых существуют правила запрета
- Создание запроса на одну из следующих операций с правилами запрета:
Добавленные правила запрета отображаются в веб-интерфейсе программы в разделе Политики, подразделе Правила запрета.
Если вы создаете через внешнюю систему правило запрета для всех хостов, вам требуется предварительно убедиться, что на сервере отсутствует и не применяется к одному или нескольким хостам правило запрета для этого же файла. Это условие также справедливо, если вы хотите создать через внешнюю систему правило запрета для выбранного хоста: вам требуется убедиться, что на сервере отсутствует и не применяется ко всем хостам правило запрета для этого же файла. В противном случае сервер вернет внешней системе ошибку со списком хостов, к которым уже применяется правило запрета.
Если правило запрета, создаваемое через внешнюю систему, содержит несколько хешей файлов, в информации об ошибке указывается только первый файл, вызвавший ошибку. Сведения о других дублирующихся правилах запрета не отображаются.
Для изменения уже созданного через веб-интерфейс или внешние системы правила запрета вам нужно создать запрос на добавление правила запрета с обновленными параметрами.
В началоЗапрос на создание правила запрета
Для создания запроса используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON.
Синтаксис команды
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите создать правило запрета для всех хостов>&settings_type=prevention" -H 'Content-Type: application/json' -d '
{
"settings": {
"objects": [
{
"file": {
"<sha256 или md5>": "<SHA256- или MD5-хеш файла, запуск которого вы хотите запретить>"
}
},
{
"file": {
"<sha256 или md5>": "<SHA256- или MD5-хеш файла, запуск которого вы хотите запретить>"
}
'
При успешной обработке запроса правило запрета будет добавлено. Правило запрета действует с момента добавления.
При необходимости вы можете удалить правило запрета.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
string |
Тип объекта, запуск которого вы хотите запретить. Возможное значения параметра: file. |
|
string |
SHA256- или MD5-хеш объекта, запуск которого вы хотите запретить. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост Kaspersky Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Запрос на удаление правила запрета
Вы можете удалить правило запрета с помощью нового запроса с пустыми значениями или запроса с параметром DELETE. Для создания запросов используются HTTP-методы POST и DELETE.
Синтаксис команды для нового запроса
Параметры команды передаются в теле запроса в формате JSON.
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите удалить правило запрета для всех хостов>&settings_type=prevention" -H 'Content-Type: application/json' -d '
{
"settings": {
"objects": []
}
}
'
Синтаксис команды с параметром DELETE
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите удалить правило запрета для всех хостов>&settings_type=prevention"
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
Пример ввода команды для нового запроса
|
Пример ввода команды с параметром DELETE
|
При успешной обработке запроса правило запрета будет удалено.
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост Kaspersky Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Управление задачей запуска программы
Для управления задачей запуска программы с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:
- Создание запроса на получение информации о параметрах, времени создания и статусе выполнения задачи
- Создание запроса на одну из следующих операций с задачей:
Добавленные задачи отображаются в веб-интерфейсе программы в разделе Задачи.
В началоПолучение информации о задаче
Для создания запроса на получение информации о задаче используется HTTP-метод GET.
Синтаксис команды
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>?settings=<true или false>"
При успешной обработке запроса отобразится информация о параметрах, времени создания и статусе выполнения задачи.
Параметры
Параметры |
Тип |
Описание |
|---|---|---|
|
|
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
|
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
|
Уникальный идентификатор задачи. |
|
|
Может иметь следующие значения:
|
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Задача с указанным идентификатором уже существует. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Запрос на создание задачи
Для создания запроса на запуск программы Kaspersky Anti Targeted Attack Platform используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON.
Синтаксис команды
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>?sensor_id=<идентификатор sensor_id>&task_type=run_process" -H 'Content-Type: application/json' -d '
{
"task": {
"shedule": {"startNow": <true или false>},
"execCommand": "<название программы, которую вы хотите запустить>",
"cmdLineParameters": "<дополнительные параметры запуска файла или выполнения команды>",
"workingDirectory": "<рабочая директория>"
}
}
'
При успешной обработке запроса задача на запуск программы будет создана.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста Kaspersky Endpoint Agent. |
|
UUID |
Уникальный идентификатор задачи. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Задача с указанным идентификатором не найдена. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Если вы хотите изменить параметры созданной задачи, вам требуется создать новый запрос на добавление задачи с нужными параметрами.
В началоЗапрос на удаление задачи
Для создания запроса на удаление задачи Kaspersky Anti Targeted Attack Platform используется HTTP-метод DELETE.
Синтаксис команды
curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>"
При успешной обработке запроса задача на запуск программы будет удалена.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор задачи. |
Пример ввода команды с параметрами
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Операция выполнена успешно. |
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Задача с указанным идентификатором не найдена. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |