API для управления действиями по реагированию на угрозы

Kaspersky Anti Targeted Attack Platform предоставляет интерфейс API для осуществления действий по реагированию на угрозы. Команды на выполнение операций поступают на сервер Central Node, после чего программа передает их Kaspersky Endpoint Agent.

С помощью внешних систем вы можете выполнить следующие операции на хостах c Kaspersky Endpoint Agent:

• Управлять сетевой изоляцией хостов.
• Управлять правилами запрета.
• Запускать программы.

Все перечисленные операции доступны на хостах с Kaspersky Endpoint Agent для Windows. На хостах с Kaspersky Endpoint Agent для Linux доступна только функция запуска программы.

Запрос на получение списка хостов Kaspersky Endpoint Agent

Для создания запроса на вывод информации о хостах с Kaspersky Endpoint Agent используется HTTP-метод GET.

Синтаксис команды

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors"

При успешной обработке запроса отобразится список хостов с Kaspersky Endpoint Agent.

Вы можете создать запрос на вывод информации о хостах с указанными параметрами: IP-адресом, именем или идентификатором хоста. Вы можете указать один, несколько или все параметры.

При указании имени хоста вам нужно учитывать, что фильтр чувствителен к регистру символов.

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors?ip=<IP-адрес хоста>&host=<имя хоста>&sensor_id=<идентификатор sensor_id>"

При успешной обработке запроса отобразится информация о выбранном хосте с Kaspersky Endpoint Agent.

Параметры

Пример ввода команд с параметрами

Возвращаемое значение

Запрос на получение информации о сетевой изоляции и наличии правил запрета для хостов Kaspersky Endpoint Agent

Для создания запроса на вывод информации о сетевой изоляции и наличии правил запрета для хостов Kaspersky Endpoint Agent используется HTTP-метод GET.

Синтаксис команды

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=<network_isolation или prevention>"

При успешной обработке запроса отобразится список хостов Kaspersky Endpoint Agent, для которых на момент выполнения запроса применены правила запрета или сетевой изоляции.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Управление сетевой изоляцией хостов

Для изоляции хоста Kaspersky Endpoint Agent с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

1. Создание запроса на получение списка хостов Kaspersky Endpoint Agent
2. Создание запроса на получение информации о хостах, для которых уже включена сетевая изоляция
3. Создание запроса на одну из следующих операций с хостами Kaspersky Endpoint Agent:
   • включение сетевой изоляции;
   • отключение сетевой изоляции;
   • добавление исключения в уже существующее правило сетевой изоляции.

Вы можете управлять созданными правилами сетевой изоляции в веб-интерфейсе программы.

Запрос на включение сетевой изоляции

Чтобы включить сетевую изоляцию для выбранного хоста, вам требуется добавить правило сетевой изоляции. Для создания запроса используется HTTP-метод POST.

Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '

{

"settings": {

"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>}

}

'

При успешной обработке запроса правило сетевой изоляции будет добавлено. Сетевая изоляция для выбранного хоста действует с момента добавления правила.

По истечении времени, указанного при создании запроса, сетевая изоляция перестанет действовать. Правило сетевой изоляции при этом не удаляется. При необходимости вы можете удалить выбранное правило.

Для отключения сетевой изоляции вам требуется создать запрос на отключение выбранного правила.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Если вы хотите изменить параметры созданного правила сетевой изоляции, вам требуется создать новый запрос на добавление правила с нужными параметрами.

Запрос на отключение сетевой изоляции

Чтобы отключить сетевую изоляцию для выбранного хоста, вам требуется создать запрос на отключение правила сетевой изоляции. Для создания запроса используется HTTP-метод DELETE.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation"

При успешной обработке запроса правило сетевой изоляции будет отключено.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Запрос на добавление исключения в правило сетевой изоляции

Чтобы добавить исключение для ранее созданного правила сетевой изоляции, вам требуется создать запрос на добавление исключения. Для создания запроса используется HTTP-метод POST.

Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '

{

"settings": [

{

"excludedRules": [

{

"direction": "<outbound или inbound>",

"protocol": <номер IP-протокола>,

"remotePortRange": {

"fromPort": remoteIpv4Address,

"toPort": <номер порта>

},

"localPortRange":

{

"fromPort": <номер порта>,

"toPort": <номер порта>

}

}

],

"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>

}

}

'

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Если вы хотите изменить параметры созданного исключения, вам требуется создать новый запрос на добавление исключения с нужными параметрами.

Управление правилами запрета

С помощью правил запрета вы можете заблокировать запуск файлов или процессов на выбранном хосте или всех хостах с Kaspersky Endpoint Agent. Например, вы можете запретить запуск программ, использование которых считаете небезопасным. Программа идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Правило запрета, созданное через внешние системы, может содержать несколько хешей файлов.

Через внешние системы вы можете управлять всеми правилами запрета, созданными для одного хоста или всех хостов, одновременно. При создании правила запрета для выбранного хоста через внешние системы Kaspersky Anti Targeted Attack Platform заменяет все правила запрета, назначенные на этот хост, правилом с новыми параметрами. Например, если ранее вы добавили несколько правил запрета для выбранного хоста через веб-интерфейс программы, а потом добавили правило запрета через внешние системы, все правила запрета, добавленные в веб-интерфейсе, будут заменены добавленным через внешние системы правилом.

При изменении параметров правила запрета, созданного через внешние системы, программа сохраняет только новые параметры. Например, если вы создали правило запрета, которое содержит хеши для нескольких файлов, и хотите добавить в это правило еще один хеш, вам требуется создать запрос на добавление правила запрета и указать в нем все хеши, для которых вы создавали запрет ранее, и новый хеш.

Описанный сценарий также актуален для правил запрета, назначенных на все хосты.

Для создания правила запрета с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

1. Создание запроса на получение списка хостов Kaspersky Endpoint Agent
2. Создание запроса на получение информации о хостах, для которых существуют правила запрета
3. Создание запроса на одну из следующих операций с правилами запрета:
   • создание правила;
   • удаление правила.

Добавленные правила запрета отображаются в веб-интерфейсе программы в разделе Политики, подразделе Правила запрета.

Если вы создаете через внешнюю систему правило запрета для всех хостов, вам требуется предварительно убедиться, что на сервере отсутствует и не применяется к одному или нескольким хостам правило запрета для этого же файла. Это условие также справедливо, если вы хотите создать через внешнюю систему правило запрета для выбранного хоста: вам требуется убедиться, что на сервере отсутствует и не применяется ко всем хостам правило запрета для этого же файла. В противном случае сервер вернет внешней системе ошибку со списком хостов, к которым уже применяется правило запрета.

Если правило запрета, создаваемое через внешнюю систему, содержит несколько хешей файлов, в информации об ошибке указывается только первый файл, вызвавший ошибку. Сведения о других дублирующихся правилах запрета не отображаются.

Для изменения уже созданного через веб-интерфейс или внешние системы правила запрета вам нужно создать запрос на добавление правила запрета с обновленными параметрами.

Запрос на создание правила запрета

Для создания запроса используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите создать правило запрета для всех хостов>&settings_type=prevention" -H 'Content-Type: application/json' -d '

{

"settings": {

"objects": [

{

"file": {

"<sha256 или md5>": "<SHA256- или MD5-хеш файла, запуск которого вы хотите запретить>"

}

},

{

"file": {

"<sha256 или md5>": "<SHA256- или MD5-хеш файла, запуск которого вы хотите запретить>"

}

'

При успешной обработке запроса правило запрета будет добавлено. Правило запрета действует с момента добавления.

При необходимости вы можете удалить правило запрета.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Запрос на удаление правила запрета

Вы можете удалить правило запрета с помощью нового запроса с пустыми значениями или запроса с параметром DELETE. Для создания запросов используются HTTP-методы POST и DELETE.

Синтаксис команды для нового запроса

Параметры команды передаются в теле запроса в формате JSON.

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите удалить правило запрета для всех хостов>&settings_type=prevention" -H 'Content-Type: application/json' -d '

{

"settings": {

"objects": []

}

}

'

Синтаксис команды с параметром DELETE

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите удалить правило запрета для всех хостов>&settings_type=prevention"

Параметры

Пример ввода команды для нового запроса

Пример ввода команды с параметром DELETE

При успешной обработке запроса правило запрета будет удалено.

Возвращаемое значение

Управление задачей запуска программы

Для управления задачей запуска программы с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

1. Создание запроса на получение информации о параметрах, времени создания и статусе выполнения задачи
2. Создание запроса на одну из следующих операций с задачей:
   • создание задачи;
   • удаление задачи.

Добавленные задачи отображаются в веб-интерфейсе программы в разделе Задачи.

Получение информации о задаче

Для создания запроса на получение информации о задаче используется HTTP-метод GET.

Синтаксис команды

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>?settings=<true или false>"

При успешной обработке запроса отобразится информация о параметрах, времени создания и статусе выполнения задачи.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Запрос на создание задачи

Для создания запроса на запуск программы Kaspersky Anti Targeted Attack Platform используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>?sensor_id=<идентификатор sensor_id>&task_type=run_process" -H 'Content-Type: application/json' -d '

{

"task": {

"shedule": {"startNow": <true или false>},

"execCommand": "<название программы, которую вы хотите запустить>",

"cmdLineParameters": "<дополнительные параметры запуска файла или выполнения команды>",

"workingDirectory": "<рабочая директория>"

}

}

'

При успешной обработке запроса задача на запуск программы будет создана.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение

Если вы хотите изменить параметры созданной задачи, вам требуется создать новый запрос на добавление задачи с нужными параметрами.

Запрос на удаление задачи

Для создания запроса на удаление задачи Kaspersky Anti Targeted Attack Platform используется HTTP-метод DELETE.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>"

При успешной обработке запроса задача на запуск программы будет удалена.

Параметры

Пример ввода команды с параметрами

Возвращаемое значение