Содержание
API для получения внешними системами информации об обнаружениях приложения
Kaspersky Anti Targeted Attack Platform предоставляет интерфейс API для доступа внешних систем к информации обо всех обнаружениях приложения, а не только о результатах проверки объектов, хранящихся в этих внешних системах.
Вы можете указать в параметрах запроса фильтры, чтобы получить информацию только о тех обнаружениях, которые удовлетворяют требуемым условиям.
При появлении новых обнаружений приложение не отправляет информацию о них автоматически на основе предыдущих запросов. Для получения актуальной информации требуется отправить повторный запрос.
Особенности работы в распределенном решении
Если приложение работает в режиме распределенного решения, то вам нужно настроить интеграцию с внешней системой для каждого сервера PCN и SCN, с которого вы хотите получать информацию об обнаружениях, отдельно. Ограничение связано с тем, что в веб-интерфейсе сервера PCN отображается информация обо всех обнаружениях, однако в базе обнаружений хранятся только те обнаружения, которые были зарегистрированы на этом сервере.
Запрос на вывод информации об обнаружениях
Для создания запроса на вывод информации об обнаружениях Kaspersky Anti Targeted Attack Platform используется HTTP-метод GET. Создать запрос можно, например, с помощью утилиты командной строки cURL.
Синтаксис команды
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/scanner/v1/sensors/<идентификатор sensorId>/detects?detect_type=<одна или несколько технологий, с помощью которых выполнено обнаружение>&limit=<количество обнаружений в ответе на запрос>&token=<идентификатор запроса>"
При успешной обработке запроса отобразится список обнаружений, выполненных приложением Kaspersky Anti Targeted Attack Platform на сервере внешней системы.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
String |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
Array |
Технология, с помощью которой выполнено обнаружение. Возможно указать несколько технологий через запятую. Возможные значения:
Если параметр не указан, предоставляется информация обо всех обнаружениях. |
|
Integer |
Количество объектов, информация о которых будет предоставлена в ответ на запрос. Допустимые значения: целые числа от 1 до 10000. По умолчанию установлено значение |
|
String |
Идентификатор запроса. При указании этого параметра в повторном запросе не отображается информация об обнаружениях, полученная в предыдущих запросах. Это позволяет избежать дублирования информации об одних и тех же обнаружениях при повторных запросах. Если этот параметр не указан, предоставляется информация обо всех обнаружениях. |
Ответ
HTTP-код: 200
Формат: JSON
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Ошибка ввода параметров. |
|
Превышено количество запросов. |
|
Требуется авторизация. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Пример ввода команды с параметрами
|
Состав передаваемых данных
Информация, передаваемая о каждом обнаружении, представлена в таблице ниже.
Состав передаваемых данных об обнаружении
Параметр |
Значение |
Описание |
|---|---|---|
|
Целочисленное значение. |
Идентификатор обнаружения. |
|
Дата и время. |
Время события. |
|
Дата и время. |
Время занесения информации об обнаружении в базу Kaspersky Anti Targeted Attack Platform. |
|
Одно из следующих значений:
|
Важность обнаружения. |
|
Одно из следующих значений:
|
Источник обнаруженного объекта. |
|
Одно из следующих значений:
|
Технология, с помощью которой обнаружен объект. |
|
Одно из следующих значений:
|
Тип обнаруженного объекта. |
|
Зависит от типа обнаруженного объекта. |
|
|
Зависит от технологии, с помощью которой обнаружен объект. |
|
|
Зависит от источника обнаруженного объекта. |
Данные об обнаруженных объектах
Состав передаваемых данных об обнаруженных объектах в зависимости от типа объекта приведен в таблице ниже.
Данные об обнаруженных объектах
|
Параметр |
Тип данных |
Описание |
Пример |
|---|---|---|---|---|
|
|
MD5 |
MD5-хеш файла или составного объекта, переданного на проверку. |
|
|
SHA256 |
SHA256-хеш файла или составного объекта, переданного на проверку. |
|
|
|
String |
Имя файла или составного объекта, переданного на проверку. |
|
|
|
String |
Тип файла или составного объекта, переданного на проверку. |
|
|
|
Integer |
Размер файла или составного объекта, переданного на проверку, в байтах. |
|
|
|
MD5 |
MD5-хеш файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза. |
|
|
|
String |
Имя файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза. |
|
|
|
Integer |
Размер файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза, в байтах. |
|
|
|
|
String |
URL-адрес обнаруженного объекта. |
|
|
|
Array |
Список доменов, к которым относятся обнаруженные объекты. Для технологии |
|
Данные о найденных угрозах
Состав передаваемых данных о найденных угрозах в зависимости от технологии, с помощью которой выполнено обнаружение, приведен в таблице ниже.
Данные о найденных угрозах
Технология |
Параметр |
Описание |
Тип данных |
Пример |
|---|---|---|---|---|
Одна из следующих технологий:
|
|
Список найденных угроз. |
Array |
|
|
Версия баз, с помощью которых проверен файл. |
Integer |
|
|
Sandbox |
|
Список найденных угроз. |
Array |
|
|
Имя образа виртуальной машины, на которой был проверен файл. |
String |
|
|
|
Версия баз в следующем формате: |
Integer |
|
|
URL Reputation |
|
Список категорий URL Reputation для обнаруженного объекта (для объектов типа |
Array |
|
Данные об окружении обнаруженных объектов
Состав передаваемых данных об окружении обнаруженных объектов в зависимости от источника объекта приведен в таблице ниже.
Данные об окружении обнаруженных объектов
Источник объекта |
Параметр |
Описание |
Тип данных |
Пример |
|---|---|---|---|---|
|
|
IP-адрес компьютера, установившего соединение. |
IP address |
|
|
Имя компьютера, установившего соединение. |
String |
|
|
|
IP-адрес компьютера, с которым установлено соединение. |
IP address |
|
|
|
Порт компьютера, с которым установлено соединение. |
Integer |
|
|
|
URL-адрес интернет-ресурса, к которому выполнено обращение. Для обнаружений, выполненных технологией IDS, этот параметр отсутствует. Для обнаружений, выполненных технологией URL, этот параметр совпадает с параметром |
String |
|
|
|
Метод HTTP-запроса. |
String |
|
|
|
URL-адрес, на который была выполнена переадресация. |
String |
|
|
|
Заголовок |
String |
|
|
|
|
Адрес электронной почты отправителя. |
String |
|
|
Список адресов электронной почты получателей через запятую. |
Array |
|
|
|
Тема сообщения. |
String |
|
|
|
ID сообщения электронной почты. |
String |
|
|
|
|
Имя компьютера, на котором выполнено обнаружение. |
String |
|
|
IP-адрес компьютера, на котором выполнено обнаружение. |
IP address |
|
|
|
|
IP-адрес компьютера, инициировавшего соединение по протоколу DNS. |
IP address |
|
|
IP-адрес компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). |
IP address |
|
|
|
Порт компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). |
Integer |
|
|
|
Тип DNS-сообщения:
|
String |
|
|
|
Один из следующих типов записи DNS-запроса:
|
String |
|
|
|
Имя домена из DNS-запроса. |
String |
|