Содержание
Управление сетевой изоляцией хостов
Для изоляции хоста с компонентом Endpoint Agent с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:
- Создание запроса на получение списка хостов с компонентом Endpoint Agent
- Создание запроса на получение информации о хостах, для которых уже включена сетевая изоляция
- Создание запроса на одну из следующих операций с хостами с компонентом Endpoint Agent:
Вы можете управлять созданными правилами сетевой изоляции в веб-интерфейсе приложения.
В началоЗапрос на включение сетевой изоляции
Чтобы включить сетевую изоляцию для выбранного хоста, вам требуется добавить правило сетевой изоляции. Для создания запроса используется HTTP-метод POST.
Параметры команды передаются в теле запроса в формате JSON.
Синтаксис команды
curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '
{
"settings": {
"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>}
}
'
При успешной обработке запроса правило сетевой изоляции будет добавлено. Сетевая изоляция для выбранного хоста действует с момента добавления правила.
По истечении времени, указанного при создании запроса, сетевая изоляция перестанет действовать. Правило сетевой изоляции при этом не удаляется. При необходимости вы можете удалить выбранное правило.
Для отключения сетевой изоляции вам требуется создать запрос на отключение выбранного правила.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста с компонентом Endpoint Agent. |
|
integer |
Время, в течение которого будет действовать сетевая изоляция хоста. Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд. |
Пример ввода команды с параметрами
|
Ответ
HTTP-код: 200
Формат: JSON
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост с компонентом Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Если вы хотите изменить параметры созданного правила сетевой изоляции, вам требуется создать новый запрос на добавление правила с нужными параметрами.
В началоЗапрос на отключение сетевой изоляции
Чтобы отключить сетевую изоляцию для выбранного хоста, вам требуется создать запрос на отключение правила сетевой изоляции. Для создания запроса используется HTTP-метод DELETE.
Синтаксис команды
curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation"
При успешной обработке запроса правило сетевой изоляции будет отключено.
Параметры
Параметр |
Тип |
Описание |
|---|---|---|
|
UUID |
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
UUID |
Уникальный идентификатор хоста с компонентом Endpoint Agent. |
Пример ввода команды с параметром DELETE
|
Для того чтобы проверить отключение сетевой изоляции, выполните запрос на получение информации о задаче, используя HTTP-метод GET.
Пример ввода команды с параметром GET
|
Если сетевая изоляция отключена, то Kaspersky Anti Targeted Attack Platform возвращает ответ внешней системе в следующем формате:
{ "error": "Not Found" } |
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост с компонентом Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Запрос на добавление исключения в правило сетевой изоляции
Чтобы добавить исключение для ранее созданного правила сетевой изоляции, вам требуется создать запрос на добавление исключения. Для создания запроса используется HTTP-метод POST.
Параметры команды передаются в теле запроса в формате JSON.
Синтаксис команды
curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '
{"settings": {"excludedRules": [{"direction": "<outbound, inbound или both>","protocol": <номер IP-протокола>,"remoteIpv4Address": "<IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован>","localPortRange":{"fromPort": <номер порта>,"toPort": <номер порта>}},{"direction": "<outbound, inbound или both>","protocol": <номер IP-протокола>,"remoteIpv4Address": "<IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован>","remotePortRange":{"fromPort": <номер порта>,"toPort": <номер порта>}},{"direction": "<outbound, inbound или both>","protocol": <номер IP-протокола>,"remoteIpv4Address": "<IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован>"}],"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>}}'
При успешной обработке запроса исключение из правила сетевой изоляции будет добавлено.
Параметры
Параметр |
Тип |
Описание |
|
|
Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
|
|
Уникальный идентификатор хоста с компонентом Endpoint Agent. |
|
|
Направление сетевого трафика, которое не должно быть заблокировано. Может иметь следующие значения:
Если вы не указали значение параметра, по умолчанию будет применено значение both и приложение будет передавать трафик в обоих направлениях. |
|
|
Номер IP-протокола, назначенный Internet Assigned Numbers Authority (IANA). Если вы не указали значение параметра, по умолчанию сетевая изоляция будет распространена на все протоколы. |
|
|
IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован. |
|
|
Порт назначения. Вы можете указать порт, только если вы выбрали исходящее (outbound) направление сетевого трафика. Для двунаправленного трафика нельзя задавать диапазон портов. |
|
|
Порт, с которого устанавливается соединение. Вы можете указать порт, только если вы выбрали входящее (inbound) направление сетевого трафика. Для двунаправленного трафика нельзя задавать диапазон портов. |
|
|
Время, в течение которого будет действовать сетевая изоляция хоста. Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд. |
Пример ввода команды с параметрами
|
Ответ
HTTP-код: 200
Формат: JSON
|
Возвращаемое значение
Код возврата |
Описание |
|---|---|
|
Ошибка ввода параметров. |
|
Требуется авторизация. |
|
Не найден указанный хост с компонентом Endpoint Agent. |
|
Внутренняя ошибка сервера. Повторите запрос позднее. |
Если вы хотите изменить параметры созданного исключения, вам требуется создать новый запрос на добавление исключения с нужными параметрами.
В начало