Kaspersky Anti Targeted Attack Platform 提供 HTTPS REST 接口,用于扫描保存在外部系统中的对象。
对于扫描存储在外部系统中的对象,建议使用以下 Kaspersky Anti Targeted Attack Platform 交互方案:
HTTP POST方法扫描对象的请求方法扫描结果请求API 接口是异步的,这意味着 Kaspersky Anti Targeted Attack Platform 在后台扫描对象,而不是在外部系统请求时立即扫描。因此,您必须使用 HTTP GET 方法定期从外部系统发送请求以接收扫描结果。发送请求的建议频率是每分钟一次。
您还可以在 Kaspersky Anti Targeted Attack Platform 的 Web 界面中配置有关检测到的对象的通知转发。
删除扫描结果的请求您可以删除扫描指定对象或所有对象的结果。
使用集群
如果外部系统由组合成一个集群的多台服务器组成,建议对所有服务器使用一个 ID(sensorId)。如果是这种情况,将在 Kaspersky Anti Targeted Attack Platform 的 Web 界面中显示整个系统的单个集成请求。如果需要区分单台服务器上的扫描结果的接收,则可以为每台服务器分配唯一的实例 ID(sensorInstanceId)。
局限性
在 Kaspersky Anti Targeted Attack Platform 配置文件中设置来自外部系统的最大允许对象扫描请求数和扫描对象的最大允许大小。
如果超过允许的同时对象扫描请求的最大数量,Kaspersky Anti Targeted Attack Platform 将不会处理进一步的请求,直到对象扫描请求的数量小于允许的最大数量。在满足此条件之前,将发出返回代码 429。您必须稍后再次尝试扫描请求。
如果超出允许的最大对象大小,则 Kaspersky Anti Targeted Attack Platform 不会扫描对象。创建 HTTP POST方法时会生成返回代码 413。您可以使用GET方法查看对象扫描限制列表来了解对象允许的最大大小。