使用 Kaspersky Anti Targeted Attack Platform API NDR
REST API 服务器为外部系统提供对 NDR 功能的访问,它在 Central Node 服务器上运行并使用 REST (Representational State Transfer) 架构风格处理请求。使用 HTTPS 向 REST API 服务器发出请求。您可以在“设置 → 连接服务器”下配置 REST API 服务器(包括用受信任证书替换默认的自签名证书)。
JSON 格式用于表示请求和响应中的数据。
包含基于 REST 架构风格的请求描述的文档作为“在线帮助指南”发布在“卡巴斯基在线帮助”页面上。本文档是英文版的开发者指南。开发人员指南还提供了被发送到 REST API 服务器的请求中可用的可调用元素的示例代码和详细描述。
外部系统可以使用 Kaspersky Anti Targeted Attack Platform API 来:
- 接收有关应用程序已知设备的信息。
- 添加、修改和删除设备。
- 接收有关已注册的网络流量事件(NDR 事件)的信息。
- 将 NDR 事件发送到 Kaspersky Anti Targeted Attack Platform(代码为 4000005400 的系统事件类型用于注册事件)。
- 接收有关检测到的漏洞的信息。
- 接收应用程序消息和审计记录。
- 接收有关允许规则的信息。
- 启用、禁用和删除允许规则。
- 接收与设备相关的风险信息。
- 接收有关地址空间的信息。
- 将网络拓扑图报告发送至 Kaspersky Anti Targeted Attack Platform。
- 发送、接收和删除有关设备上用户的信息。
- 发送和接收有关设备上的应用程序和补丁的信息。
- 发送和删除有关设备上的可执行文件的信息。
- 发送设备日志的内容。
- 接收以下应用程序数据:
- 包含应用程序组件的服务器列表
- 监控点及其参数列表
- 支持的协议栈及其参数列表
- NDR 事件类型及其参数列表
- 技术现状及运作模式
- 应用程序版本和已安装更新的发布日期
- 有关添加的授权许可密钥的信息
- 应用程序本地化语言
向 REST API 服务器版本 4 发出请求时,所有列出的操作均可用。向 REST API 服务器版本 3 发出请求时,其中一些操作不受支持。
使用 Kaspersky Anti Targeted Attack Platform API 的外部系统通过连接器连接到 Central Node 组件。连接器使用证书来建立安全连接。对于您想要向 REST API 服务器发送请求的每个外部系统,您需要在 Kaspersky Anti Targeted Attack Platform 中创建一个单独的连接器。
外部系统必须使用身份验证令牌才能连接到 Kaspersky Anti Targeted Attack Platform。Kaspersky Anti Targeted Attack Platform 根据外部系统的请求发出身份验证令牌,令牌使用为该系统创建的连接器的证书。身份验证令牌的有效期为 10 小时。外部系统可以通过特殊请求更新身份验证令牌。
包含身份验证令牌操作查询描述的文档作为在线帮助指南发布在“卡巴斯基在线帮助”页面上。本文档是英文版的开发者指南。
Kaspersky Anti Targeted Attack Platform API 允许通过以下方式与外部系统进行交互:
- 基于 REST 架构风格的交互
- 通过 WebSocket 协议进行交互
外部系统可以使用 WebSocket 协议在 Kaspersky Anti Targeted Attack Platform API 中进行交互,以创建对应用程序收到的修改值的订阅。