使用 Kaspersky Anti Targeted Attack Platform API NDR
REST API 伺服器為外部系統提供對 NDR 功能的存取,它在 Central Node 伺服器上運行並使用 REST (Representational State Transfer) 架構風格處理請求。使用 HTTPS 向 REST API 伺服器發出請求。您可以在“設定→連線伺服器”下設定 REST API 伺服器(包括以受信任憑證取代預設的自簽章憑證)。
JSON 格式用於表示請求和回應中的資料。
包含基於 REST 架構風格的請求描述的文件作為“線上說明指南”發佈在“卡巴斯基線上說明”頁面上。本文件是英文版的開發者指南。開發人員指南還提供了被傳送到 REST API 伺服器的請求中可用的可呼叫元素的範例程式碼和詳細描述。
外部系統可以使用 Kaspersky Anti Targeted Attack Platform API 來:
- 接收有關應用程式已知裝置的資訊。
- 新增、修改和刪除裝置。
- 接收已註冊的網路流量事件(NDR 事件)的資訊。
- 將 NDR 事件傳送至 Kaspersky Anti Targeted Attack Platform(代碼為 4000005400 的系統事件類型用於註冊事件)。
- 接收有關偵測到的弱點的資訊。
- 接收應用程式訊息和稽核記錄。
- 接收有關允許規則的資訊。
- 啟用、停用和刪除允許規則。
- 接收與裝置相關的風險資訊。
- 接收有關位址空間的資訊。
- 將網路拓撲圖報告傳送至 Kaspersky Anti Targeted Attack Platform。
- 傳送、接收和刪除有關裝置上使用者的資訊。
- 傳送和接收有關裝置上的應用程式和修補程式的資訊。
- 傳送和刪除有關裝置上的可執行檔的資訊。
- 傳送裝置日誌的內容。
- 接收以下應用程式資料:
- 包含應用程式元件的伺服器清單
- 監控點及其參數清單
- 支援的協定堆棧及其參數清單
- NDR 事件類型及其參數清單
- 技術現況及運作模式
- 應用程式版本和已安裝更新的發布日期
- 有關新增的產品授權金鑰的資訊
- 應用程式本地化語言
向 REST API 伺服器版本 4 發出請求時,所有列出的操作均可用。向 REST API 伺服器版本 3 發出請求時,其中一些操作不受支援。
使用 Kaspersky Anti Targeted Attack Platform API 的外部系統透過連線器連線到 Central Node 元件。連線器使用憑證來建立安全連線。對於您想要向 REST API 伺服器傳送請求的每個外部系統,您需要在 Kaspersky Anti Targeted Attack Platform 中建立一個單獨的連線器。
外部系統必須使用驗證權杖才能連線到 Kaspersky Anti Targeted Attack Platform。Kaspersky Anti Targeted Attack Platform 會根據外部系統的請求頒發驗證權杖,權杖使用為該系統建立的連線器的憑證。身分驗證權杖的有效期限為 10 小時。外部系統可以透過特殊請求更新身分驗證權杖。
包含身分驗證權杖操作查詢描述的文件作為線上說明指南發佈在“卡巴斯基線上說明”頁面上。本文件是英文版的開發者指南。
Kaspersky Anti Targeted Attack Platform API 允許透過以下方式與外部系統進行互動:
- 基於 REST 架構風格的互動
- 透過 WebSocket 協定進行互動
外部系統可以使用 WebSocket 協定在 Kaspersky Anti Targeted Attack Platform API 中進行互動,以建立對應用程式收到的修改值的訂購。