DELETE suppliers/{supplier}/indicators

Удаляет указанные индикаторы из источников данных, включая источники InternalTI и FalsePositive.

С помощью этого запроса можно удалить индикаторы только из источников данных, созданных с помощью REST API, а также из источников InternalTI и FalsePositive.

Путь

/api/%API_VERSION%/suppliers/{supplier}/indicators

Метод

DELETE

Заголовки запроса

Этот запрос имеет следующие заголовки.

Заголовки запроса

Имя

Значение

Описание

Authorization

string (base 64)

Строка аутентификации.

Accept

application/json

Тип содержимого ответа.

Content-Type

application/json

Тип содержимого запроса.

Также можно указать кодировку utf-8. Например: Content-Type: application/json; charset=utf-8

Content-Length

integer

Размер тела запроса в байтах.

Максимальный размер тела этого запроса составляет 64 МБ (67108864).

Параметры запроса

Этот запрос имеет следующие параметры:

Параметры запроса

Имя

Тип параметра

Описание

supplier

Путь

Имя источника данных об угрозах.

Тело запроса

Тело этого запроса содержит массив объектов индикаторов в формате JSON.

[

{

"indicator":"%INDICATOR_VALUE_1%",

},

...

{

"indicator":"%INDICATOR_VALUE_N%",

}

]

Свойства объекта индикатора описаны в следующей таблице.

Свойства объекта индикатора

Свойство

Значение

Обязательный

Описание

indicator

string

Да

Индикатор, который необходимо удалить.

Можно указать следующие типы индикаторов:

  • MD5 Hash
  • SHA1 Hash
  • SHA256 Hash
  • IP Address
  • URL

unmark_detections

boolean

Нет

Доступно, начиная с REST API 1.2.

Флажок, указывающий на то, что связанные с индикатором обнаруженные киберугрозы не являются ложными срабатываниями.

Этот параметр используется только в том случае, если в пути запроса для источника данных об угрозах было указано значение FalsePositive.

При использовании REST API 1.2 включите свойство unmark_detections в тело запроса. Пример запроса с параметром unmark_detections приведен ниже.

Пример запроса

Ниже приведен пример запроса DELETE suppliers/{supplier}/indicators.

DELETE https://192.0.2.57/api/1.1/suppliers/ExampleSupplier/indicators

Accept: application/json

Content-Type: application/json

Authorization: Basic dXNlcjpwYXNzd29yZA==

Content-Length: 77

 

[

{"indicator":"tux.example.com"},

{"indicator":"malicious.example.com"}

]

Ниже приведен пример запроса DELETE suppliers/{supplier}/indicators в случае, когда параметр unmark_detections был применен к источнику данных об угрозах FalsePositive.

DELETE https://192.0.2.57/api/1.2/suppliers/FalsePositive/indicators

Accept: application/json

Content-Type: application/json

Authorization: Basic dXNlcjpwYXNzd29yZA==

Content-Length: 110

[

{

"indicator":"DC212B238A5A7C0A9DF7BF298546A154",

"unmark_detections": false

},

...

]

 

Заголовки ответа

Ответ имеет следующие заголовки.

Заголовки ответа

Имя

Значение

Описание

Content-Type

application/json

Тип содержимого ответа.

Content-Length

integer

Размер тела ответа в байтах.

Тело ответа

Тело ответа содержит объект JSON со статусом операции.

[

{

"status": "All indicators were successfully deleted from the database"

}

]

Свойства объекта статуса описаны в следующей таблице.

Свойства объекта статуса

Свойство

Значение

Описание

status

string

Статус операции.

Пример ответа

Ниже приведен пример ответа на запрос DELETE suppliers/{supplier}/indicators.

НТТР/1.1 201 ОК

Date:Mon, 23 Dec 2019 09:56:10 UTC

Content-Type: application/json

Content-Length: 74

[{"status": "All indicators were successfully deleted from the database"}]

Ответ о частичном успехе

Этот ответ генерируется, если успешно удалены были не все индикаторы.

Тело ответа содержит объект частичного успеха со статусом операции и массив объектов ошибок индикатора:

[

{

"status": "An error occurred while deleting some of the indicators from the database",

"error_indicators":[

{

"indicator": "%INDICATOR_VALUE_1%",

"reason": "%REASON%"

},

...

{

"indicator": "%INDICATOR_VALUE_N%",

"reason": "%REASON%"

}

]

}

]

Свойства объекта частичного успеха описаны в следующей таблице.

Свойства объекта частичного успеха

Свойство

Значение

Описание

status

string

Статус операции.

error_indicators

Объекты ошибок индикатора

Массив информации об индикаторах, которые не были удалены.

Свойства объекта ошибки индикатора описаны в следующей таблице.

Свойства объекта ошибки индикатора

Свойство

Значение

Описание

indicator

string

Индикатор, который не был удален.

reason

string

Причина ошибки.

Это свойство может отсутствовать в ответе.

Пример ответа о частичном успехе

Ниже приведен пример ответа о частичном успехе на запрос DELETE suppliers/{supplier}/indicators.

НТТР/1.1 202 Partial success

Date:Mon, 23 Dec 2019 09:56:10 UTC

Content-Type: application/json

Content-Length: 251

[{"status": "An error occurred while deleting some of the indicators from the database","error_indicators":[{"indicator":"bad.example.com", "reason": "Indicator doesn't exist"},{"indicator":"bad2\.example.com", "reason": "Invalid indicator format"}]}]

Ответы с ошибкой

Ответы с ошибкой содержат информацию о статусе ответа.

Ответ с ошибкой содержит объект JSON с описанием ошибки.

[

{

"status": "An error occurred while deleting indicators from the database",

}

]

Описание свойств объекта ошибки приведено в следующей таблице.

Свойства объекта ошибки

Свойство

Значение

Описание

status

string

Описание ошибки.

Пример ошибочного ответа

Ниже приведен пример ответа с ошибкой на запрос PUT suppliers/{supplier}.

HTTP/1.1 500 Internal Server Error

Date:Mon, 23 Dec 2019 09:56:10 UTC

Content-Type: application/json

Content-Length: 77

 

[{"status": "An error occurred while deleting indicators from the database"}]

В начало