Получение списка подозрительных действий

Развернуть все | Свернуть все

Kaspersky Research Sandbox предоставляет API для получения списка подозрительных действий.

Запрос

Метод запроса: GET

Конечная точка для сред выполнения Windows и Linux: https://<server name>/api/v1/sandbox/tasks/{task ID}/activity-susp

Конечная точка для сред выполнения Android: https://<server name>/api/v1/sandbox/tasks/{task ID}/activity-susp-android

Параметры

Получение списка подозрительных действий

Параметр

Тип данных

Вхождение

Описание

task_id

строка

Обязательно

Идентификатор задачи выполнения объекта (GUID).

Образец команды cURL для Windows и Linux:

$ curl --user <user name> --request GET 'https://<server name>/api/v1/sandbox/tasks/<task ID>/activity-susp'

Образец команды cURL для Android:

$ curl --user <user name> --request GET 'https://<server name>/api/v1/sandbox/tasks/<task ID>/activity-susp-android'

Вам будет предложено ввести пароль. Пароль не отображается во время ввода.

Ответы

Конечная точка возвращает объект JSON, содержащий список подозрительных действий.

200 OK

Объект JSON, содержащий список подозрительных действий, успешно получен.

Параметры ответа 200 OK для Windows и Linux

Параметр

Тип данных

Описание

Id

целое число

Уникальный идентификатор действия.

ParentId

целое число

Идентификатор родителя действия.

Name

строка

Тип подозрительного действия. Используйте конечную точку locales/en/sa_template для получения описания шаблона.

Class

строка

Тип действия (susp).

InterestLevel

целое число

Если InterestLevel=100, это означает, что событие будет отображено на карте выполнения объекта.

Severity

целое число

Числовое значение уровня опасности зарегистрированного действия (целое число 1–1500).

Zone

строка

Цветовой код зоны (уровня) опасности действия.

Description

строка

Описание действия.

KeyFields

массив

Список ключевых параметров действия, отображаемых на карте выполнения в веб-интерфейсе Kaspersky Research Sandbox.

MainProps

массив

Основные свойства зарегистрированного действия: ключевые поля и их значения.

Techniques

целое число

Информация об известных тактиках, технологиях и процедурах (TTP), а также сопоставление с классификацией MITRE ATT&CK для выполняемого объекта.

Props

массив

Полный список доступных свойств действия.

Пример ответа

Параметры ответа 200 OK для Android

Параметр

Тип данных

Описание

ComponentClass

строка

Класс события.

ComponentType

строка

Тип события.

Timestamp

строка

Дата и время регистрации задачи события, указанные в системе меток времени UNIX: количество секунд, прошедших с 00:00:00 (UTC) 1 января 1970 года.

ComponentIsMain

логический

Указывает подмножество основных компонентов.

Zone

строка

Зона (уровень) опасности действия.

Severity

целое число

Числовое значение уровня опасности зарегистрированного действия (целое число 1–1000).

Description

массив

Описание объекта.

Может включать название действия, его описание и ряд связанных свойств.

Пример ответа

400 Bad Request

Не удалось получить объект JSON, содержащий список подозрительных действий, из-за некорректного запроса.

Параметры ответа 400 Bad Request

Параметр

Тип данных

Описание

code

строка

Идентификатор ошибки.

message

строка

Описание ошибки.

meta

строка

Дополнительная информация, если таковая имеется.

Примеры ошибок:

Неверный параметр task_id:

{"code":6,"message":"task not found"}

Неверный формат параметра task_id:

{"code":29,"message":"bad task id"}

401 Unauthorized

Не удалось получить объект JSON, содержащий список подозрительных действий, из-за неверных учетных данных пользователя.

404 Not Found

Задача с указанным идентификатором не найдена.

Пример ошибки:

Параметр task_id для задачи Windows был указан для конечной точки Android:

{"code":35, "message":"task section not found"}

500 Internal Server Error

Не удалось получить объект JSON, содержащий подозрительные действия, из-за внутренней ошибки сервера.

В начало