Использование Kaspersky Anti Targeted Attack Platform API NDR
Сервер REST API, который обеспечивает доступ внешних систем к функциональности NDR, функционирует на сервере с компонентом Central Node и обрабатывает запросы с использованием архитектурного стиля взаимодействия REST (Representational State Transfer). Обращения к серверу REST API выполняются по протоколу HTTPS. Вы можете настроить параметры сервера REST API в разделе Параметры → Серверы подключений (в том числе заменить используемый по умолчанию самоподписанный сертификат на доверенный).
Для представления данных в запросах и ответах используется формат JSON.
Документация с описанием запросов на основе архитектурного стиля REST публикуется в виде онлайн-справки на странице Kaspersky Online Help. Документация представляет собой руководство разработчика на английском языке. В руководстве разработчика также представлены примеры кода и подробные описания вызываемых элементов, которые доступны в запросах к серверу REST API.
Открыть документ с описанием запросов к серверу REST API, версия 3
Открыть документ с описанием запросов к серверу REST API, версия 4
С помощью Kaspersky Anti Targeted Attack Platform API внешние системы могут выполнять следующие действия:
- получать данные об известных приложению устройствах;
- добавлять, изменять и удалять устройства;
- получать данные о зарегистрированных событиях в трафике сети (событиях NDR);
- отправлять события NDR в Kaspersky Anti Targeted Attack Platform (для регистрации используется системный тип события с кодом 4000005400);
- получать данные об обнаруженных уязвимостях;
- получать сообщения приложения и записи аудита;
- получать данные о разрешающих правилах;
- включать, выключать и удалять разрешающие правила;
- получать данные о рисках, связанных с устройствами;
- получать данные об адресных пространствах;
- отправлять отчет о топологической карте сети в Kaspersky Anti Targeted Attack Platform;
- отправлять, получать и удалять сведения о пользователях на устройствах;
- отправлять и получать сведения о приложениях и патчах на устройствах;
- отправлять и удалять сведения об исполняемых файлах на устройствах;
- отправлять содержимое журналов устройств;
- получать следующие данные о приложении:
- список серверов с компонентами приложения;
- список точек мониторинга и их параметры;
- список поддерживаемых стеков протоколов и их параметры;
- список типов событий NDR и их параметры;
- текущее состояние и режимы работы технологий;
- версия приложения и даты выпуска установленных обновлений;
- информация о добавленном лицензионном ключе;
- язык локализации приложения.
Все перечисленные действия доступны при выполнении запросов к серверу REST API версии 4. При выполнении запросов к серверу REST API версии 3 некоторые действия не поддерживаются.
Внешние системы, использующие Kaspersky Anti Targeted Attack Platform API, подключаются к компоненту Central Node через коннекторы. Коннекторы обеспечивают безопасное соединение с использованием сертификатов. Для каждой внешней системы, из которой вы хотите отправлять запросы на сервер REST API, вам нужно создать отдельный коннектор в Kaspersky Anti Targeted Attack Platform.
Для соединения с Kaspersky Anti Targeted Attack Platform внешняя система должна использовать токен аутентификации. Kaspersky Anti Targeted Attack Platform выдает токен аутентификации по запросу внешней системы и использует для токена сертификаты коннектора, который был создан для этой системы. Время действия токена аутентификации составляет 10 часов. Внешняя система может обновить токен аутентификации по специальному запросу.
Документация с описанием запросов для выполнения действий с токеном аутентификации публикуется в виде онлайн-справки на странице Kaspersky Online Help. Документация представляет собой руководство разработчика на английском языке.
Открыть документацию с описанием запросов для действий с токеном аутентификации, версия 3.0
Открыть документацию с описанием запросов для действий с токеном аутентификации, версия 4
В Kaspersky Anti Targeted Attack Platform API предусмотрены следующие способы работы со внешними системами:
- взаимодействие на основе архитектурного стиля REST;
- взаимодействие по протоколу WebSocket.
Внешние системы могут использовать способ взаимодействия по протоколу WebSocket в Kaspersky Anti Targeted Attack Platform API для создания подписок на изменяемые значения, которые получает приложение.