KEDR: API для управления действиями по реагированию на угрозы/ Response_api

API для управления действиями по реагированию на угрозы/ Response_api

KATA предоставляет интерфейс API для осуществления действий по реагированию на угрозы. Команды на выполнение операций поступают на сервер Central Node, после чего приложение передает их компоненту Endpoint Agent.

С помощью внешних систем вы можете выполнить следующие операции на хостах с компонентом Endpoint Agent:

·        Управлять сетевой изоляцией хостов.

·        Управлять правилами запрета.

·        Запускать приложения.

Все перечисленные операции доступны на хостах, на которых в роли компонента Endpoint Agent используются приложения Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows. На хостах с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux доступна только функция запуска приложения.

Запрос на получение списка хостов с компонентом Endpoint Agent

Выберите «Получить список хостов».

В строке запроса,  вы можете добавить параметры filter, max_timeout, max_events, continuation_token.

Нажмите Send.

При корректном выводе запроса вы получите статус 200 ОК. Так же, при успешной обработке запроса отобразится весь список хостов с компонентом Endpoint Agent.

Вы можете сохранить информацию о хостах в файл. Перейдите в меню вывода информации. Нажмите на значек расширенного меню, выберите пункт меню «Save response to file ». Вывод сохранится в виде *.json файла.

Синтаксис команды

GET  https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors

Вы можете создать запрос на вывод информации о хостах с фильтрами по IP-адресу, имени или идентификатору хоста. Вы можете указать один, несколько или все перечисленные фильтры.

При указании имени хоста вам нужно учитывать, что фильтр чувствителен к регистру символов.

Перечень параметров доступен ниже в таблице:

Параметр

Тип

Описание

external_system_id

UUID

Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.

sensor_id

UUID

Уникальный идентификатор хоста с компонентом Endpoint Agent.

ip

string

IP-адрес хоста с компонентом Endpoint Agent.

Пример запроса информации по определенному хосту или IP адресу

Пример:

GET https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors?ip=10.68.85.174&host=W10-MDR-KES.evilcorp.local

GET

https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors?ip=10.68.85.174&host=W10-MDR-KES.evilcorp.local&sensor_id=e27b2842-c062-aa47-6d7f-c5ce6b6997f9

Синтаксис:

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors?ip=<IP-адрес хоста>&host=<имя хоста>&sensor_id=<идентификатор sensor_id>"

При успешной обработке запроса отобразится информация о выбранном хосте с компонентом Endpoint Agent.

Запрос получения AgentID по IP адресу хоста

Пример запроса: GET https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors?ip={{kedr_host_ip}}

Для удобства работы вы можете описать глобальные переменные в разделе переменные, либо работать с параметрами запросов, для таких параметров как sensor_id, settings_type, ip, host,

Запрос на получение информации о сетевой изоляции и наличии правил запрета для хостов с компонентом Endpoint Agent

Выберите запрос «Получение списка хостов с включеной сетевой изоляцией и праилами запрета».

В строке запроса необходимо обязательно указать параметры sensor_id, settings_type.

Нажмите Send.

При корректном выводе запроса вы получите статус 200 ОК. Так же, при успешной обработке запроса отобразится весь список хостов с компонентом Endpoint Agent.

Пример запроса:

https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=prevention

https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id=e6aa2842-fb29-fa7c-84f2-fc2009bfc2d3&settings_type=prevention

Информация о запросах:

https://support.kaspersky.com/help/KATA/7.1/ru-RU/227597.htm

Синтаксис команды:

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=<network_izolation или prevention>"

Управление сетевой изоляцией хостов

Для изоляции хоста с компонентом Endpoint Agent с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

1.       Создание запроса на получение списка хостов с компонентом Endpoint Agent

2.      Создание запроса на получение информации о хостах, для которых уже включена сетевая изоляция

3.      Создание запроса на одну из следующих операций с хостами с компонентом Endpoint Agent:

·        включение сетевой изоляции;

·        отключение сетевой изоляции;

·        добавление исключения в уже существующее правило сетевой изоляции.

Вы можете управлять созданными правилами сетевой изоляции в веб-интерфейсе приложения.