Содержание

API для управления действиями по реагированию на угрозы

API для управления действиями по реагированию на угрозы

Kaspersky Anti Targeted Attack Platform предоставляет интерфейс API для осуществления действий по реагированию на угрозы. Команды на выполнение операций поступают на сервер Central Node, после чего приложение передает их компоненту Endpoint Agent.

С помощью внешних систем вы можете выполнить следующие операции на хостах с компонентом Endpoint Agent:

Управлять сетевой изоляцией хостов.
Управлять правилами запрета.
Запускать приложения.

Все перечисленные операции доступны на хостах, на которых в роли компонента Endpoint Agent используются приложения Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows.

Если в роли компонента Endpoint Agent используется Kaspersky Endpoint Security для Linux, вы можете управлять сетевой изоляцией и запускать приложения.

В этом разделе справки

Запрос на получение списка хостов с компонентом Endpoint Agent

Запрос на получение информации о сетевой изоляции и наличии правил запрета для хостов с компонентом Endpoint Agent

Управление сетевой изоляцией хостов

Управление правилами запрета

Управление задачей запуска приложения

В начало

Запрос на получение списка хостов с компонентом Endpoint Agent

Для создания запроса на вывод информации о хостах с компонентом Endpoint Agent используется HTTP-метод GET.

Синтаксис команды

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors"

При успешной обработке запроса отобразится список хостов с компонентом Endpoint Agent.

Вы можете создать запрос на вывод информации о хостах с фильтрами по IP-адресу, имени или идентификатору хоста. Вы можете указать один, несколько или все перечисленные фильтры.

При указании имени хоста вам нужно учитывать, что фильтр чувствителен к регистру символов.

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors?ip=<IP-адрес хоста>&host=<имя хоста>&sensor_id=<идентификатор sensor_id>"

При успешной обработке запроса отобразится информация о выбранном хосте с компонентом Endpoint Agent.

Параметры

Параметр	Тип	Описание
external_system_id	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
sensor_id	UUID	Уникальный идентификатор хоста с компонентом Endpoint Agent.
ip	string	IP-адрес хоста с компонентом Endpoint Agent.
host	string	Имя хоста с компонентом Endpoint Agent.

Пример ввода команд с параметрами

GET "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/sensors"

GET "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/sensors?ip=10.16.40.243&host=host4&sensor_id=DF64838B-B518-414B-B769-2B8BE341A2F0"

Ответ

HTTP-код: 200

Формат: JSON

type Response Sensors

type Server struct {

Version string `json:"version"`

},

type Sensors struct {

SensorID UUID `json:"sensorId"`

HostIP string `json:"hostIp"`

LastAccessTimestamp `json:"lastAccessTimestamp"`

Version string `json:"version"`

SelfDefenseState boolean `json:"selfDefenseState"`

LicenseStatus string `json:"licenseStatus"`

OSFamily string `json:"osFamily"`

OSName string `json:"osName"`

Capabilities array `json:"capabilities"`

}

Возвращаемое значение

Код возврата	Описание
400	Требуется авторизация.
401	Ошибка ввода параметров.
500, 502, 503, 504	Внутренняя ошибка сервера. Повторите запрос позднее.

В начало

Запрос на получение информации о сетевой изоляции и наличии правил запрета для хостов с компонентом Endpoint Agent

Для создания запроса на вывод информации о сетевой изоляции и наличии правил запрета для хостов с компонентом Endpoint Agent используется HTTP-метод GET.

Синтаксис команды

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=<network_isolation или prevention>"

При успешной обработке запроса отобразится список хостов с компонентом Endpoint Agent, для которых на момент выполнения запроса применены правила запрета или сетевой изоляции.

Параметры

Параметр	Тип	Описание
`external_system_id`	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	UUID	Уникальный идентификатор хоста с компонентом Endpoint Agent.
`settings_type`	enum	Тип правила - network_isolation или prevention.

Пример ввода команды с параметрами

GET "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=DF64838B-B518-414B-B769-2B8BE341A2F0&settings_type=network_isolation"

Ответ

HTTP-код: 200

Формат: JSON

type Response []Settings

type Settings struct {

ExcludedRules array `json:"excludedRules"`

AutoTurnoffTimeoutInSec int `json:"autoTurnoffTimeoutInSec"`

}

Возвращаемое значение

Код возврата	Описание
`400`	Требуется авторизация.
`401`	Ошибка ввода параметров.
`404`	Не найден указанный хост с компонентом Endpoint Agent.
`500, 502, 503, 504`	Внутренняя ошибка. Повторите запрос позднее.

В начало

Управление сетевой изоляцией хостов

Для изоляции хоста с компонентом Endpoint Agent с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

Создание запроса на получение списка хостов с компонентом Endpoint Agent
Создание запроса на получение информации о хостах, для которых уже включена сетевая изоляция
Создание запроса на одну из следующих операций с хостами с компонентом Endpoint Agent:

Вы можете управлять созданными правилами сетевой изоляции в веб-интерфейсе приложения.

В начало

Запрос на включение сетевой изоляции

Чтобы включить сетевую изоляцию для выбранного хоста, вам требуется добавить правило сетевой изоляции. Для создания запроса используется HTTP-метод POST.

Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation" -H 'Content-Type: application/json' -d '

{

"settings": {

"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>}

}

'

При успешной обработке запроса правило сетевой изоляции будет добавлено. Сетевая изоляция для выбранного хоста действует с момента добавления правила.

По истечении времени, указанного при создании запроса, сетевая изоляция перестанет действовать. Правило сетевой изоляции при этом не удаляется. При необходимости вы можете удалить выбранное правило.

Для отключения сетевой изоляции вам требуется создать запрос на отключение выбранного правила.

Параметры

Параметр

Тип

Описание

external_system_id

UUID

Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.

sensor_id

UUID

Уникальный идентификатор хоста с компонентом Endpoint Agent.

autoTurnoffTimeoutInSec

integer

Время, в течение которого будет действовать сетевая изоляция хоста.

Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд.

Пример ввода команды с параметрами

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=DF64838B-B518-414B-B769-2B8BE341A2F0&settings_type=network_isolation" -H 'Content-Type: application/json' -d '

{

"settings": {

"autoTurnoffTimeoutInSec": 7200}

}

'

Ответ

HTTP-код: 200

Формат: JSON

type Response []Settings

type Settings struct {

ExcludedRules array `json:"excludedRules"`

AutoTurnoffTimeoutInSec integer `json:"autoTurnoffTimeoutInSec"`

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Не найден указанный хост с компонентом Endpoint Agent.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

Если вы хотите изменить параметры созданного правила сетевой изоляции, вам требуется создать новый запрос на добавление правила с нужными параметрами.

В начало

Запрос на отключение сетевой изоляции

Чтобы отключить сетевую изоляцию для выбранного хоста, вам требуется создать запрос на отключение правила сетевой изоляции. Для создания запроса используется HTTP-метод DELETE.

Синтаксис команды

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_isolation"

При успешной обработке запроса правило сетевой изоляции будет отключено.

Параметры

Параметр	Тип	Описание
`external_system_id`	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	UUID	Уникальный идентификатор хоста с компонентом Endpoint Agent.

Пример ввода команды с параметром DELETE

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=DF64838B-B518-414B-B769-2B8BE341A2F0&settings_type=network_isolation"

Для того чтобы проверить отключение сетевой изоляции, выполните запрос на получение информации о задаче, используя HTTP-метод GET.

Пример ввода команды с параметром GET

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=DF64838B-B518-414B-B769-2B8BE341A2F0&settings_type=network_isolation"| python -m json.tool

Если сетевая изоляция отключена, то Kaspersky Anti Targeted Attack Platform возвращает ответ внешней системе в следующем формате:

{

"error": "Not Found"

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Не найден указанный хост с компонентом Endpoint Agent.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

В начало

Запрос на добавление исключения в правило сетевой изоляции

Чтобы добавить исключение для ранее созданного правила сетевой изоляции, вам требуется создать запрос на добавление исключения. Для создания запроса используется HTTP-метод POST.

Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

{
"settings":
{"excludedRules": [
{
"direction": "<outbound, inbound или both>",
"protocol": <номер IP-протокола>,
"remoteIpv4Address": "<IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован>",
"localPortRange":
{
"fromPort": <номер порта>,
"toPort": <номер порта>
}
}
,
{
"direction": "<outbound, inbound или both>",
"protocol": <номер IP-протокола>,
"remoteIpv4Address": "<IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован>",
"remotePortRange":
{
"fromPort": <номер порта>,
"toPort": <номер порта>
}
}
,
{
"direction": "<outbound, inbound или both>",
"protocol": <номер IP-протокола>,
"remoteIpv4Address": "<IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован>"
}
]
,
"autoTurnoffTimeoutInSec": <время действия сетевой изоляции>
}
}
'

При успешной обработке запроса исключение из правила сетевой изоляции будет добавлено.

Параметры

Параметр	Тип	Описание
`external_system_id`	`UUID`	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	`UUID`	Уникальный идентификатор хоста с компонентом Endpoint Agent.
`direction`	`array`	Направление сетевого трафика, которое не должно быть заблокировано. Может иметь следующие значения: inbound; outbound; both. Если вы не указали значение параметра, по умолчанию будет применено значение both и приложение будет передавать трафик в обоих направлениях.
`protocol`	`integer`	Номер IP-протокола, назначенный Internet Assigned Numbers Authority (IANA). Если вы не указали значение параметра, по умолчанию сетевая изоляция будет распространена на все протоколы.
`remoteIpv4Address`	`string`	IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован.
`remotePortRange`	`string`	Порт назначения. Вы можете указать порт, только если вы выбрали исходящее (outbound) направление сетевого трафика. Для двунаправленного трафика нельзя задавать диапазон портов.
`localPortRange`	`string`	Порт, с которого устанавливается соединение. Вы можете указать порт, только если вы выбрали входящее (inbound) направление сетевого трафика. Для двунаправленного трафика нельзя задавать диапазон портов.
`autoTurnoffTimeoutInSec`	`integer`	Время, в течение которого будет действовать сетевая изоляция хоста. Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд.

Пример ввода команды с параметрами

{
"settings":
{"excludedRules": [
{
"direction": "inbound",
"protocol": 6,
"remoteIpv4Address": "10.16.41.0",
"localPortRange":
{
"fromPort": 3389,
"toPort": 3389
}
}
,
{
"direction": "outbound",
"remoteIpv4Address": "10.16.41.1",
"remotePortRange":
{
"fromPort": 13957,
"toPort": 55409
}
}
,
{
"direction": "both",
"protocol": 6,
"remoteIpv4Address": "10.16.41.2"
}
]
,
"autoTurnoffTimeoutInSec": 7200
}
}
'

Ответ

HTTP-код: 200

Формат: JSON

type Response []Settings
type Settings struct {
   ExcludedRules             array   `json:"excludedRules"`
   AutoTurnoffTimeoutInSec   integer `json:"autoTurnoffTimeoutInSec"`
}
type ExcludedRules struct {
   Direction                 array   `json:"direction"`
   Protocol                  integer `json:"autoTurnoffTimeoutInSec"`
   RemotePortRange           string  `json:"remotePortRange"`
   LocalPortRange            string  `json:"localPortRange"`
}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Не найден указанный хост с компонентом Endpoint Agent.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

Если вы хотите изменить параметры созданного исключения, вам требуется создать новый запрос на добавление исключения с нужными параметрами.

В начало

Управление правилами запрета

С помощью правил запрета вы можете заблокировать запуск файлов или процессов на выбранном хосте или всех хостах с компонентом Endpoint Agent. Например, вы можете запретить запуск приложений, использование которых считаете небезопасным. Приложение идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Правило запрета, созданное через внешние системы, может содержать несколько хешей файлов.

Через внешние системы вы можете управлять всеми правилами запрета, созданными для одного хоста или всех хостов, одновременно. При создании правила запрета для выбранного хоста через внешние системы Kaspersky Anti Targeted Attack Platform заменяет все правила запрета, назначенные на этот хост, правилом с новыми параметрами. Например, если ранее вы добавили несколько правил запрета для выбранного хоста через веб-интерфейс приложения, а потом добавили правило запрета через внешние системы, все правила запрета, добавленные в веб-интерфейсе, будут заменены добавленным через внешние системы правилом.

При изменении параметров правила запрета, созданного через внешние системы, приложение сохраняет только новые параметры. Например, если вы создали правило запрета, которое содержит хеши для нескольких файлов, и хотите добавить в это правило еще один хеш, вам требуется создать запрос на добавление правила запрета и указать в нем все хеши, для которых вы создавали запрет ранее, и новый хеш.

Описанный сценарий также актуален для правил запрета, назначенных на все хосты.

Для создания правила запрета с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

Создание запроса на получение списка хостов с компонентом Endpoint Agent
Создание запроса на получение информации о хостах, для которых существуют правила запрета
Создание запроса на одну из следующих операций с правилами запрета:
- создание правила;
- удаление правила.

Добавленные правила запрета отображаются в веб-интерфейсе приложения в разделе Политики, подразделе Правила запрета.

Если вы создаете через внешнюю систему правило запрета для всех хостов, вам требуется предварительно убедиться, что на сервере отсутствует и не применяется к одному или нескольким хостам правило запрета для этого же файла. Это условие также справедливо, если вы хотите создать через внешнюю систему правило запрета для выбранного хоста: вам требуется убедиться, что на сервере отсутствует и не применяется ко всем хостам правило запрета для этого же файла. В противном случае сервер вернет внешней системе ошибку со списком хостов, к которым уже применяется правило запрета.

Если правило запрета, создаваемое через внешнюю систему, содержит несколько хешей файлов, в информации об ошибке указывается только первый файл, вызвавший ошибку. Сведения о других дублирующихся правилах запрета не отображаются.

Для изменения уже созданного через веб-интерфейс или внешние системы правила запрета вам нужно создать запрос на добавление правила запрета с обновленными параметрами.

В начало

Запрос на создание правила запрета

Для создания запроса используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите создать правило запрета для всех хостов>&settings_type=prevention" -H 'Content-Type: application/json' -d '

{

"settings": {

"objects": [

{

"file": {

"<sha256 или md5>": "<SHA256- или MD5-хеш файла, запуск которого вы хотите запретить>"

}

},

{

"file": {

"<sha256 или md5>": "<SHA256- или MD5-хеш файла, запуск которого вы хотите запретить>"

}

]

}

'

При успешной обработке запроса правило запрета будет добавлено. Правило запрета действует с момента добавления.

При необходимости вы можете удалить правило запрета.

Параметры

Параметр	Тип	Описание
`external_system_id`	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	UUID	Уникальный идентификатор хоста с компонентом Endpoint Agent.
`objects`	string	Тип объекта, запуск которого вы хотите запретить. Возможное значения параметра: file.
`sha256 или md5`	string	SHA256- или MD5-хеш объекта, запуск которого вы хотите запретить.

Пример ввода команды с параметрами

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=all&settings_type=prevention" -H 'Content-Type: application/json' -d '

{

"settings": {

"objects": [

{

"file": {

"sha256": "830195824b742ee59390bc5b9302688c778fc95a64e7d597e28a74c03a04dd63"

}

},

{

"file": {

"md5": "d8e577bf078c45954f4531885478d5a9"

}

]

}

'

Ответ

HTTP-код: 200

Формат: JSON

type Response []Objects

type Objects struct {

type file struct {

SHA256 string `json:"sha256"`

},

type file struct {

MD5 string `json:"md5"`

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Не найден указанный хост с компонентом Endpoint Agent.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

В начало

Запрос на удаление правила запрета

Вы можете удалить правило запрета с помощью нового запроса с пустыми значениями или запроса с параметром DELETE. Для создания запросов используются HTTP-методы POST и DELETE.

Синтаксис команды для нового запроса

Параметры команды передаются в теле запроса в формате JSON.

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите удалить правило запрета для всех хостов>&settings_type=prevention" -H 'Content-Type: application/json' -d '

{

"settings": {

"objects": []

}

'

Синтаксис команды с параметром DELETE

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id или all, если вы хотите удалить правило запрета для всех хостов>&settings_type=prevention"

Параметры

Параметр	Тип	Описание
`external_system_id`	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	UUID	Уникальный идентификатор хоста с компонентом Endpoint Agent.

Пример ввода команды для нового запроса

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=all&settings_type=prevention" -H 'Content-Type: application/json' -d '

{

"settings": {

"objects": []

}

'

Пример ввода команды с параметром DELETE

При успешной обработке запроса правило запрета будет удалено.

Для того чтобы проверить удаление правила запрета, выполните запрос на получение информации о правиле запрета, используя HTTP-метод GET.

Пример ввода команды с параметром GET

curl -k --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/settings?sensor_id=all&settings_type=prevention"| python -m json.tool

Если правило запрета было удалено, то Kaspersky Anti Targeted Attack Platform возвращает ответ внешней системе в следующем формате:

{

"error": "Not Found"

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Не найден указанный хост с компонентом Endpoint Agent.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

В начало

Управление задачей запуска приложения

Для управления задачей запуска приложения с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:

Создание запроса на получение информации о параметрах, времени создания и статусе выполнения задачи
Создание запроса на одну из следующих операций с задачей:
- создание задачи;
- удаление задачи.

Добавленные задачи отображаются в веб-интерфейсе приложения в разделе Задачи.

В начало

Запрос на получение информации о задаче

Для создания запроса на получение информации о задаче используется HTTP-метод GET.

Синтаксис команды

GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>?settings=<true или false>"

При успешной обработке запроса отобразится информация о параметрах, времени создания и статусе выполнения задачи.

Параметры

Параметры	Тип	Описание
`external_system_id`	`UUID`	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	`UUID`	Уникальный идентификатор хоста с компонентом Endpoint Agent.
`task_id`	`UUID`	Уникальный идентификатор задачи.
`settings`	`boolean`	Может иметь следующие значения: true. При указании этого значения отображается информация о параметрах, времени создания и статусе выполнения задачи. false. При указании этого значения отображается информация о времени создания и статусе выполнения задачи.

Пример ввода команды с параметрами

GET https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/tasks/2EEB4CBC-10C6-4DC4-BE0A-72A75CDB0BE8?settings=<true или false>

Ответ

HTTP-код: 200

Формат: JSON

type Response struct {

State `json:"state"`

LatestStartDateTime `json:"latestStartDateTime"`

type Task struct {

type Schedule struct {

StartNow boolean `json:"startNow"`

ExecCommand string `json:"execCommand"`

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`409`	Задача с указанным идентификатором уже существует.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

В начало

Запрос на создание задачи

Для создания запроса на запуск приложения Kaspersky Anti Targeted Attack Platform используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X POST "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>?sensor_id=<идентификатор sensor_id>&task_type=run_process" -H 'Content-Type: application/json' -d '

{

"task": {

"shedule": {"startNow": <true или false>},

"execCommand": "<название приложения, которую вы хотите запустить>",

"cmdLineParameters": "<дополнительные параметры запуска файла или выполнения команды>",

"workingDirectory": "<рабочая директория>"

}

'

При успешной обработке запроса задача на запуск приложения будет создана.

Параметры

Параметр	Тип	Описание
`external_system_id`	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`sensor_id`	UUID	Уникальный идентификатор хоста с компонентом Endpoint Agent.
`task_id`	UUID	Уникальный идентификатор задачи.

Пример ввода команды с параметрами

curl -k --example.cert --example.key -X POST "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/tasks/2EEB4CBC-10C6-4DC4-BE0A-72A75CDB0BE8?sensor_id=DF64838B-B518-414B-B769-2B8BE341A2F0&task_type=run_process" -H 'Content-Type: application/json' -d '

{

"task": {

"schedule": {"startNow": true},

"execCommand": "Example.exe",

"cmdLineParameters": "C:\Windows\System32\",

"workingDirectory": "/all"

}

'

Ответ

HTTP-код: 200

Формат: JSON

type Response struct {

State `json:"state"`

LatestStartDateTime `json:"latestStartDateTime"`

type Task struct {

type Schedule struct {

StartNow boolean `json:"startNow"`

ExecCommand string `json:"execCommand"`

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Задача с указанным идентификатором не найдена.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

Если вы хотите изменить параметры созданной задачи, вам требуется создать новый запрос на добавление задачи с нужными параметрами.

В начало

Запрос на удаление задачи

Для создания запроса на удаление задачи Kaspersky Anti Targeted Attack Platform используется HTTP-метод DELETE.

Синтаксис команды

curl -k --<путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X DELETE "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/tasks/<идентификатор task_id>"

При успешной обработке запроса задача на запуск приложения будет удалена.

Параметры

Параметр	Тип	Описание
`external_system_id`	UUID	Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform.
`task_id`	UUID	Уникальный идентификатор задачи.

Пример ввода команды с параметром DELETE

curl -k --example.cert --example.key -X DELETE "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/tasks/2EEB4CBC-10C6-4DC4-BE0A-72A75CDB0BE8"

При успешной обработке запроса правило запрета будет удалено.

Для того чтобы проверить удаление задачи, выполните запрос на получение информации о задаче, используя HTTP-метод GET.

Пример ввода команды с параметром GET

curl -k --example.cert --example.key -X GET "https://10.10.0.22:443/kata/response_api/v1/15301050-0490-4A41-81EA-B0391CF21EF3/tasks/2EEB4CBC-10C6-4DC4-BE0A-72A75CDB0BE8?settings=false"| python -m json.tool

Если задача была удалена, то Kaspersky Anti Targeted Attack Platform возвращает ответ внешней системе в следующем формате:

{

"error": "Not Found"

}

Возвращаемое значение

Код возврата	Описание
`400`	Ошибка ввода параметров.
`401`	Требуется авторизация.
`404`	Задача с указанным идентификатором не найдена.
`500, 502, 503, 504`	Внутренняя ошибка сервера. Повторите запрос позднее.

В начало