Kini nga artikulo mapuslanon sa mga pamilyar sa teknolohiya Check Point pinaagi sa file emulation (Pagsundog sa Panghulga) ug proactive nga paglimpyo sa file (Pagkuha sa Panghulga) ug gusto nga mohimo ug lakang padulong sa pag-automate niini nga mga buluhaton. Ang Check Point adunay , nga nagdagan sa panganod ug sa lokal nga mga aparato, ug functionally kini parehas sa pagsusi sa mga file sa web/smtp/ftp/smb/nfs traffic streams. Kini nga artikulo usa ka bahin nga interpretasyon sa tagsulat sa usa ka hugpong sa mga artikulo gikan sa opisyal nga dokumentasyon, apan gibase sa akong kaugalingon nga kasinatian sa pag-opera ug akong kaugalingon nga mga pananglitan. Usab sa artikulo makit-an nimo ang mga koleksyon sa Postman sa tagsulat alang sa pagtrabaho kauban ang Threat Prevention API.
Panguna nga mga abbreviation
Ang Threat Prevention API naglihok uban sa tulo ka nag-unang component, nga gitawag sa API pinaagi sa mosunod nga text values:
av - Ang sangkap nga Anti-Virus, responsable sa pag-analisar sa pirma sa nahibal-an nga mga hulga.
te - Threat Emulation component, responsable sa pagsusi sa mga file sa sandbox, ug paghimo og malisyoso/benign nga hukom human sa emulation.
pagkuha - Threat Extraction component, responsable sa dali nga pag-convert sa mga dokumento sa opisina ngadto sa usa ka luwas nga porma (diin ang tanan nga posibleng malisyosong sulod gikuha), aron sa madali nga paghatod niini ngadto sa mga tiggamit/sistema.
Ang istruktura sa API ug panguna nga mga limitasyon
Ang Threat Prevention API naggamit lang ug 4 ka hangyo β upload, pangutana, download ug quota. Sa header alang sa tanan nga upat ka mga hangyo kinahanglan nimo nga ipasa ang yawe sa API gamit ang parameter Awtorisasyon. Sa una nga pagtan-aw, ang istruktura mahimoβg ingon labi ka yano kaysa sa , apan ang gidaghanon sa mga natad sa pag-upload ug mga hangyo sa pangutana ug ang istruktura niini nga mga hangyo medyo komplikado. Mahimo kini nga magamit nga itandi sa mga profile sa Threat Prevention sa usa ka gateway/sandbox security policy.
Sa pagkakaron, ang bugtong bersyon sa Threat Prevention API nga gipagawas - 1.0; ang URL alang sa mga tawag sa API kinahanglan nga maglakip v1 sa bahin diin kinahanglan nimo ipiho ang bersyon. Dili sama sa Management API, gikinahanglan nga ipakita ang bersyon sa API sa URL, kung dili ang hangyo dili ipatuman.
Ang sangkap nga Anti-Virus, kung gitawag nga walaβy ubang mga sangkap (te, extraction), sa pagkakaron nagsuporta lamang sa mga pangutana sa pangutana nga adunay mga kantidad sa hash sa md5. Ang Threat Emulation ug Threat Extraction nagsuporta usab sa sha1 ug sha256 hash sums.
Importante kaayo nga dili masayop sa mga pangutana! Ang hangyo mahimong ipatuman nga walay sayup, apan dili hingpit. Pagtan-aw sa unahan gamay, atong tan-awon kung unsa ang mahimong mahitabo kung adunay mga sayup / typo sa mga pangutana.
Paghangyo nga adunay typo sa pulong nga mga taho(reports)
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}Walaβy sayup sa tubag, apan walaβy kasayuran bahin sa mga taho
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Apan alang sa usa ka hangyo nga walay typo sa yawe sa mga taho
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}Nakadawat mi og tubag nga aduna nay id para sa pag-download sa mga report
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Kung nagpadala kami usa ka sayup / na-expire nga yawe sa API, makadawat kami usa ka sayup nga 403 agig tubag.
SandBlast API: sa panganod ug sa lokal nga mga himan
Ang mga hangyo sa API mahimong ipadala sa Check Point nga mga device nga adunay Threat Emulation component (blade) nga naka-enable. Ingon usa ka adres alang sa mga hangyo, kinahanglan nimo gamiton ang ip/url sa aparato ug port 18194 (pananglitan, https://10.10.57.19:18194/tecloud/api/v1/file/query). Kinahanglan nimo usab nga sigurohon nga ang polisiya sa seguridad sa device nagtugot niini nga koneksyon. Ang pagtugot pinaagi sa API key sa mga lokal nga aparato pinaagi sa default off ug ang Authorization key sa mga header sa hangyo mahimong dili ipadala.
Ang mga hangyo sa API sa CheckPoint cloud kinahanglan ipadala sa te.checkpoint.com (pananglitan - https://te.checkpoint.com/tecloud/api/v1/file/query). Ang yawe sa API mahimong makuha isip lisensya sa pagsulay sulod sa 60 ka adlaw pinaagi sa pagkontak sa mga kauban sa Check Point o sa lokal nga opisina sa kompanya.
Sa lokal nga mga device, ang Threat Extraction wala pa gisuportahan isip standard. ug kinahanglan gamiton (Atong hisgutan kini sa mas detalyado sa katapusan sa artikulo).
Ang lokal nga mga himan dili mosuporta sa hangyo sa quota.
Kung dili, walaβy kalainan tali sa mga hangyo sa lokal nga aparato ug sa panganod.
Pag-upload sa tawag sa API
Pamaagi nga gigamit β POST
Address sa tawag - https:///tecloud/api/v1/file/upload
Ang hangyo naglangkob sa duha ka bahin (porma-data): usa ka file nga gituyo alang sa pagsundog/paglimpyo ug usa ka hangyo nga lawas nga adunay teksto.
Ang hangyo sa teksto dili mahimong walay sulod, apan kini mahimo nga wala'y bisan unsang configuration. Aron magmalampuson ang hangyo, kinahanglan nimo nga ipadala labing menos ang mosunod nga teksto sa hangyo:
Minimum nga gikinahanglan alang sa hangyo sa pag-upload
HTTP POST
https:///tecloud/api/v1/file/upload
Mga ulohan:
Pagtugot:
Lawas
{
"hangyo": {
}
}
file
file
Sa kini nga kaso, ang file iproseso sumala sa default nga mga parameter: component - te, mga imahe sa OS - Win XP ug Win 7, nga walay pagmugna og report.
Mga komento sa mga nag-unang natad sa hangyo sa teksto:
file_name ΠΈ file_type Mahimo nimo silang biyaan nga blangko o dili gyud ipadala, tungod kay dili kini labi ka mapuslanon nga kasayuran kung mag-upload sa usa ka file. Sa tubag sa API, kini nga mga natad awtomatikong mapuno base sa ngalan sa na-download nga file, ug ang impormasyon sa cache kinahanglan pang pangitaon gamit ang md5/sha1/sha256 hash nga kantidad.
Pananglitan nga hangyo nga adunay walay sulod nga file_name ug file_type
{
"request": {
"file_name": "",
"file_type": "",
}
}bahin β usa ka lista nga nagpaila sa kinahanglan nga pag-andar kung giproseso sa sandbox - av (Anti-Virus), te (Threat Emulation), pagkuha (Threat Extraction). Kung kini nga parameter dili gyud mapasa, nan ang default nga sangkap ra ang gamiton - te (Threat Emulation).
Aron mahimo ang pagsusi sa tulo nga magamit nga mga sangkap, kinahanglan nimo nga ipiho kini nga mga sangkap sa hangyo sa API.
Pananglitan sa usa ka hangyo uban sa pagsusi sa av, te ug pagkuha
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}Mga yawe sa seksyon sa te
mga larawan β usa ka lista nga adunay mga diksyonaryo nga adunay id ug numero sa pagbag-o sa mga operating system diin himuon ang tseke. Ang mga ID ug mga numero sa rebisyon managsama alang sa tanang lokal nga mga himan ug sa panganod.
Listahan sa mga operating system ug mga rebisyon
Anaa nga OS Image ID
rebisyon
Image OS ug Aplikasyon
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
Microsoft Windows: XP - 32bit SP3
Office: 2003, 2007
Adobe Acrobat Reader: 9.0
Flash Player 9r115 ug ActiveX 10.0
Java Runtime: 1.6.0u22
7e6fe36e-889e-4c25-8704-56378f0830df
1
Microsoft Windows: 7 - 32 ka gamay
Office: 2003, 2007
Adobe Acrobat Reader: 9.0
Flash Player: 10.2r152 (plugin& ActiveX)
Java Runtime: 1.6.0u0
8d188031-1010-4466-828b-0cd13d4303ff
1
Microsoft Windows: 7 - 32 ka gamay
Office: 2010
Adobe Acrobat Reader: 9.4
Flash Player: 11.0.1.152 (plugin & ActiveX)
Java Runtime: 1.7.0u0
5e5de275-a103-4f67-b55b-47532918fa59
1
Microsoft Windows: 7 - 32 ka gamay
Office: 2013
Adobe Acrobat Reader: 11.0
Flash Player: 15 (plugin & ActiveX)
Java Runtime: 1.7.0u9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
Microsoft Windows: 7 - 64 ka gamay
Office: 2013 (32 gamay)
Adobe Acrobat Reader: 11.0.01
Flash Player: 13 (plugin & ActiveX)
Java Runtime: 1.7.0u9
6c453c9b-20f7-471a-956c-3198a868dc92
1
Microsoft Windows: 8.1 - 64 ka gamay
Office: 2013 (64 gamay)
Adobe Acrobat Reader: 11.0.10
Flash Player: 18.0.0.160 (plugin & ActiveX)
Java Runtime: 1.7.0u9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
Microsoft Windows: 10
Office: Professional Plus 2016 en-us
Adobe Acrobat Reader: DC 2015 MUI
Flash Player: 20 (plugin & ActiveX)
Java Runtime: 1.7.0u9
Kung ang yawe sa mga imahe wala gyud gitino, nan ang pagsunud mahitabo sa mga imahe nga girekomenda sa Check Point (karon Win XP ug Win 7). Kini nga mga hulagway girekomenda base sa mga konsiderasyon sa pinakamaayong balanse sa performance ug catch rate.
mga taho β usa ka lista sa mga taho nga among gihangyo kung ang file mahimong malisyoso. Ang mosunod nga mga opsyon anaa:
-
Summary - .tar.gz archive nga adunay usa ka taho bahin sa pagsundog ni sa tanan nangayo og mga hulagway (parehong html page ug mga component sama sa video gikan sa emulator OS, network traffic dump, report sa json, ug ang sample mismo sa archive nga giprotektahan sa password). Gipangita namo ang yawe sa tubag - summary_report para sa sunod nga pag-download sa report.
-
pdf - dokumento bahin sa pagsundog sa usa imahe, nga naanad sa kadaghanan nga madawat pinaagi sa Smart Console. Gipangita namo ang yawe sa tubag - pdf_report para sa sunod nga pag-download sa report.
-
XML - dokumento bahin sa pagsundog sa usa hulagway, sayon ββalang sa sunod-sunod nga pag-parse sa mga parameter sa report. Gipangita namo ang yawe sa tubag - xml_report para sa sunod nga pag-download sa report.
-
alkitran - .tar.gz archive nga adunay usa ka taho bahin sa pagsundog sa usa nangayo og mga hulagway (parehong html page ug mga component sama sa video gikan sa emulator OS, network traffic dump, report sa json, ug ang sample mismo sa archive nga giprotektahan sa password). Gipangita namo ang yawe sa tubag - bug-os nga_report para sa sunod nga pag-download sa report.
Unsa ang sulod sa summary report
Ang mga yawe nga full_report, pdf_report, xml_report naa sa diksyonaryo para sa matag OS
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Apan ang summary_report yawe - adunay usa alang sa pagsundog sa kinatibuk-an
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Mahimo kang mohangyo ug tar ug xml ug pdf nga mga taho sa samang higayon, makapangayo ka ug summary ug tar ug xml. Dili posible nga mangayo ug summary report ug pdf sa samang higayon.
Mga yawe sa seksyon sa pagkuha
Alang sa pagkuha sa hulga, duha ra ka yawe ang gigamit:
pamaagi β pdf (pag-convert sa pdf, gigamit nga default) o limpyo (paglimpyo sa aktibo nga sulud).
extracted_parts_codes - lista sa mga code alang sa pagtangtang sa aktibo nga sulud, magamit lamang alang sa limpyo nga pamaagi
Mga code alang sa pagtangtang sa sulud gikan sa mga file
code
Description
1025
Nalambigit nga mga Butang
1026
Macros ug Code
1034
Sensitibo nga mga Hyperlink
1137
Mga Aksyon sa PDF GoToR
1139
Mga Aksyon sa Paglunsad sa PDF
1141
Mga Aksyon sa PDF URI
1142
Mga Aksyon sa Tunog sa PDF
1143
Mga Aksyon sa Pelikula sa PDF
1150
Mga Aksyon sa PDF JavaScript
1151
PDF Submit Form Actions
1018
Mga Pangutana sa Database
1019
Gibutang nga mga Butang
1021
Dali nga I-save ang Data
1017
Custom Properties
1036
Mga Kinaiya sa Estadistika
1037
Summary Properties
Aron ma-download ang usa ka gilimpyohan nga kopya, kinahanglan ka usab nga maghimo usa ka hangyo sa pangutana (nga hisgutan sa ubos) pagkahuman sa pipila ka mga segundo, nga gipiho ang kantidad sa hash sa file ug ang sangkap sa pagkuha sa teksto sa hangyo. Mahimo nimong kuhaon ang gilimpyohan nga file gamit ang id gikan sa tubag sa pangutana - extracted_file_download_id. Sa makausa pa, nagtan-aw sa unahan sa gamay, naghatag ako mga pananglitan sa usa ka hangyo ug usa ka tubag sa pangutana sa pagpangita alang sa usa ka id alang sa pag-download sa usa ka cleared nga dokumento.
Pangutana hangyo sa pagpangita sa extracted_file_download_id key
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}Tubag sa pangutana (pangitaa ang extracted_file_download_id key)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Kinatibuk-ang impormasyon
Sa usa ka tawag sa API, mahimo ka magpadala usa ra ka file alang sa pag-verify.
Ang av component wala magkinahanglan og dugang nga seksyon nga adunay mga yawe; igo na nga ipiho kini sa diksyonaryo bahin.
Pangutana nga tawag sa API
Pamaagi nga gigamit β POST
Address sa tawag - https:///tecloud/api/v1/file/query
Sa dili pa ipadala ang usa ka file alang sa pag-download (hangyo sa pag-upload), maayo nga susihon ang sandbox cache (hangyo sa pangutana) aron ma-optimize ang load sa API server, tungod kay ang API server mahimo nang adunay kasayuran ug usa ka hukom sa na-download nga file. Ang tawag naglangkob lamang sa usa ka bahin sa text. Ang gikinahanglan nga bahin sa hangyo mao ang sha1/sha256/md5 hash nga kantidad sa file. Pinaagi sa dalan, makuha nimo kini sa tubag sa hangyo sa pag-upload.
Minimum nga gikinahanglan alang sa pangutana
HTTP POST
https:///tecloud/api/v1/file/query
Mga ulohan:
Pagtugot:
Lawas
{
"hangyo": {
"sha256":
}
}
Usa ka pananglitan sa tubag sa usa ka hangyo sa pag-upload, diin makita ang sha1/md5/sha256 hash nga kantidad
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}Ang hangyo sa pangutana, dugang sa kantidad sa hash, kinahanglan nga parehas sa gihangyo sa pag-upload kaniadto (o giplano nga mahimo), o bisan "na" (naglangkob sa gamay nga mga field sa hangyo sa pangutana kaysa sa hangyo sa pag-upload). Sa kaso diin ang hangyo sa pangutana adunay daghang mga natad kaysa sa gihangyo sa pag-upload, dili nimo madawat ang tanan nga kinahanglan nga kasayuran sa tubag.
Ania ang usa ka pananglitan sa usa ka tubag sa usa ka pangutana diin dili tanan nga gikinahanglan nga datos nakit-an
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Hatagi'g pagtagad ang mga kaumahan Code ΠΈ label. Kini nga mga natad makita tulo ka beses sa mga diksyonaryo sa status. Una atong makita ang global nga yawe nga "code": 1006 ug "label": "PARTIALLY_FOUND". Sunod, kini nga mga yawe makit-an alang sa matag indibidwal nga sangkap nga among gihangyo - te ug pagkuha. Ug kung alang sa tin-aw nga ang datos nakit-an, nan alang sa pagkuha walaβy kasayuran.
Kini ang hitsura sa pangutana alang sa pananglitan sa ibabaw
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Kung magpadala ka usa ka hangyo sa pangutana nga wala ang sangkap sa pagkuha
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Dayon ang tubag maglangkob sa kompletong impormasyon (βcodeβ: 1001, βlabelβ: βNAKITAβ)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Kung walaβy kasayuran sa cache, nan ang tubag mahimong "label": "NOT_FOUND"
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Sa usa ka tawag sa API, mahimo nimong ipadala ang daghang kantidad sa hash sa usa ka higayon alang sa pag-verify. Ang tubag ibalik ang datos sa parehas nga pagkasunud nga gipadala sa hangyo.
Pananglitan nga hangyo sa pangutana nga adunay daghang kantidad sa sha256
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}Tubag sa usa ka pangutana nga adunay daghang kantidad sa sha256
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Ang paghangyo ug daghang hash sums sa makausa sa usa ka pangutana nga hangyo aduna usab usa ka mapuslanong epekto sa performance sa API server.
Pag-download sa tawag sa API
Pamaagi nga gigamit β POST (sumala sa dokumentasyon), GET nagtrabaho usab (ug tingali mas lohikal)
Address sa tawag - https:///tecloud/api/v1/file/download?id=
Ang header nagkinahanglan sa API key nga ipasa, ang lawas sa hangyo walay sulod, ang download id gipasa sa url address.
Agig tubag sa usa ka pangutana nga hangyo, kung ang pagsundog nahuman ug ang mga taho gihangyo sa pag-download sa file, ang id sa pag-download sa mga taho makita. Kung gihangyo ang usa ka limpyo nga kopya, kinahanglan nimo pangitaon ang id aron ma-download ang nalimpyo nga dokumento.
Sa kinatibuk-an, ang mga yawe sa tubag sa pangutana nga adunay id nga kantidad alang sa pagkarga mahimong:
-
summary_report
-
bug-os nga_report
-
pdf_report
-
xml_report
-
extracted_file_download_id
Siyempre, aron madawat kini nga mga yawe agig tubag sa hangyo sa pangutana, kinahanglan nga ipiho kini sa hangyo (alang sa mga taho) o hinumdomi nga maghimo usa ka hangyo gamit ang function sa pagkuha (alang sa gilimpyohan nga mga dokumento)
Quota API nga tawag
Pamaagi nga gigamit β POST
Address sa tawag - https:///tecloud/api/v1/file/quota
Para masusi ang nahabilin nga quota sa cloud, gamita ang quota query. Ang hangyo nga lawas walay sulod.
Pananglitan nga tubag sa usa ka hangyo sa quota
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}Threat Prevention API para sa Security Gateway
Kini nga API gihimo sa wala pa ang Threat Prevention API ug gituyo lamang alang sa mga lokal nga aparato. Sa pagkakaron mahimo ra kini nga mapuslanon kung kinahanglan nimo ang Threat Extraction API. Alang sa Threat Emulation mas maayo nga gamiton ang regular nga Threat Prevention API. Aron ma-on TP API para sa SG ug i-configure ang API key nga kinahanglan nimong sundon ang mga lakang gikan . Girekomendar nako ang paghatag pagtagad sa lakang 6b ug pagsusi sa pagka-access sa panid https://<IPAddressofSecurityGateway>/UserCheck/TPAPI tungod kay kung adunay negatibo nga resulta, ang dugang nga pag-configure dili makatarunganon. Ang tanan nga mga tawag sa API ipadala sa kini nga url. Ang matang sa tawag (pag-upload/pagpangutana) gi-regulate sa call body key β hangyo_ngalan. Gikinahanglan usab ang mga yawe - api_key (kinahanglan nimong hinumdoman kini sa panahon sa proseso sa pag-configure) ug protocol_version (karon kasamtangan nga bersyon mao ang 1.1). Makita nimo ang opisyal nga dokumentasyon para niini nga API sa . Ang mga relatibong bentaha naglakip sa abilidad sa pagpadala sa daghang mga file sa usa ka higayon alang sa emulation sa diha nga nagkarga kanila, tungod kay ang mga file gipadala isip base64 text string. Sa pag-encode/pag-decode sa mga file ngadto/gikan sa base64 mahimo nimong gamiton ang online converter sa Postman para sa mga katuyoan sa demonstrasyon, pananglitan - . Para sa praktikal nga mga katuyoan, kinahanglan nimong gamiton ang built-in nga encode ug decode nga mga pamaagi sa pagsulat sa code.
Karon atong tan-awon pag-ayo ang mga gimbuhaton te ΠΈ pagkuha sa niini nga API.
Alang sa component te diksyonaryo nga gihatag te_options sa mga hangyo sa pag-upload/pagpangutana, ug ang mga yawe niini nga hangyo hingpit nga motakdo sa mga yawe sa sulod .
Pananglitan nga hangyo alang sa file emulation sa Win10 nga adunay mga taho
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}Alang sa component pagkuha diksyonaryo nga gihatag scrub_options. Gipiho niini nga hangyo ang pamaagi sa paglimpyo: pag-convert sa PDF, pag-clear sa aktibo nga sulud, o pagpili og mode nga uyon sa profile sa Threat Prevention (gipakita ang ngalan sa profile). Ang maayo nga butang bahin sa pagtubag sa usa ka hangyo sa pagkuha sa API alang sa usa ka file mao nga makakuha ka usa ka limpyo nga kopya sa tubag sa kana nga hangyo ingon usa ka base64 nga naka-encrypt nga string (dili nimo kinahanglan nga maghimo usa ka hangyo sa pangutana ug pangitaa ang id aron ma-download ang dokumento)
Pananglitan sa usa ka hangyo sa paghawan sa usa ka file
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}Pagtubag sa usa ka hangyo
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
} Bisan pa sa kamatuoran nga mas gamay nga mga hangyo sa API ang gikinahanglan aron makakuha og cleared nga kopya, akong nakita nga kini nga opsyon dili kaayo maayo ug sayon ββkay sa porma-data nga hangyo nga gigamit sa .
Mga Koleksyon sa Postman
Naghimo ako og mga koleksyon sa Postman alang sa Threat Prevention API ug sa Threat Prevention API alang sa Security Gateway, nga nagrepresentar sa labing komon nga mga hangyo sa API. Aron ang server ip/url API ug yawe nga awtomatikong ilisan sa mga hangyo, ug ang sha256 hash nga kantidad nga mahinumduman human sa pag-download sa file, tulo ka mga baryable ang gihimo sulod sa mga koleksyon (mahimo nimo kining makit-an pinaagi sa pag-adto sa mga setting sa pagkolekta I-edit -> Mga Variable): te_api (gikinahanglan), api_key (kinahanglan nga pun-an, gawas kon gamiton ang TP API sa lokal nga mga himan), sha256 (biyai nga walay sulod, wala gigamit sa TP API para sa SG).
Mga panig-ingnan sa paggamit
Sa komunidad Ang mga script nga gisulat sa Python gipresentar nga nagsusi sa mga file gikan sa gusto nga direktoryo pinaagi sa , ug . Pinaagi sa interaksyon sa Threat Prevention API, ang imong abilidad sa pag-scan sa mga file labi nga gipalapdan, tungod kay karon mahimo nimong i-scan ang mga file sa daghang mga platform sa usa ka higayon (pagsusi sa , ug dayon sa Check Point sandbox), ug makadawat og mga file dili lamang gikan sa trapiko sa network, apan kuhaon usab kini gikan sa bisan unsang network drive ug, pananglitan, mga CRM system.
Source: www.habr.com