Bydd yr erthygl hon yn ddefnyddiol i'r rhai sy'n gyfarwydd â thechnoleg Gwiriwch Point trwy efelychu ffeil (Efelychiad Bygythiad) a glanhau ffeiliau yn rhagweithiol (Echdynnu Bygythiad) ac eisiau cymryd cam tuag at awtomeiddio'r tasgau hyn. Mae gan Check Point , sy'n rhedeg yn y cwmwl ac ar ddyfeisiau lleol, a yn swyddogaethol mae'n union yr un fath â gwirio ffeiliau mewn ffrydiau traffig gwe/smtp/ftp/smb/nfs. Mae'r erthygl hon yn rhannol yn ddehongliad yr awdur o set o erthyglau o'r ddogfennaeth swyddogol, ond yn seiliedig ar fy mhrofiad gweithredu fy hun a fy enghreifftiau fy hun. Hefyd yn yr erthygl fe welwch gasgliadau Postman yr awdur ar gyfer gweithio gyda'r API Atal Bygythiad.
Byrfoddau sylfaenol
Mae'r API Atal Bygythiad yn gweithio gyda thair prif gydran, a elwir yn yr API trwy'r gwerthoedd testun canlynol:
av — Cydran gwrth-feirws, sy'n gyfrifol am ddadansoddi llofnod bygythiadau hysbys.
te - Elfen Efelychiad Bygythiad, yn gyfrifol am wirio ffeiliau yn y blwch tywod, a gwneud dyfarniad maleisus/anfalaen ar ôl efelychu.
echdynnu - Cydran Echdynnu Bygythiad, sy'n gyfrifol am drosi dogfennau swyddfa yn gyflym yn ffurf ddiogel (lle mae'r holl gynnwys a allai fod yn faleisus yn cael ei ddileu), er mwyn eu dosbarthu'n gyflym i ddefnyddwyr / systemau.
Strwythur API a phrif gyfyngiadau
Dim ond 4 cais y mae'r API Atal Bygythiad yn eu defnyddio − llwytho i fyny, ymholi, lawrlwytho a chwota. Yn y pennawd ar gyfer pob un o'r pedwar cais mae angen i chi basio'r allwedd API gan ddefnyddio'r paramedr Awdurdodi. Ar yr olwg gyntaf, gall y strwythur ymddangos yn llawer symlach nag yn , ond mae nifer y meysydd yn y ceisiadau uwchlwytho ac ymholi a strwythur y ceisiadau hyn yn eithaf cymhleth. Gellir cymharu'r rhain yn swyddogaethol â phroffiliau Atal Bygythiad mewn polisi diogelwch porth/blwch tywod.
Ar hyn o bryd, mae'r unig fersiwn o'r API Atal Bygythiad wedi'i ryddhau - 1.0; dylai'r URL ar gyfer galwadau API gynnwys v1 yn y rhan lle mae angen i chi nodi'r fersiwn. Yn wahanol i'r API Rheolaeth, mae angen nodi'r fersiwn API yn yr URL, fel arall ni fydd y cais yn cael ei weithredu.
Ar hyn o bryd mae'r gydran Gwrth-feirws, pan gaiff ei galw heb gydrannau eraill (te, echdynnu), ond yn cefnogi ceisiadau ymholiad gyda symiau hash md5. Mae Efelychu Bygythiad ac Echdynnu Bygythiad hefyd yn cefnogi symiau hash sha1 a sha256.
Mae'n bwysig iawn peidio â gwneud camgymeriadau mewn ymholiadau! Gellir gweithredu'r cais heb gamgymeriad, ond nid yn gyfan gwbl. Wrth edrych ymlaen ychydig, gadewch i ni edrych ar yr hyn a all ddigwydd pan fydd gwallau/teip mewn ymholiadau.
Cais gyda theip gyda'r gair adroddiadau (adroddiadau)
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}Ni fydd unrhyw gamgymeriad yn yr ymateb, ond ni fydd unrhyw wybodaeth am yr adroddiadau o gwbl
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Ond am gais heb deip yn allwedd yr adroddiadau
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}Rydym yn derbyn ymateb sydd eisoes yn cynnwys id ar gyfer lawrlwytho adroddiadau
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Os byddwn yn anfon allwedd API anghywir/wedi dod i ben, byddwn yn derbyn gwall 403 mewn ymateb.
SandBlast API: yn y cwmwl ac ar ddyfeisiau lleol
Gellir anfon ceisiadau API i ddyfeisiau Check Point sydd â'r elfen Emulation Threat (llafn) wedi'i galluogi. Fel cyfeiriad ar gyfer ceisiadau, mae angen i chi ddefnyddio ip/url y ddyfais a phorthladd 18194 (er enghraifft, https://10.10.57.19:18194/tecloud/api/v1/file/query). Dylech hefyd sicrhau bod y polisi diogelwch ar y ddyfais yn caniatáu'r cysylltiad hwn. Awdurdodi trwy allwedd API ar ddyfeisiau lleol yn ddiofyn i ffwrdd ac efallai na fydd yr allwedd Awdurdodi yn y penawdau cais yn cael ei anfon o gwbl.
Dylid anfon ceisiadau API i'r cwmwl CheckPoint te.checkpoint.com (er enghraifft - https://te.checkpoint.com/tecloud/api/v1/file/query). Gellir cael yr allwedd API fel trwydded brawf am 60 diwrnod trwy gysylltu â phartneriaid Check Point neu swyddfa leol y cwmni.
Ar ddyfeisiadau lleol, nid yw Threat Extraction yn cael ei gefnogi fel safon eto. a dylid ei ddefnyddio (byddwn yn siarad amdano yn fanylach ar ddiwedd yr erthygl).
Nid yw dyfeisiau lleol yn cefnogi'r cais am gwota.
Fel arall, nid oes unrhyw wahaniaethau rhwng ceisiadau i ddyfeisiau lleol ac i'r cwmwl.
Llwythwch alwad API i fyny
Dull a ddefnyddiwyd − SWYDD
Cyfeiriad galwad - https:///tecloud/api/v1/file/upload
Mae'r cais yn cynnwys dwy ran (data-ffurflen): ffeil y bwriedir ei hefelychu/glanhau a chorff cais gyda thestun.
Ni all y cais testun fod yn wag, ond efallai na fydd yn cynnwys unrhyw ffurfweddiad. Er mwyn i'r cais fod yn llwyddiannus, rhaid i chi anfon o leiaf y testun canlynol yn y cais:
Lleiafswm sydd ei angen ar gyfer cais uwchlwytho
HTTP SWYDD
https:///tecloud/api/v1/file/upload
Penawdau:
Awdurdodi:
Corff
{
"cais": {
}
}
Ffeil
Ffeil
Yn yr achos hwn, bydd y ffeil yn cael ei phrosesu yn unol â'r paramedrau rhagosodedig: cydran - te, delweddau OS - Ennill XP ac Win 7, heb gynhyrchu adroddiad.
Sylwadau ar y prif feysydd yn y cais testun:
ffeil_name и ffeil_math Gallwch eu gadael yn wag neu beidio â'u hanfon o gwbl, gan nad yw hyn yn wybodaeth arbennig o ddefnyddiol wrth uwchlwytho ffeil. Yn yr ymateb API, bydd y meysydd hyn yn cael eu llenwi'n awtomatig yn seiliedig ar enw'r ffeil a lawrlwythwyd, a bydd yn rhaid chwilio'r wybodaeth yn y storfa o hyd gan ddefnyddio symiau hash md5/sha1/sha256.
Cais enghreifftiol gyda file_name gwag a file_type
{
"request": {
"file_name": "",
"file_type": "",
}
}Nodweddion — rhestr sy'n nodi'r swyddogaethau angenrheidiol wrth brosesu yn y blwch tywod - av (Anti-Virus), te (Efelychiad Bygythiad), echdynnu (Echdynnu Bygythiad). Os na chaiff y paramedr hwn ei basio o gwbl, yna dim ond y gydran ddiofyn a ddefnyddir - te (Efelychiad Bygythiad).
Er mwyn galluogi gwirio'r tair cydran sydd ar gael, mae angen i chi nodi'r cydrannau hyn yn y cais API.
Enghraifft o gais gyda gwirio yn av, te ac echdynnu
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}Allweddi yn yr adran te
delweddau — rhestr yn cynnwys geiriaduron gydag id a rhif adolygu'r systemau gweithredu y cynhelir y gwiriad ynddynt. Mae rhifau adnabod a rhifau adolygu yr un peth ar gyfer pob dyfais leol a'r cwmwl.
Rhestr o systemau gweithredu a diwygiadau
ID Delwedd OS sydd ar gael
Adolygu
Delwedd OS a Chymhwysiad
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
Microsoft Windows: XP - 32bit SP3
Swyddfa: 2003, 2007
Darllenydd Adobe Acrobat: 9.0
Flash Player 9r115 a ActiveX 10.0
Amser rhedeg Java: 1.6.0u22
7e6fe36e-889e-4c25-8704-56378f0830df
1
Microsoft Windows:7 - 32bit
Swyddfa: 2003, 2007
Darllenydd Adobe Acrobat: 9.0
Chwaraewr Flash: 10.2. 152rXNUMX (ategyn& ActiveX)
Amser rhedeg Java: 1.6.0u0
8d188031-1010-4466-828b-0cd13d4303ff
1
Microsoft Windows:7 - 32bit
Swyddfa: 2010
Darllenydd Adobe Acrobat: 9.4
Chwaraewr Flash: 11.0.1.152 (ategyn & ActiveX)
Amser rhedeg Java: 1.7.0u0
5e5de275-a103-4f67-b55b-47532918fa59
1
Microsoft Windows:7 - 32bit
Swyddfa: 2013
Darllenydd Adobe Acrobat: 11.0
Chwaraewr Flash: 15 (ategyn & ActiveX)
Amser rhedeg Java: 1.7.0u9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
Microsoft Windows:7 - 64bit
Swyddfa: 2013 (32bit)
Darllenydd Adobe Acrobat: 11.0.01
Chwaraewr Flash: 13 (ategyn & ActiveX)
Amser rhedeg Java: 1.7.0u9
6c453c9b-20f7-471a-956c-3198a868dc92
1
Microsoft Windows:8.1 - 64bit
Swyddfa: 2013 (64bit)
Darllenydd Adobe Acrobat: 11.0.10
Chwaraewr Flash: 18.0.0.160 (ategyn & ActiveX)
Amser rhedeg Java: 1.7.0u9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
Microsoft Windows: 10
Swyddfa: Professional Plus 2016 en-us
Darllenydd Adobe Acrobat: DC 2015 MUI
Chwaraewr Flash: 20 (ategyn & ActiveX)
Amser rhedeg Java: 1.7.0u9
Os nad yw'r allwedd delweddau wedi'i nodi o gwbl, yna bydd efelychu'n digwydd mewn delweddau a argymhellir gan Check Point (Win XP a Win 7 ar hyn o bryd). Argymhellir y delweddau hyn yn seiliedig ar ystyriaethau o'r cydbwysedd gorau o ran perfformiad a chyfradd dal.
adroddiadau — rhestr o adroddiadau y gofynnwn amdanynt rhag ofn i'r ffeil droi allan i fod yn faleisus. Mae'r opsiynau canlynol ar gael:
-
crynodeb - archif .tar.gz yn cynnwys adroddiad ar efelychu gan i bawb delweddau y gofynnwyd amdanynt (tudalen html a chydrannau fel fideo o'r efelychydd OS, dymp traffig rhwydwaith, adroddiad yn json, a'r sampl ei hun mewn archif wedi'i diogelu gan gyfrinair). Rydym yn chwilio am yr allwedd yn yr ateb - adroddiad_crynodeb ar gyfer llwytho'r adroddiad i lawr wedyn.
-
pdf - dogfen am efelychu yn un delwedd, y mae llawer yn gyfarwydd â'i dderbyn trwy'r Consol Clyfar. Rydym yn chwilio am yr allwedd yn yr ateb - pdf_adroddiad ar gyfer llwytho'r adroddiad i lawr wedyn.
-
xml - dogfen am efelychu yn un delwedd, sy'n gyfleus ar gyfer dosrannu paramedrau yn yr adroddiad wedi hynny. Rydym yn chwilio am yr allwedd yn yr ateb - xml_adroddiad ar gyfer llwytho'r adroddiad i lawr wedyn.
-
tar - archif .tar.gz yn cynnwys adroddiad ar efelychu yn un delweddau y gofynnwyd amdanynt (tudalen html a chydrannau fel fideo o'r efelychydd OS, dymp traffig rhwydwaith, adroddiad yn json, a'r sampl ei hun mewn archif wedi'i diogelu gan gyfrinair). Rydym yn chwilio am yr allwedd yn yr ateb - adroddiad_llawn ar gyfer llwytho'r adroddiad i lawr wedyn.
Beth sydd y tu mewn i'r adroddiad cryno
Mae'r bysellau full_report, pdf_report, xml_report yn y geiriadur ar gyfer pob OS
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Ond yr allwedd summary_report - mae un ar gyfer efelychu yn gyffredinol
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Gallwch ofyn am adroddiadau tar ac xml a pdf ar yr un pryd, gallwch ofyn am grynodeb a thar ac xml. Ni fydd yn bosibl gofyn am adroddiad cryno a pdf ar yr un pryd.
Allweddi yn yr adran echdynnu
Ar gyfer echdynnu bygythiad, dim ond dwy allwedd a ddefnyddir:
dull — pdf (trosi i pdf, a ddefnyddir yn ddiofyn) neu lân (glanhau cynnwys gweithredol).
echdynnwyd_rhannau_codau - rhestr o godau ar gyfer dileu cynnwys gweithredol, sy'n berthnasol ar gyfer y dull glân yn unig
Codau ar gyfer tynnu cynnwys o ffeiliau
Côd
Disgrifiad
1025
Gwrthrychau Cysylltiedig
1026
Macros a Chod
1034
Hypergysylltiadau Sensitif
1137
Gweithredoedd GoToR PDF
1139
Gweithredoedd Lansio PDF
1141
PDF Gweithredoedd URI
1142
PDF Gweithredoedd Sain
1143
Gweithredoedd Ffilm PDF
1150
Gweithredoedd JavaScript PDF
1151
PDF Cyflwyno Ffurflen Camau Gweithredu
1018
Ymholiadau Cronfa Ddata
1019
Gwrthrychau Planedig
1021
Cadw Data Cyflym
1017
Eiddo Custom
1036
Priodweddau Ystadegol
1037
Priodweddau Cryno
I lawrlwytho copi wedi'i lanhau, bydd angen i chi hefyd wneud cais ymholiad (a drafodir isod) ar ôl ychydig eiliadau, gan nodi swm stwnsh y ffeil a'r gydran echdynnu yn nhestun y cais. Gallwch godi'r ffeil wedi'i glanhau gan ddefnyddio'r id o'r ymateb i'r ymholiad - extracted_file_download_id. Unwaith eto, gan edrych ymlaen ychydig, rhoddaf enghreifftiau o gais ac ymateb ymholiad i chwilio am ID ar gyfer lawrlwytho dogfen wedi'i chlirio.
Cais ymholiad i chwilio am yr allwedd echdynnu_file_download_id
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}Ymateb i ymholiad (edrychwch am allwedd echdynnu_file_download_id)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Trosolwg
Mewn un galwad API, dim ond un ffeil y gallwch ei hanfon i'w dilysu.
Nid oes angen adran ychwanegol gydag allweddi ar gyfer y gydran av, mae'n ddigon i'w nodi yn y geiriadur Nodweddion.
Ymholiad galwad API
Dull a ddefnyddiwyd − SWYDD
Cyfeiriad galwad - https:///tecloud/api/v1/file/query
Cyn anfon ffeil i'w lawrlwytho (cais uwchlwytho), fe'ch cynghorir i wirio storfa'r blwch tywod (cais ymholiad) er mwyn optimeiddio'r llwyth ar y gweinydd API, oherwydd efallai bod gan y gweinydd API wybodaeth a dyfarniad ar y ffeil a lawrlwythwyd eisoes. Mae'r alwad yn cynnwys rhan testun yn unig. Rhan ofynnol y cais yw maint hash sha1/sha256/md5 y ffeil. Gyda llaw, gallwch ei gael yn yr ymateb i'r cais uwchlwytho.
Lleiafswm sydd ei angen ar gyfer ymholiad
HTTP SWYDD
https:///tecloud/api/v1/file/query
Penawdau:
Awdurdodi:
Corff
{
"cais": {
"sha256":
}
}
Enghraifft o ymateb i gais lanlwytho, lle mae symiau hash sha1/md5/sha256 yn weladwy
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}Yn ddelfrydol, dylai'r cais ymholiad, yn ogystal â'r swm hash, fod yr un peth â'r cais uwchlwytho (neu y bwriedir iddo fod), neu hyd yn oed “eisoes” (yn cynnwys llai o feysydd yn y cais ymholiad nag yn y cais uwchlwytho). Mewn achos lle mae'r cais ymholiad yn cynnwys mwy o feysydd nag oedd yn y cais uwchlwytho, ni fyddwch yn derbyn yr holl wybodaeth ofynnol yn yr ymateb.
Dyma enghraifft o ymateb i ymholiad lle na chanfuwyd yr holl ddata gofynnol
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Rhowch sylw i'r meysydd cod и label. Mae'r meysydd hyn yn ymddangos deirgwaith mewn geiriaduron statws. Yn gyntaf rydym yn gweld yr allwedd fyd-eang “cod”: 1006 a “label”: “PARTIALLY_FOUND”. Nesaf, canfyddir yr allweddi hyn ar gyfer pob cydran unigol y gofynnwyd amdani - te ac echdynnu. Ac os yw'n amlwg i chi fod y data wedi'i ddarganfod, yna nid oes unrhyw wybodaeth ar gyfer echdynnu.
Dyma sut olwg oedd ar yr ymholiad ar gyfer yr enghraifft uchod
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Os byddwch yn anfon cais ymholiad heb y gydran echdynnu
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Yna bydd yr ateb yn cynnwys gwybodaeth gyflawn (“cod”: 1001, “label”: “FFONIWYD”)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Os nad oes unrhyw wybodaeth yn y storfa o gwbl, yr ymateb fydd “label”: “NOT_FOUND”
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Mewn un galwad API, gallwch anfon sawl swm hash ar unwaith i'w dilysu. Bydd yr ymateb yn dychwelyd data yn yr un drefn ag y'i hanfonwyd yn y cais.
Cais ymholiad enghreifftiol gyda sawl swm sha256
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}Ymateb i ymholiad gyda symiau sha256 lluosog
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Bydd gofyn am sawl swm hash ar unwaith mewn cais ymholiad hefyd yn cael effaith fuddiol ar berfformiad y gweinydd API.
Lawrlwythwch alwad API
Dull a ddefnyddiwyd − SWYDD (yn ôl dogfennaeth), GET hefyd yn gweithio (a gall ymddangos yn fwy rhesymegol)
Cyfeiriad galwad - https:///tecloud/api/v1/file/download?id=
Mae'r pennawd yn ei gwneud yn ofynnol i'r allwedd API gael ei basio, mae corff y cais yn wag, mae'r id lawrlwytho yn cael ei basio yn y cyfeiriad url.
Mewn ymateb i gais ymholiad, os cwblheir yr efelychiad a gofynnwyd am adroddiadau wrth lawrlwytho'r ffeil, bydd yr id ar gyfer lawrlwytho adroddiadau yn weladwy. Os gofynnir am gopi wedi'i lanhau, dylech edrych am yr ID i lawrlwytho'r ddogfen wedi'i glanhau.
Yn gyfan gwbl, gall yr allweddi yn yr ymateb i'r ymholiad sy'n cynnwys y gwerth id ar gyfer llwytho fod fel a ganlyn:
-
adroddiad_crynodeb
-
adroddiad_llawn
-
pdf_adroddiad
-
xml_adroddiad
-
echdynnu_file_download_id
Wrth gwrs, er mwyn derbyn yr allweddi hyn mewn ymateb i'r cais ymholiad, rhaid eu nodi yn y cais (am adroddiadau) neu gofio gwneud cais gan ddefnyddio'r swyddogaeth echdynnu (ar gyfer dogfennau wedi'u glanhau)
Galwad API Cwota
Dull a ddefnyddiwyd − SWYDD
Cyfeiriad galwad - https:///tecloud/api/v1/file/quota
I wirio'r cwota sy'n weddill yn y cwmwl, defnyddiwch yr ymholiad cwota. Mae corff y cais yn wag.
Ymateb enghreifftiol i gais am gwota
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}API Atal Bygythiad ar gyfer Porth Diogelwch
Datblygwyd yr API hwn cyn yr API Atal Bygythiad ac fe'i bwriedir ar gyfer dyfeisiau lleol yn unig. Am y tro dim ond os oes angen yr API Echdynnu Bygythiad arnoch chi y gall fod yn ddefnyddiol. Ar gyfer Emulation Bygythiad mae'n well defnyddio'r API Atal Bygythiad rheolaidd. I droi ymlaen TP API ar gyfer SG a ffurfweddu'r allwedd API y mae angen i chi ddilyn y camau ohoni . Rwy'n argymell rhoi sylw i gam 6b a gwirio hygyrchedd y dudalen https://<IPAddressofSecurityGateway>/UserCheck/TPAPI oherwydd rhag ofn y bydd canlyniad negyddol, nid yw cyfluniad pellach yn gwneud synnwyr. Bydd pob galwad API yn cael ei anfon i'r url hwn. Mae'r math o alwad (llwytho i fyny/ymholiad) yn cael ei reoleiddio yn allwedd y corff galw − cais_enw. Hefyd allweddi gofynnol yn - allwedd_api (mae angen i chi ei gofio yn ystod y broses ffurfweddu) a protocol_fersiwn (fersiwn gyfredol yw 1.1 ar hyn o bryd). Gallwch ddod o hyd i'r ddogfennaeth swyddogol ar gyfer yr API hwn yn . Mae manteision cymharol yn cynnwys y gallu i anfon sawl ffeil ar unwaith i'w hefelychu wrth eu llwytho, gan fod y ffeiliau'n cael eu hanfon fel llinyn testun base64. I amgodio/dadgodio ffeiliau i/o base64 gallwch ddefnyddio trawsnewidydd ar-lein yn Postman at ddibenion arddangos, er enghraifft - . At ddibenion ymarferol, dylech ddefnyddio'r dulliau amgodio a dadgodio adeiledig wrth ysgrifennu cod.
Nawr, gadewch i ni edrych yn agosach ar y swyddogaethau te и echdynnu yn yr API hwn.
Ar gyfer cydran te geiriadur yn cael ei ddarparu te_opsiynau mewn ceisiadau lanlwytho/ymholiad, ac mae'r allweddi yn y cais hwn yn cyd-fynd yn llwyr â'r allweddi i mewn .
Cais enghreifftiol am efelychu ffeiliau yn Win10 gydag adroddiadau
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}Ar gyfer cydran echdynnu geiriadur yn cael ei ddarparu scrub_options. Mae'r cais hwn yn nodi'r dull glanhau: trosi i PDF, clirio cynnwys gweithredol, neu ddewis modd yn unol â'r proffil Atal Bygythiad (nodir enw'r proffil). Y peth gwych am ymateb i gais API echdynnu am ffeil yw eich bod yn cael copi wedi'i lanhau yn yr ymateb i'r cais hwnnw fel llinyn wedi'i amgryptio base64 (nid oes angen i chi wneud cais ymholiad ac edrych ar yr id i lawrlwytho'r dogfen)
Enghraifft o gais i glirio ffeil
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}Ymateb i gais
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
} Er gwaethaf y ffaith bod angen llai o geisiadau API i gael copi wedi'i glirio, rwy'n gweld yr opsiwn hwn yn llai ffafriol a chyfleus na'r cais data-ffurf a ddefnyddir yn .
Casgliadau Postmon
Creais gasgliadau yn Postman ar gyfer yr API Atal Bygythiad a'r API Atal Bygythiad ar gyfer y Porth Diogelwch, sy'n cynrychioli'r ceisiadau API mwyaf cyffredin. Er mwyn i API ac allwedd y gweinydd ip/url gael eu hamnewid yn awtomatig i geisiadau, a'r swm hash sha256 i'w gofio ar ôl lawrlwytho'r ffeil, mae tri newidyn wedi'u creu y tu mewn i'r casgliadau (gallwch ddod o hyd iddynt trwy fynd i'r gosodiadau casglu Golygu -> Newidynnau): te_api (gofynnol), api_key (angen ei lenwi, ac eithrio wrth ddefnyddio TP API gyda dyfeisiau lleol), sha256 (gadewch yn wag, heb ei ddefnyddio yn TP API ar gyfer SG).
Enghreifftiau o ddefnyddio
Yn y gymuned cyflwynir sgriptiau a ysgrifennwyd yn Python sy'n gwirio ffeiliau o'r cyfeiriadur a ddymunir trwy Ac . Trwy ryngweithio â'r API Atal Bygythiad, mae eich gallu i sganio ffeiliau wedi'i ehangu'n sylweddol, oherwydd nawr gallwch sganio ffeiliau mewn sawl platfform ar unwaith (gwirio i mewn , ac yna yn y blwch tywod Check Point), a derbyn ffeiliau nid yn unig o draffig rhwydwaith, ond hefyd yn eu cymryd o unrhyw yriannau rhwydwaith ac, er enghraifft, systemau CRM.
Ffynhonnell: hab.com