Dan l-artikolu se jkun utli għal dawk li huma familjari mat-teknoloġija Iċċekkja Punt bl-emulazzjoni tal-fajl (Emulazzjoni ta' Theddida) u tindif proattiv tal-fajls (Estrazzjoni ta' Theddida) u trid tagħmel pass lejn l-awtomatizzazzjoni ta' dawn il-kompiti. Check Point għandu , li timxi kemm fis-sħab kif ukoll fuq apparat lokali, u Funzjonalment huwa identiku għall-iċċekkjar tal-fajls fil-flussi tat-traffiku tal-web/smtp/ftp/smb/nfs. Dan l-artikolu huwa parzjalment l-interpretazzjoni ta 'l-awtur ta' sett ta 'artikoli mid-dokumentazzjoni uffiċjali, iżda bbażat fuq l-esperjenza operattiva tiegħi stess u l-eżempji tiegħi stess. Fl-artiklu wkoll issib il-kollezzjonijiet ta' Postman tal-awtur biex taħdem mal-API ta' Prevenzjoni tat-Theddid.
Abbrevjazzjonijiet bażiċi
L-API tal-Prevenzjoni tat-Theddid taħdem bi tliet komponenti ewlenin, li jissejħu fl-API permezz tal-valuri tat-test li ġejjin:
av — Komponent Anti-Virus, responsabbli għall-analiżi tal-firma ta’ theddid magħruf.
te - Komponent ta 'Emulazzjoni ta' Theddida, responsabbli għall-iċċekkjar tal-fajls fis-sandbox, u jagħmel verdett malizzjuż/benin wara l-emulazzjoni.
estrazzjoni - Komponent tal-Estrazzjoni tat-Theddida, responsabbli għall-konverżjoni malajr tad-dokumenti tal-uffiċċju f'forma sigura (li fiha jitneħħa l-kontenut kollu potenzjalment malizzjuż), sabiex iwassalhom malajr lill-utenti/sistemi.
Struttura tal-API u limitazzjonijiet ewlenin
Threat Prevention API juża biss 4 talbiet − upload, mistoqsija, download u kwota. Fl-intestatura għall-erba' talbiet kollha trid tgħaddi ċ-ċavetta API billi tuża l-parametru Awtorizzazzjoni. L-ewwel daqqa t'għajn, l-istruttura tista 'tidher ħafna aktar sempliċi milli in , iżda n-numru ta' oqsma fit-talbiet ta' upload u mistoqsijiet u l-istruttura ta' dawn it-talbiet huma pjuttost kumplessi. Dawn jistgħu jitqabblu funzjonalment mal-profili ta' Prevenzjoni tat-Theddid f'politika ta' sigurtà ta' gateway/sandbox.
Bħalissa, l-unika verżjoni tal-API tal-Prevenzjoni tat-Theddid ġiet rilaxxata - 1.0; il-URL għas-sejħiet tal-API għandu jinkludi v1 fil-parti fejn għandek bżonn tispeċifika l-verżjoni. B'differenza mill-API tal-Ġestjoni, huwa meħtieġ li tiġi indikata l-verżjoni tal-API fil-URL, inkella t-talba ma titwettaqx.
Il-komponent Anti-Virus, meta msejjaħ mingħajr komponenti oħra (te, estrazzjoni), bħalissa jappoġġja biss talbiet ta 'mistoqsijiet b'somom hash md5. L-Emulazzjoni tat-Theddida u l-Estrazzjoni tat-Theddida jappoġġjaw ukoll is-somom hash sha1 u sha256.
Huwa importanti ħafna li ma tagħmilx żbalji fil-mistoqsijiet! It-talba tista 'titwettaq mingħajr żball, iżda mhux kompletament. Ħarsa 'l quddiem ftit, ejja nħarsu lejn x'jista' jiġri meta jkun hemm żbalji / typos fil-mistoqsijiet.
Talba b'typo bil-kelma rapporti(rapporti)
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}Mhux se jkun hemm żball fir-rispons, iżda ma jkun hemm ebda informazzjoni dwar ir-rapporti
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Iżda għal talba mingħajr typo fiċ-ċavetta tar-rapporti
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}Nirċievu tweġiba li diġà fiha id għat-tniżżil tar-rapporti
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Jekk nibagħtu ċavetta API mhux korretta/skaduta, nirċievu żball 403 bħala tweġiba.
SandBlast API: fis-sħab u fuq apparat lokali
It-talbiet tal-API jistgħu jintbagħtu lil apparati tal-Punt ta' Kontroll li għandhom il-komponent (xafra) tal-Emulazzjoni tat-Theddid attivat. Bħala indirizz għat-talbiet, trid tuża l-ip/url tal-apparat u l-port 18194 (per eżempju, https://10.10.57.19:18194/tecloud/api/v1/file/query). Għandek tiżgura wkoll li l-politika tas-sigurtà fuq l-apparat tippermetti din il-konnessjoni. Awtorizzazzjoni permezz taċ-ċavetta API fuq apparat lokali awtomatikament mitfi u ċ-ċavetta Awtorizzazzjoni fl-intestaturi tar-rikjesta tista' ma tintbagħat xejn.
It-talbiet tal-API lill-cloud CheckPoint għandhom jintbagħtu lil te.checkpoint.com (per eżempju - https://te.checkpoint.com/tecloud/api/v1/file/query). Iċ-ċavetta API tista’ tinkiseb bħala liċenzja ta’ prova għal 60 jum billi tikkuntattja lill-imsieħba tal-Check Point jew lill-uffiċċju lokali tal-kumpanija.
Fuq apparat lokali, l-Estrazzjoni tat-Theddida għadha mhix appoġġjata bħala standard. u għandhom jintużaw (se nitkellmu dwarha f'aktar dettall fl-aħħar tal-artiklu).
Apparat lokali ma jappoġġjax it-talba tal-kwota.
Inkella, m'hemm l-ebda differenzi bejn it-talbiet lill-apparat lokali u lill-cloud.
Ittella sejħa API
Metodu użat − POST
Indirizz tas-sejħa - https:///tecloud/api/v1/file/upload
It-talba tikkonsisti f'żewġ partijiet (forma-data): fajl maħsub għall-emulazzjoni/tindif u korp tat-talba bit-test.
It-talba tat-test ma tistax tkun vojta, iżda jista' ma jkun fiha l-ebda konfigurazzjoni. Sabiex it-talba tirnexxi, trid tibgħat mill-inqas it-test li ġej fit-talba:
Minimu meħtieġ għal talba għal upload
HTTP POST
https:///tecloud/api/v1/file/upload
Intestaturi:
Awtorizzazzjoni:
Korp
{
"talba": {
}
}
File
File
F'dan il-każ, il-fajl jiġi pproċessat skont il-parametri default: komponent - te, immaġini OS - Irbaħ XP u Win 7, mingħajr ma jiġġenera rapport.
Kummenti dwar l-oqsma ewlenin fit-talba tat-test:
isem tal-fajl и tip_fajl Tista' tħallihom vojta jew ma tibgħathom xejn, peress li din mhix informazzjoni partikolarment utli meta ttella' fajl. Fir-rispons API, dawn l-oqsma se jimtlew awtomatikament abbażi tal-isem tal-fajl imniżżel, u l-informazzjoni fil-cache xorta trid tiġi mfittxija bl-użu ta 'ammonti hash md5/sha1/sha256.
Eżempju ta' talba b'file_name u file_type vojta
{
"request": {
"file_name": "",
"file_type": "",
}
}karatteristiċi — lista li tindika l-funzjonalità meħtieġa meta tiġi pproċessata fil-kaxxa tar-ramel - av (Anti-Virus), te (Threat Emulation), estrazzjoni (Threat Estrazzjoni). Jekk dan il-parametru ma jgħaddix xejn, allura jintuża biss il-komponent default - te (Emulazzjoni tat-Theddida).
Biex tippermetti l-iċċekkjar fit-tliet komponenti disponibbli, trid tispeċifika dawn il-komponenti fit-talba tal-API.
Eżempju ta' talba bi ċċekkjar fl-av, te u estrazzjoni
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}Ċwievet fit-taqsima te
immaġini — lista li jkun fiha dizzjunarji bl-id u n-numru tar-reviżjoni tas-sistemi operattivi li fihom ser isir il-kontroll. L-IDs u n-numri tar-reviżjoni huma l-istess għall-apparati lokali kollha u l-cloud.
Lista ta 'sistemi operattivi u reviżjonijiet....
Disponibbli OS Image ID
Reviżjoni
Image OS u Applikazzjoni
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
Microsoft Windows: XP - 32bit SP3
Uffiċċju: 2003, 2007
Adobe Acrobat Reader: 9.0
Flash Player 9r115 u X attiv 10.0
Java Runtime: 1.6.0u22
7e6fe36e-889e-4c25-8704-56378f0830df
1
Microsoft Windows: 7 - 32bit
Uffiċċju: 2003, 2007
Adobe Acrobat Reader: 9.0
Flash Player: 10.2r152 (plugin& X attiv)
Java Runtime: 1.6.0u0
8d188031-1010-4466-828b-0cd13d4303ff
1
Microsoft Windows: 7 - 32bit
Uffiċċju: 2010
Adobe Acrobat Reader: 9.4
Flash Player: 11.0.1.152 (plugin & X attiv)
Java Runtime: 1.7.0u0
5e5de275-a103-4f67-b55b-47532918fa59
1
Microsoft Windows: 7 - 32bit
Uffiċċju: 2013
Adobe Acrobat Reader: 11.0
Flash Player: 15 (plugin & X attiv)
Java Runtime: 1.7.0u9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
Microsoft Windows: 7 - 64bit
Uffiċċju: 2013 (32bit)
Adobe Acrobat Reader: 11.0.01
Flash Player: 13 (plugin & X attiv)
Java Runtime: 1.7.0u9
6c453c9b-20f7-471a-956c-3198a868dc92
1
Microsoft Windows: 8.1 - 64bit
Uffiċċju: 2013 (64bit)
Adobe Acrobat Reader: 11.0.10
Flash Player: 18.0.0.160 (plugin & X attiv)
Java Runtime: 1.7.0u9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
Microsoft Windows: 10
Uffiċċju: Professional Plus 2016 en-us
Adobe Acrobat Reader: DC 2015 MUI
Flash Player: 20 (plugin & X attiv)
Java Runtime: 1.7.0u9
Jekk iċ-ċavetta tal-immaġini mhix speċifikata xejn, allura l-emulazzjoni ssir f'immaġini rakkomandati minn Check Point (bħalissa Win XP u Win 7). Dawn l-immaġini huma rakkomandati abbażi ta' kunsiderazzjonijiet tal-aħjar bilanċ ta' prestazzjoni u rata ta' qbid.
rapporti — lista ta’ rapporti li nitolbu f’każ li l-fajl jirriżulta li jkun malizzjuż. L-għażliet li ġejjin huma disponibbli:
-
sommarju - arkivju .tar.gz li fih rapport dwar l-emulazzjoni minn għal kulħadd immaġini mitluba (kemm paġna html kif ukoll komponenti bħal vidjo mill-OS emulator, dump tat-traffiku tan-netwerk, rapport f'json, u l-kampjun innifsu f'arkivju protett bil-password). Qegħdin infittxu ċ-ċavetta fit-tweġiba - rapport_sommarju għat-tniżżil sussegwenti tar-rapport.
-
pdf - dokument dwar l-emulazzjoni fil waħda immaġni, li ħafna huma mdorrijin jirċievu permezz tal-Smart Console. Qegħdin infittxu ċ-ċavetta fit-tweġiba - pdf_rapport għat-tniżżil sussegwenti tar-rapport.
-
xml - dokument dwar l-emulazzjoni fil waħda immaġni, konvenjenti għall-analiżi sussegwenti tal-parametri fir-rapport. Qegħdin infittxu ċ-ċavetta fit-tweġiba - xml_report għat-tniżżil sussegwenti tar-rapport.
-
qatran - .tar.gz arkivju li fih rapport dwar l-emulazzjoni fi waħda immaġini mitluba (kemm paġna html kif ukoll komponenti bħal vidjo mill-OS emulator, dump tat-traffiku tan-netwerk, rapport f'json, u l-kampjun innifsu f'arkivju protett bil-password). Qegħdin infittxu ċ-ċavetta fit-tweġiba - full_report għat-tniżżil sussegwenti tar-rapport.
X'hemm ġewwa r-rapport sommarju
Iċ-ċwievet full_report, pdf_report, xml_report jinsabu fid-dizzjunarju għal kull OS
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Iżda ċ-ċavetta summary_report - hemm waħda għall-emulazzjoni b'mod ġenerali
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Tista 'titlob rapporti tal-qatran u xml u pdf fl-istess ħin, tista' titlob sommarju u qatran u xml. Mhux se jkun possibbli li jintalbu rapport fil-qosor u pdf fl-istess ħin.
Ċwievet fit-taqsima tal-estrazzjoni
Għall-estrazzjoni tat-theddid, jintużaw żewġ ċwievet biss:
Metodu — pdf (ikkonverti għal pdf, użat b'mod awtomatiku) jew nadif (tindif tal-kontenut attiv).
estratt_parts_codes - lista ta' kodiċijiet għat-tneħħija tal-kontenut attiv, applikabbli biss għall-metodu nadif
Kodiċi għat-tneħħija tal-kontenut mill-fajls
kodiċi
deskrizzjoni
1025
Oġġetti Marbuta
1026
Makros u Kodiċi
1034
Hyperlinks Sensittivi
1137
PDF GoToR Azzjonijiet
1139
PDF Tnedija Azzjonijiet
1141
PDF URI Azzjonijiet
1142
PDF Sound Actions
1143
Azzjonijiet tal-film PDF
1150
PDF JavaScript Azzjonijiet
1151
PDF Ibgħat Formola Azzjonijiet
1018
Mistoqsijiet tad-Dejtabejż
1019
Oġġetti Inkorporati
1021
Fast Save Data
1017
Proprjetajiet tad-dwana
1036
Proprjetajiet tal-Istatistika
1037
Sommarju Proprjetajiet
Biex tniżżel kopja mnaddfa, ser ikollok bżonn ukoll tagħmel talba għal mistoqsija (li se tiġi diskussa hawn taħt) wara ftit sekondi, li tispeċifika l-ammont ta 'hash tal-fajl u l-komponent ta' estrazzjoni fit-test tat-talba. Tista 'tiġbor il-fajl imnaddaf billi tuża l-id mir-rispons għall-mistoqsija - extracted_file_download_id. Għal darb'oħra, inħares ftit 'il quddiem, nagħti eżempji ta' talba u tweġiba għal mistoqsija biex tfittex id għat-tniżżil ta 'dokument approvat.
Talba għal mistoqsija biex tfittex iċ-ċavetta extracted_file_download_id
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}Tweġiba għall-mistoqsija (fittxu extracted_file_download_id key)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Ħarsa ġenerali
F'sejħa API waħda, tista 'tibgħat fajl wieħed biss għall-verifika.
Il-komponent av ma jeħtieġx taqsima addizzjonali biċ-ċwievet; huwa biżżejjed li tiġi speċifikata fid-dizzjunarju karatteristiċi.
Mistoqsija sejħa API
Metodu użat − POST
Indirizz tas-sejħa - https:///tecloud/api/v1/file/query
Qabel ma tibgħat fajl għat-tniżżil (talba għall-upload), huwa rakkomandabbli li tiċċekkja l-cache tal-kaxxa tar-ramel (talba tal-mistoqsija) sabiex tottimizza t-tagħbija fuq is-server tal-API, peress li s-server tal-API jista 'jkun diġà jkollu informazzjoni u verdett dwar il-fajl imniżżel. Is-sejħa tikkonsisti biss f'parti ta' test. Il-parti meħtieġa tat-talba hija l-ammont tal-hash sha1/sha256/md5 tal-fajl. Mill-mod, inti tista 'tikseb fir-rispons għat-talba upload.
Minimu meħtieġ għall-mistoqsija
HTTP POST
https:///tecloud/api/v1/file/query
Intestaturi:
Awtorizzazzjoni:
Korp
{
"talba": {
"sha256":
}
}
Eżempju ta' tweġiba għal talba ta' upload, fejn l-ammonti ta' hash sha1/md5/sha256 huma viżibbli
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}It-talba tal-mistoqsija, minbarra l-ammont tal-hash, għandha idealment tkun l-istess bħalma kienet (jew hija ppjanata li tkun) it-talba għat-tlugħ, jew saħansitra "diġà" (fiha inqas oqsma fit-talba tal-mistoqsija milli fit-talba għall-upload). Fil-każ fejn it-talba għal mistoqsija fiha aktar oqsma milli kienu fit-talba għat-tlugħ, ma tirċievix l-informazzjoni kollha meħtieġa fit-tweġiba.
Hawn hu eżempju ta’ tweġiba għal mistoqsija fejn ma nstabitx id-dejta kollha meħtieġa
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Oqgħod attent għall-għelieqi kodiċi и tikketta. Dawn l-oqsma jidhru tliet darbiet fid-dizzjunarji tal-istatus. L-ewwel naraw iċ-ċavetta globali "kodiċi": 1006 u "tikketta": "PARTIALLY_FOUND". Sussegwentement, dawn iċ-ċwievet jinstabu għal kull komponent individwali li tlabna - te u estrazzjoni. U jekk għal te huwa ċar li d-dejta nstabet, allura għall-estrazzjoni m'hemm l-ebda informazzjoni.
Dan huwa kif dehret il-mistoqsija għall-eżempju ta 'hawn fuq
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Jekk tibgħat talba għal mistoqsija mingħajr il-komponent ta 'estrazzjoni
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Imbagħad it-tweġiba se jkun fiha informazzjoni sħiħa (“kodiċi”: 1001, “tikketta”: “MISSAB”)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Jekk ma jkun hemm l-ebda informazzjoni fil-cache, allura r-rispons se jkun "tikketta": "NOT_FOUND"
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}F'sejħa API waħda, tista 'tibgħat diversi ammonti ta' hash f'daqqa għall-verifika. Ir-risposta se tirritorna d-dejta fl-istess ordni kif intbagħtet fit-talba.
Eżempju ta' talba ta' mistoqsija b'diversi ammonti sha256
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}Tweġiba għal mistoqsija b'ammonti sha256 multipli
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}It-talba għal diversi somom hash f'daqqa f'talba għal mistoqsija se jkollha wkoll effett ta 'benefiċċju fuq il-prestazzjoni tas-server tal-API.
Niżżel is-sejħa API
Metodu użat − POST (skont id-dokumentazzjoni), IKOLLOK jaħdem ukoll (u jista' jidher aktar loġiku)
Indirizz tas-sejħa - https:///tecloud/api/v1/file/download?id=
L-intestatura teħtieġ li tgħaddi ċ-ċavetta API, il-korp tat-talba huwa vojt, l-id tat-tniżżil jgħaddi fl-indirizz url.
Bi tweġiba għal talba għal mistoqsija, jekk l-emulazzjoni titlesta u r-rapporti ġew mitluba meta tniżżel il-fajl, l-id għat-tniżżil tar-rapporti tkun viżibbli. Jekk tintalab kopja mnaddfa, għandek tfittex l-id biex tniżżel id-dokument imnaddaf.
B'kollox, iċ-ċwievet fir-rispons għall-mistoqsija li fiha l-valur id għat-tagħbija jistgħu jkunu:
-
rapport_sommarju
-
full_report
-
pdf_rapport
-
xml_report
-
extracted_file_download_id
Naturalment, sabiex tirċievi dawn iċ-ċwievet bi tweġiba għat-talba tal-mistoqsija, għandhom jiġu speċifikati fit-talba (għal rapporti) jew ftakar li tagħmel talba billi tuża l-funzjoni ta 'estrazzjoni (għal dokumenti mnaddfa)
Sejħa API tal-kwota
Metodu użat − POST
Indirizz tas-sejħa - https:///tecloud/api/v1/file/quota
Biex tiċċekkja l-kwota li fadal fil-cloud, uża l-mistoqsija dwar il-kwota. Il-korp tat-talba huwa vojt.
Eżempju ta' tweġiba għal talba ta' kwota
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}Threat Prevention API għal Security Gateway
Din l-API ġiet żviluppata qabel l-API tal-Prevenzjoni tat-Theddid u hija maħsuba biss għal tagħmir lokali. Għalissa jista 'jkun utli biss jekk għandek bżonn l-API Threat Extraction. Għall-Emulazzjoni tat-Theddid huwa aħjar li tuża l-API regolari tal-Prevenzjoni tat-Theddid. Biex tixgħel TP API għal SG u kkonfigurat iċ-ċavetta API li għandek bżonn issegwi l-passi minn . Nirrakkomanda li tagħti attenzjoni għall-pass 6b u tiċċekkja l-aċċessibilità tal-paġna https://<IPAddressofSecurityGateway>/UserCheck/TPAPI għaliex f'każ ta 'riżultat negattiv, konfigurazzjoni ulterjuri ma tagħmilx sens. Is-sejħiet kollha tal-API se jintbagħtu lil din l-url. It-tip ta' sejħa (upload/query) huwa rregolat fil-buttuna tal-korp tas-sejħa − isem_talba. Huma meħtieġa wkoll ċwievet - api_key (jeħtieġ li tiftakarha waqt il-proċess tal-konfigurazzjoni) u protocol_version (bħalissa l-verżjoni attwali hija 1.1). Tista' ssib id-dokumentazzjoni uffiċjali għal din l-API fuq . Vantaġġi relattivi jinkludu l-abbiltà li jintbagħtu diversi fajls f'daqqa għall-emulazzjoni meta tgħabbihom, peress li l-fajls jintbagħtu bħala string ta 'test base64. Biex tikkodifika/dekodifika fajls għal/minn base64 tista' tuża konvertitur onlajn f'Postiera għal skopijiet ta' dimostrazzjoni, pereżempju - . Għal skopijiet prattiċi, għandek tuża l-metodi ta 'kodifikazzjoni u dekodifikazzjoni integrati meta tikteb il-kodiċi.
Issa ejja nagħtu ħarsa aktar mill-qrib lejn il-funzjonijiet te и estrazzjoni f'dan l-API.
Għall-komponent te dizzjunarju ipprovdut te_options fit-talbiet għall-upload/query, u ċ-ċwievet f'din it-talba jikkoinċidu kompletament mat-te keys in .
Eżempju ta' talba għall-emulazzjoni tal-fajl f'Win10 b'rapporti
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}Għall-komponent estrazzjoni dizzjunarju ipprovdut scrub_options. Din it-talba tispeċifika l-metodu tat-tindif: ikkonverti għal PDF, ċara kontenut attiv, jew agħżel modalità skont il-profil Prevenzjoni tat-Theddid (l-isem tal-profil huwa indikat). Il-ħaġa kbira li tirreaġixxi għal talba tal-API tal-estrazzjoni għal fajl hija li tikseb kopja mnaddfa fir-rispons għal dik it-talba bħala string encrypted base64 (m'għandekx bżonn tagħmel talba għal mistoqsija u tfittex l-id biex tniżżel il- dokument)
Eżempju ta' talba biex jitneħħa fajl
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}Tweġiba għal talba
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
} Minkejja l-fatt li huma meħtieġa inqas talbiet għall-API biex tinkiseb kopja approvata, insib din l-għażla inqas preferibbli u konvenjenti mit-talba tad-dejta tal-formola użata f’ .
Kollezzjonijiet Puttinier
Ħloqt kollezzjonijiet f'Postiera kemm għall-API tal-Prevenzjoni tat-Theddid kif ukoll għall-API tal-Prevenzjoni tat-Theddid għal Gateway tas-Sigurtà, li jirrappreżentaw l-aktar talbiet komuni tal-API. Sabiex is-server ip/url API u ċ-ċavetta jiġu sostitwiti awtomatikament fit-talbiet, u l-ammont tal-hash sha256 jiġi mfakkar wara li tniżżel il-fajl, inħolqu tliet varjabbli ġewwa l-kollezzjonijiet (tista 'ssibhom billi tmur fis-settings tal-ġbir Edit -> Varjabbli): te_api (meħtieġa), api_key (meħtieġ li timtela, ħlief meta tuża TP API b'apparat lokali), sha256 (ħalli vojt, mhux użat fit-TP API għal SG).
Eżempji dwar l-Użu
Fil-komunità skripts miktuba f'Python huma ppreżentati li jivverifikaw fajls mid-direttorju mixtieq permezz U . Permezz tal-interazzjoni mal-API tal-Prevenzjoni tat-Theddid, il-ħila tiegħek li tiskennja l-fajls hija estiża b'mod sinifikanti, peress li issa tista' tiskennja fajls f'diversi pjattaformi f'daqqa (iċċekkja , u mbagħad fil-kaxxa tar-ramel Check Point), u tirċievi fajls mhux biss mit-traffiku tan-netwerk, iżda wkoll teħodhom minn kwalunkwe drives tan-netwerk u, pereżempju, sistemi CRM.
Sors: www.habr.com