هي مضمون انهن لاء مفيد ٿيندو جيڪي ٽيڪنالاجي سان واقف آهن چيڪ واري پوائنٽ فائل ايموليشن ذريعي (ڌمڪيون ايموليشن) ۽ فعال فائل صفائي (خطرو ڪڍڻ) ۽ انهن ڪمن کي خودڪار ڪرڻ لاء هڪ قدم کڻڻ چاهي ٿو. چيڪ پوائنٽ آهي ، جيڪو ڪلائوڊ ۽ مقامي ڊوائيسز تي هلندو آهي، ۽ فنڪشنل طور تي ويب/smtp/ftp/smb/nfs ٽريفڪ اسٽريمز ۾ فائلن کي چيڪ ڪرڻ جي برابر آهي. هي آرٽيڪل جزوي طور تي مصنف جي سرڪاري دستاويزن مان آرٽيڪلز جي هڪ سيٽ جي تشريح آهي، پر منهنجي پنهنجي آپريٽنگ تجربي ۽ منهنجي پنهنجي مثالن تي ٻڌل آهي. مضمون ۾ پڻ توهان ڳوليندا ليکڪ جو پوسٽمن مجموعو ڪم ڪرڻ لاءِ خطري جي روڪٿام API.
بنيادي مخففات
The Threat Prevention API ٽن مکيه حصن سان ڪم ڪري ٿو، جن کي API ۾ هيٺين ٽيڪسٽ ويلز ذريعي سڏيو وڃي ٿو:
av - اينٽي وائرس جزو، ڄاڻايل خطرن جي دستخطي تجزيو لاء ذميوار.
te - Threat Emulation جزو، سينڊ باڪس ۾ فائلن کي چيڪ ڪرڻ جو ذميوار، ۽ ايموليشن کان پوءِ بدسلوڪي/بدڪاري وارو فيصلو.
ڪڻ - Threat Extraction جزو، آفيسرن جي دستاويزن کي جلدي طور تي محفوظ فارم ۾ تبديل ڪرڻ جو ذميوار (جنهن ۾ تمام امڪاني طور تي خراب مواد هٽايو ويو آهي)، انهن کي جلدي صارفين/سسٽم تائين پهچائڻ لاءِ.
API جي جوڙجڪ ۽ مکيه حدون
خطري جي روڪٿام API صرف 4 درخواستون استعمال ڪري ٿو - اپلوڊ، سوال، ڊائون لوڊ ۽ ڪوٽا. سڀني چئن درخواستن لاءِ هيڊر ۾ توهان کي پيراميٽر استعمال ڪندي API ڪيئي پاس ڪرڻ جي ضرورت آهي اختيار ڏيڻ. پهرين نظر ۾، ساخت جي ڀيٽ ۾ تمام سادو لڳي سگھي ٿو ، پر اپلوڊ ۽ سوالن جي درخواستن ۾ فيلڊن جو تعداد ۽ انھن درخواستن جي جوڙجڪ ڪافي پيچيده آھي. اهي ڪارڪردگي طور تي گيٽ وي / سينڊ باڪس سيڪيورٽي پاليسي ۾ خطري جي روڪٿام جي پروفائيل جي مقابلي ۾ ٿي سگهن ٿيون.
هن وقت، خطري جي روڪٿام API جو واحد نسخو جاري ڪيو ويو آهي - 1.0؛ API ڪالن لاءِ URL ۾ شامل ٿيڻ گهرجي v1 حصي ۾ جتي توهان کي ورزن جي وضاحت ڪرڻ جي ضرورت آهي. مينيجمينٽ API جي برعڪس، اهو ضروري آهي ته URL ۾ API ورزن کي ظاهر ڪيو وڃي، ٻي صورت ۾ درخواست تي عمل نه ڪيو ويندو.
اينٽي وائرس جزو، جڏهن ٻين اجزاء کان سواء سڏيو ويندو آهي (te، extraction)، في الحال صرف md5 hash sums سان سوالن جي درخواستن کي سپورٽ ڪري ٿو. Threat Emulation ۽ Threat Extraction پڻ sha1 ۽ sha256 hash sums کي سپورٽ ڪري ٿو.
اهو تمام ضروري آهي ته سوالن ۾ غلطي نه ڪريو! درخواست تي عمل ڪري سگھجي ٿو بغير غلطي، پر مڪمل طور تي نه. ٿورو اڳتي ڏسندي، اچو ته ڏسون ته ڇا ٿي سگھي ٿو جڏهن سوالن ۾ غلطيون/ ٽائيپون ٿين ٿيون.
رپورٽن (رپورٽ) لفظ سان ٽائپو سان درخواست ڪريو
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}جواب ۾ ڪا به غلطي نه ٿيندي، پر رپورٽن جي باري ۾ ڪا به ڄاڻ نه هوندي
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}پر رپورٽن جي چيڪ ۾ ٽائپو کان سواءِ درخواست لاءِ
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}اسان کي هڪ جواب ملي ٿو جنهن ۾ اڳ ۾ ئي رپورٽون ڊائون لوڊ ڪرڻ لاءِ آئي ڊي شامل آهي
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}جيڪڏهن اسان هڪ غلط / ختم ٿيل API چيڪ موڪليندا آهيون، اسان کي جواب ۾ 403 غلطي ملندي.
SandBlast API: بادل ۾ ۽ مقامي ڊوائيسز تي
API درخواستون موڪلي سگھجن ٿيون چيڪ پوائنٽ ڊوائيسز تي جن ۾ Threat Emulation component (بليڊ) فعال ٿيل آهي. درخواستن لاءِ ايڊريس جي طور تي، توھان کي ڊيوائس جو ip/url ۽ پورٽ 18194 استعمال ڪرڻو پوندو (مثال طور، https://10.10.57.19:18194/tecloud/api/v1/file/query). توهان کي پڻ پڪ ڪرڻ گهرجي ته ڊوائيس تي سيڪيورٽي پاليسي اهڙي ڪنيڪشن جي اجازت ڏئي ٿي. ڊفالٽ طور مقامي ڊوائيسز تي API جي ذريعي اختيار بند ۽ درخواست جي هيڊرن ۾ اختيار ڪرڻ واري ڪيچي شايد موڪلي نه ٿي سگهي.
API جي درخواستن کي چيڪ پوائنٽ بادل ڏانهن موڪليو وڃي te.checkpoint.com (مثال طور - https://te.checkpoint.com/tecloud/api/v1/file/query). API چيڪ حاصل ڪري سگھجي ٿو 60 ڏينهن لاءِ آزمائشي لائسنس جي طور تي چيڪ پوائنٽ ڀائيوارن يا ڪمپني جي مقامي آفيس سان رابطو ڪندي.
مقامي ڊوائيسز تي، Threat Extraction اڃا تائين معياري طور تي سپورٽ نه ڪئي وئي آهي. ۽ استعمال ڪرڻ گهرجي (اسين مضمون جي آخر ۾ ان بابت وڌيڪ تفصيل سان ڳالهائينداسين).
مقامي ڊوائيس ڪوٽا جي درخواست جي حمايت نٿا ڪن.
ٻي صورت ۾، مقامي ڊوائيسز ۽ بادل جي درخواستن جي وچ ۾ ڪوبه فرق ناهي.
اپلوڊ API ڪال
استعمال ٿيل طريقو - پوسٽ
ڪال ايڊريس - https:///tecloud/api/v1/file/upload
درخواست ٻن حصن تي مشتمل آهي (فارم-ڊيٽا): هڪ فائل جنهن جو مقصد ايموليشن/صاف ڪرڻ ۽ هڪ درخواست جو جسم متن سان.
متن جي درخواست خالي نه ٿي سگھي، پر ان ۾ ڪا به ترتيب نه ٿي سگھي. درخواست جي ڪامياب ٿيڻ لاءِ، توھان کي درخواست ۾ گھٽ ۾ گھٽ ھيٺ ڏنل متن موڪلڻ گھرجي.
اپلوڊ جي درخواست لاءِ گھٽ ۾ گھٽ گهربل
HTTP پوسٽ
https:///tecloud/api/v1/file/upload
هيڊر:
اختيار ڏيڻ:
جسم
{
"درخواست": {
}
}
عڪس
عڪس
انهي صورت ۾، فائل تي عمل ڪيو ويندو ڊفالٽ پيٽرولر جي مطابق: component - te, OS تصويرون - Win XP ۽ Win 7, بغير رپورٽ ٺاهي.
متن جي درخواست ۾ مکيه شعبن تي تبصرا:
فائل_ نالو и file_type توھان انھن کي خالي ڇڏي سگھو ٿا يا انھن کي ڪڏھن بہ نہ موڪلي سگھو ٿا، ڇو ته ھي ڪا خاص مفيد معلومات نه آھي جڏھن فائل اپلوڊ ڪيو وڃي. API جي جواب ۾، اهي فيلڊ پاڻمرادو ڀريا ويندا ڊائون لوڊ ڪيل فائل جي نالي جي بنياد تي، ۽ ڪيش ۾ معلومات اڃا تائين md5/sha1/sha256 هيش مقدار استعمال ڪندي ڳولڻي پوندي.
مثال جي درخواست خالي فائل_نام ۽ فائل_ٽائپ سان
{
"request": {
"file_name": "",
"file_type": "",
}
}مضمونن جي - ھڪڙي فهرست جيڪا اشارو ڪري ٿي ضروري ڪارڪردگي جڏھن سينڊ باڪس ۾ پروسيسنگ - av (اينٽي وائرس)، te (خطرو ايموليشن)، ڪڍڻ (خطرو ڪڍڻ). جيڪڏهن هي پيٽرول مڪمل طور تي منظور نه ڪيو ويو آهي، ته صرف ڊفالٽ جزو استعمال ڪيو ويندو - te (خطرو ايموليشن).
ٽن دستياب حصن ۾ چيڪ ڪرڻ کي فعال ڪرڻ لاء، توهان کي API جي درخواست ۾ انهن اجزاء کي بيان ڪرڻ جي ضرورت آهي.
av، te ۽ extract ۾ چيڪ ڪرڻ سان گڏ درخواست جو مثال
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}ٽي سيڪشن ۾ چاٻيون
تصويرون - هڪ فهرست جنهن ۾ لغتن تي مشتمل id ۽ آپريٽنگ سسٽم جي نظرثاني نمبر جنهن ۾ چيڪ ڪيو ويندو. IDs ۽ نظرثاني نمبر سڀني مقامي ڊوائيسز ۽ ڪلائوڊ لاءِ ساڳيا آھن.
آپريٽنگ سسٽم ۽ ترميمن جي فهرست
موجود OS تصويري ID
نظرثاني
تصوير OS ۽ ايپليڪيشن
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
Microsoft جي ونڊوز: XP - 32bit SP3
آفيس: 2003، 2007
ايڊوب ايڪوروٽ ريڊر: 9.0
فليش پليئر 9r115 ۽ چيڪڪس 10.0
جاوا رن ٽائم: 1.6.0ه 22
7e6fe36e-889e-4c25-8704-56378f0830df
1
Microsoft جي ونڊوز: 7 - 32 بٽ
آفيس: 2003، 2007
ايڊوب ايڪوروٽ ريڊر: 9.0
فليش پليئر: 10.2r152 (پلگ ان& چيڪڪس)
جاوا رن ٽائم: 1.6.0ه 0
8d188031-1010-4466-828b-0cd13d4303ff
1
Microsoft جي ونڊوز: 7 - 32 بٽ
آفيس: 2010
ايڊوب ايڪوروٽ ريڊر: 9.4
فليش پليئر: 11.0.1.152 (پلگ ان & چيڪڪس)
جاوا رن ٽائم: 1.7.0ه 0
5e5de275-a103-4f67-b55b-47532918fa59
1
Microsoft جي ونڊوز: 7 - 32 بٽ
آفيس: 2013
ايڊوب ايڪوروٽ ريڊر: 11.0
فليش پليئر: 15 (پلگ ان & چيڪڪس)
جاوا رن ٽائم: 1.7.0ه 9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
Microsoft جي ونڊوز: 7 - 64 بٽ
آفيس: 2013 (32 بٽ)
ايڊوب ايڪوروٽ ريڊر: 11.0.01
فليش پليئر: 13 (پلگ ان & چيڪڪس)
جاوا رن ٽائم: 1.7.0ه 9
6c453c9b-20f7-471a-956c-3198a868dc92
1
Microsoft جي ونڊوز: 8.1 - 64 بٽ
آفيس: 2013 (64 بٽ)
ايڊوب ايڪوروٽ ريڊر: 11.0.10
فليش پليئر: 18.0.0.160 (پلگ ان & چيڪڪس)
جاوا رن ٽائم: 1.7.0ه 9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
Microsoft جي ونڊوز: 10
آفيس: پروفيشنل پلس 2016 en-us
ايڊوب ايڪوروٽ ريڊر: ڊي سي 2015 MUI
فليش پليئر: 20 (پلگ ان & چيڪڪس)
جاوا رن ٽائم: 1.7.0ه 9
جيڪڏهن تصويرن جي ڪنجي بلڪل بيان نه ڪئي وئي آهي، ته پوء ايموليشن انهن تصويرن ۾ ٿيندي جيڪا چيڪ پوائنٽ طرفان سفارش ڪئي وئي آهي (في الحال Win XP ۽ Win 7). اهي تصويرون تجويز ڪيل آهن ڪارڪردگي جي بهترين توازن ۽ پڪڙڻ جي شرح جي بنياد تي.
رپورٽ - رپورٽن جي هڪ فهرست جيڪا اسان درخواست ڪريون ٿا ان صورت ۾ جيڪڏهن فائل خراب ٿي وڃي. ھيٺ ڏنل اختيارن موجود آھن:
-
خلاصو - .tar.gz آرڪائيو جنهن ۾ ايموليشن تي رپورٽ شامل آهي سڀني لاء درخواست ٿيل تصويرون (ٻنهي هڪ html صفحو ۽ اجزاء جهڙوڪ ايموليٽر OS کان هڪ وڊيو، هڪ نيٽ ورڪ ٽرئفڪ ڊمپ، json ۾ هڪ رپورٽ، ۽ نموني پاڻ کي پاسورڊ محفوظ ٿيل آرڪائيو ۾). اسان جواب ۾ ڪنجي ڳولي رهيا آهيون - خلاصو_رپورٽ رپورٽ جي بعد ۾ ڊائون لوڊ ڪرڻ لاء.
-
PDF - ۾ ايموليشن بابت دستاويز هڪ تصوير، جنهن جا ڪيترائي اسمارٽ ڪنسول ذريعي حاصل ڪرڻ جا عادي آهن. اسان جواب ۾ ڪنجي ڳولي رهيا آهيون - pdf_report رپورٽ جي بعد ۾ ڊائون لوڊ ڪرڻ لاء.
-
كل - ۾ ايموليشن بابت دستاويز هڪ تصوير، رپورٽ ۾ پيرا ميٽرز جي بعد ۾ پارس ڪرڻ لاءِ آسان. اسان جواب ۾ ڪنجي ڳولي رهيا آهيون - xml_report رپورٽ جي بعد ۾ ڊائون لوڊ ڪرڻ لاء.
-
ٽر - .tar.gz آرڪائيو جنهن ۾ ايموليشن تي رپورٽ شامل آهي هڪ درخواست ٿيل تصويرون (ٻنهي هڪ html صفحو ۽ اجزاء جهڙوڪ ايموليٽر OS کان هڪ وڊيو، هڪ نيٽ ورڪ ٽرئفڪ ڊمپ، json ۾ هڪ رپورٽ، ۽ نموني پاڻ کي پاسورڊ محفوظ ٿيل آرڪائيو ۾). اسان جواب ۾ ڪنجي ڳولي رهيا آهيون - مڪمل_رپورٽ رپورٽ جي بعد ۾ ڊائون لوڊ ڪرڻ لاء.
خلاصو رپورٽ اندر ڇا آهي
چابيون full_report, pdf_report, xml_report ھر OS لاءِ ڊڪشنري ۾ آھن
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}پر summary_report key - اتي ھڪڙو آھي عام طور تي ايموليشن لاءِ
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}توھان درخواست ڪري سگھو ٿا tar ۽ xml ۽ pdf رپورٽون ساڳئي وقت، توھان درخواست ڪري سگھو ٿا خلاصو ۽ ٽار ۽ xml. اهو ممڪن ناهي ته هڪ ئي وقت ۾ هڪ خلاصو رپورٽ ۽ هڪ پي ڊي ايف جي درخواست ڪرڻ.
ڪڍڻ واري حصي ۾ ڪنجيون
خطري کي ڪڍڻ لاء، صرف ٻه چاٻيون استعمال ٿيل آهن:
طريقو - پي ڊي ايف (پي ڊي ايف ۾ تبديل ڪريو، ڊفالٽ طرفان استعمال ٿيل) يا صاف (فعال مواد کي صاف ڪرڻ).
extracted_parts_codes - فعال مواد کي هٽائڻ لاء ڪوڊ جي فهرست، صرف صاف طريقي لاء لاڳو ٿئي ٿو
فائلن مان مواد کي هٽائڻ لاء ڪوڊ
ڪوڊ
وضاحت
1025
ڳنڍيل شيون
1026
ميڪروس ۽ ڪوڊ
1034
حساس هائپر لنڪس
1137
PDF GoToR عمل
1139
PDF لانچ عمل
1141
PDF URI عمل
1142
PDF صوتي عمل
1143
PDF فلم ايڪشن
1150
PDF جاوا اسڪرپٽ ايڪشن
1151
پي ڊي ايف جمع ڪرايو فارم عمل
1018
ڊيٽابيس جا سوال
1019
شامل ڪيل شيون
1021
فاسٽ محفوظ ڊيٽا
1017
ڪسٽم پراپرٽيز
1036
شمارياتي ملڪيت
1037
خلاصو ملڪيت
هڪ صاف ٿيل ڪاپي ڊائون لوڊ ڪرڻ لاءِ، توهان کي ڪجهه سيڪنڊن کان پوءِ سوال جي درخواست ڪرڻي پوندي (جنهن تي هيٺ بحث ڪيو ويندو)، فائل جي هيش رقم ۽ درخواست جي متن ۾ خارج ڪرڻ وارو حصو بيان ڪندي. توھان سوال جي جواب مان id استعمال ڪندي صاف ٿيل فائل وٺي سگھو ٿا - extracted_file_download_id. هڪ دفعو ٻيهر، ٿورو اڳتي ڏسندي، مان هڪ درخواست جا مثال ڏيان ٿو ۽ هڪ صاف ٿيل دستاويز کي ڊائون لوڊ ڪرڻ لاءِ آئي ڊي ڳولڻ لاءِ سوال جواب.
extracted_file_download_id جي ڳولا لاءِ سوال جي درخواست
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}سوال جو جواب (extracted_file_download_id key لاءِ ڏسو)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}عام ڄاڻ
هڪ API ڪال ۾، توهان تصديق لاءِ صرف هڪ فائل موڪلي سگهو ٿا.
av جزو کي چاٻين سان اضافي حصي جي ضرورت نه آھي، اھو ڪافي آھي ان کي لغت ۾ بيان ڪرڻ لاءِ مضمونن جي.
سوال API ڪال
استعمال ٿيل طريقو - پوسٽ
ڪال ايڊريس - https:///tecloud/api/v1/file/query
ڊائون لوڊ لاءِ فائل موڪلڻ کان اڳ (اپلوڊ جي درخواست)، اهو مشورو ڏنو ويو آهي ته سينڊ باڪس ڪيش چيڪ ڪريو (سوال جي درخواست) API سرور تي لوڊ کي بهتر ڪرڻ لاءِ، ڇاڪاڻ ته API سرور وٽ اڳ ۾ ئي معلومات ۽ ڊائون لوڊ ٿيل فائل تي فيصلو ٿي سگهي ٿو. ڪال صرف هڪ ٽيڪسٽ حصو تي مشتمل آهي. درخواست جو گهربل حصو فائل جي sha1/sha256/md5 hash رقم آهي. رستي جي ذريعي، توهان اپلوڊ جي درخواست جي جواب ۾ حاصل ڪري سگهو ٿا.
سوال لاءِ گھٽ ۾ گھٽ گهربل
HTTP پوسٽ
https:///tecloud/api/v1/file/query
هيڊر:
اختيار ڏيڻ:
جسم
{
"درخواست": {
"sha256":
}
}
اپلوڊ جي درخواست جي جواب جو هڪ مثال، جتي sha1/md5/sha256 hash مقدارون نظر اچن ٿيون
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}سوال جي درخواست، هيش جي رقم کان علاوه، مثالي طور تي ساڳيو هجڻ گهرجي جيئن اپلوڊ جي درخواست هئي (يا ٿيڻ جي منصوبابندي ڪئي وئي آهي)، يا اڃا به "اڳ ۾ ئي" (اپلوڊ جي درخواست جي ڀيٽ ۾ سوال جي درخواست ۾ گهٽ فيلڊ شامل آهن). ان صورت ۾ جتي سوال جي درخواست ۾ اپلوڊ جي درخواست کان وڌيڪ فيلڊ شامل آهن، توهان جواب ۾ سڀ گهربل معلومات حاصل نه ڪندا.
هتي هڪ سوال جي جواب جو هڪ مثال آهي جتي سڀ گهربل ڊيٽا نه ملي هئي
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}شعبن تي ڌيان ڏيو ڪوڊ и سلفي. اهي فيلڊ اسٽيٽس ڊڪشنري ۾ ٽي ڀيرا ظاهر ٿيندا آهن. پهرين اسان ڏسون ٿا عالمي ڪيئي ”ڪوڊ“: 1006 ۽ ”ليبل“: ”PARTIALLY_FOUND“. اڳيون، اهي چيڪ مليا آهن هر هڪ انفرادي جزو لاءِ جنهن جي اسان درخواست ڪئي آهي - te ۽ ڪڍڻ. ۽ جيڪڏھن توھان لاءِ اھو واضح آھي ته ڊيٽا ملي وئي آھي، پوءِ ڪڍڻ لاءِ ڪا ڄاڻ نه آھي.
اھو اھو آھي جيڪو سوال مٿي ڏنل مثال لاءِ نظر آيو
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}جيڪڏهن توهان هڪ سوال جي درخواست موڪليندا آهيو بغير اضافي اجزاء جي
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}پوءِ جواب مڪمل معلومات تي مشتمل هوندو ("ڪوڊ": 1001، "ليبل": "ملا")
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}جيڪڏهن ڪيش ۾ ڪا به ڄاڻ ناهي ته پوءِ جواب هوندو ”ليبل“: “NOT_FOUND”
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}هڪ API ڪال ۾، توهان موڪلي سگهو ٿا ڪيترن ئي هيش رقم هڪ ڀيرو تصديق لاءِ. جواب ساڳئي ترتيب ۾ ڊيٽا واپس ڪندو جيئن اها درخواست ۾ موڪلي وئي هئي.
ڪيترن ئي sha256 مقدار سان سوال جي درخواست جو مثال
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}ڪيترن ئي sha256 مقدار سان سوال جو جواب
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}هڪ سوال جي درخواست ۾ هڪ ئي وقت ڪيترن ئي هيش سمس جي درخواست ڪرڻ سان پڻ API سرور جي ڪارڪردگي تي فائدي وارو اثر پوندو.
ڊائون لوڊ ڪريو API ڪال
استعمال ٿيل طريقو - پوسٽ (دستاويزن جي مطابق) GET پڻ ڪم ڪري ٿو (۽ لڳي سگھي ٿو وڌيڪ منطقي)
ڪال ايڊريس - https:///tecloud/api/v1/file/download؟id=
هيڊر کي منظور ٿيڻ لاءِ API چاٻي جي ضرورت آهي، درخواست جو باڊي خالي آهي، ڊائون لوڊ id URL پتي ۾ گذري وئي آهي.
هڪ سوال جي درخواست جي جواب ۾، جيڪڏهن ايموليشن مڪمل ٿي وئي آهي ۽ فائل ڊائون لوڊ ڪرڻ وقت رپورٽون طلب ڪيون ويون آهن، رپورٽون ڊائون لوڊ ڪرڻ لاءِ آئي ڊي نظر ايندي. جيڪڏهن هڪ صاف ٿيل ڪاپي جي درخواست ڪئي وئي آهي، توهان کي صاف ٿيل دستاويز کي ڊائون لوڊ ڪرڻ لاء id ڳولڻ گهرجي.
مجموعي طور تي، سوال جي جواب ۾ ڪنجيون لوڊ ڪرڻ لاءِ id جي قيمت تي مشتمل ٿي سگھن ٿيون:
-
خلاصو_رپورٽ
-
مڪمل_رپورٽ
-
pdf_report
-
xml_report
-
extracted_file_download_id
يقينن، سوال جي درخواست جي جواب ۾ اهي چابيون حاصل ڪرڻ لاء، انهن کي درخواست ۾ بيان ڪيو وڃي (رپورٽز لاء) يا ياد رکڻ گهرجي ته هڪ درخواست ڪرڻ لاء ايڪسٽريشن فنڪشن استعمال ڪندي (صاف دستاويزن لاء)
ڪوٽا API ڪال
استعمال ٿيل طريقو - پوسٽ
ڪال ايڊريس - https:///tecloud/api/v1/file/quota
بادل ۾ باقي ڪوٽا چيڪ ڪرڻ لاء، ڪوٽا سوال استعمال ڪريو. درخواست جو جسم خالي آهي.
ڪوٽا جي درخواست جو مثال جواب
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}سيڪيورٽي گيٽ وي لاءِ خطري جي روڪٿام API
هي API ترقي ڪئي وئي اڳي خطري جي روڪٿام API ۽ مقصد صرف مقامي ڊوائيسز لاء. ھاڻي اھو صرف مفيد ٿي سگھي ٿو جيڪڏھن توھان کي ضرورت آھي Threat Extraction API. Threat Emulation لاءِ اهو بهتر آهي ته باقاعده خطري جي روڪٿام API کي استعمال ڪيو وڃي. چالو ڪرڻ TP API SG لاءِ ۽ API ڪنجي کي ترتيب ڏيو جنهن جي توهان کي ضرورت آهي قدمن جي پيروي ڪرڻ لاءِ . آئون قدم 6b تي ڌيان ڏيڻ جي صلاح ڏيان ٿو ۽ صفحي جي رسائي جي جانچ ڪريان ٿو https://<IPAddressofSecurityGateway>/UserCheck/TPAPI ڇاڪاڻ ته هڪ منفي نتيجو جي صورت ۾، وڌيڪ ترتيب ڏيڻ جو مطلب ناهي. سڀ API ڪالز هن url ڏانهن موڪليا ويندا. ڪال جي قسم (اپلوڊ/سوال) کي ڪال باڊي ڪيئي - ۾ منظم ڪيو ويندو آهي درخواست_نالو. پڻ گهربل ڪنجيون آھن - api_key (توهان کي ان کي ترتيب ڏيڻ جي عمل دوران ياد رکڻ جي ضرورت آهي) ۽ protocol_version (في الحال موجوده نسخو 1.1 آهي). توھان ھن API لاءِ سرڪاري دستاويز ڳولي سگھو ٿا . لاڳاپا فائدن ۾ شامل آهن ڪيترن ئي فائلن کي ايموليشن لاءِ هڪ ئي وقت موڪلڻ جي صلاحيت جڏهن انهن کي لوڊ ڪندي، ڇاڪاڻ ته فائلون بيس 64 ٽيڪسٽ اسٽرنگ طور موڪليا ويندا آهن. انڪوڊ/ڊيڪوڊ ڪرڻ لاءِ فائلن کي بيس 64 کان/ کان وٺي توهان پوسٽ مين ۾ آن لائن ڪنورٽر استعمال ڪري سگهو ٿا مظاهري جي مقصدن لاءِ، مثال طور - . عملي مقصدن لاءِ، توھان کي استعمال ڪرڻ گھرجي بلٽ ان ڪوڊ ۽ ڊيڪوڊ طريقا استعمال ڪريو جڏھن ڪوڊ لکڻ.
هاڻي اچو ته ڪمن تي هڪ ويجهي نظر رکون te и ڪڻ هن API ۾.
اجزاء لاء te لغت مهيا ڪئي وئي te_options اپلوڊ/سوال جي درخواستن ۾، ۽ هن درخواست ۾ ڪنجيون مڪمل طور تي te چاٻين سان ملن ٿيون .
Win10 ۾ فائل ايموليشن لاءِ مثال جي درخواست رپورٽن سان
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}اجزاء لاء ڪڻ لغت مهيا ڪئي وئي scrub_options. هي درخواست صفائي جو طريقو بيان ڪري ٿو: PDF ۾ تبديل ڪريو، فعال مواد صاف ڪريو، يا خطري جي روڪٿام جي پروفائل جي مطابق موڊ چونڊيو (پروفائل جو نالو اشارو ڪيو ويو آھي). فائل لاءِ ايڪسٽريشن API جي درخواست جو جواب ڏيڻ بابت وڏي شيءِ اها آهي ته توهان ان درخواست جي جواب ۾ هڪ صاف ڪاپي حاصل ڪريو هڪ بيس 64 انڪرپٽ ٿيل اسٽرنگ جي طور تي (توهان کي سوال جي درخواست ڪرڻ جي ضرورت ناهي ۽ ڊائون لوڊ ڪرڻ لاءِ آئي ڊي ڏسڻ جي ضرورت ناهي. دستاويز)
فائل کي صاف ڪرڻ جي درخواست جو مثال
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}هڪ درخواست جو جواب ڏيو
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
} ان حقيقت جي باوجود ته صاف ٿيل ڪاپي حاصل ڪرڻ لاءِ گهٽ API درخواستون گهربل هونديون آهن، مون کي هن آپشن کي استعمال ٿيل فارم-ڊيٽا درخواست جي ڀيٽ ۾ گهٽ ترجيح ۽ آسان لڳي ٿو. .
پوسٽمن جو مجموعو
مون پوسٽ مين ۾ مجموعا ٺاهيا آهن ٻنهي لاءِ خطري جي روڪٿام API ۽ خطري جي روڪٿام API لاءِ سيڪيورٽي گيٽ وي، جيڪي سڀ کان وڌيڪ عام API درخواستن جي نمائندگي ڪن ٿا. سرور لاءِ ip/url API ۽ ڪي کي خودڪار طريقي سان درخواستن ۾ تبديل ڪيو وڃي، ۽ فائل ڊائون لوڊ ڪرڻ کان پوءِ ياد رکڻ لاءِ sha256 hash رقم، ڪليڪشن جي اندر ٽي ويريئبل ٺاهيا ويا آهن (توهان انهن کي ڪليڪشن سيٽنگ ۾ وڃي ڳولي سگهو ٿا. تبديل ڪريو -> متغيرات): te_api (گهربل), api_key (گهرڻ جي ضرورت آهي، سواءِ جڏهن مقامي ڊوائيسز سان TP API استعمال ڪندي), sha256 (خالي ڇڏي، TP API ۾ SG لاءِ استعمال نه ڪيو ويو).
استعمال جون مثالون
ڪميونٽي ۾ Python ۾ لکيل اسڪرپٽ پيش ڪيا ويا آهن جيڪي فائلن کي گهربل ڊاريڪٽري ذريعي چيڪ ڪريو ، ۽ . خطري جي روڪٿام API سان رابطي جي ذريعي، توهان جي فائلن کي اسڪين ڪرڻ جي صلاحيت تمام گهڻو وڌايو ويو آهي، ڇاڪاڻ ته هاڻي توهان ڪيترن ئي پليٽ فارمن ۾ فائلن کي اسڪين ڪري سگهو ٿا (چڪنگ ان ، ۽ پوءِ چيڪ پوائنٽ سينڊ باڪس ۾) ۽ فائلون وصول ڪريو نه رڳو نيٽ ورڪ ٽرئفڪ مان، پر انهن کي ڪنهن به نيٽ ورڪ ڊرائيو ۽ مثال طور، CRM سسٽم مان پڻ وٺو.
جو ذريعو: www.habr.com