Ин мақола барои онҳое, ки бо технология ошно ҳастанд, муфид хоҳад буд Нуқтаи санҷиш аз рӯи эмуляцияи файл (Имуляцияи таҳдид) ва тозакунии пешакии файл (Истихроҷи таҳдид) ва мехохад дар рохи автоматй кунондани ин вазифахо кадам гузорад. Check Point дорад , ки ҳам дар абр ва ҳам дар дастгоҳҳои маҳаллӣ кор мекунад ва аз ҷиҳати функсионалӣ ба тафтиши файлҳо дар ҷараёнҳои трафики web/smtp/ftp/smb/nfs шабеҳ аст. Ин мақола қисман тафсири як қатор мақолаҳо аз ҳуҷҷатҳои расмӣ аз ҷониби муаллиф аст, аммо бар асоси таҷрибаи кори худ ва намунаҳои худам. Инчунин дар мақола шумо маҷмӯаҳои Postman муаллифро барои кор бо API Prevention Threat пайдо хоҳед кард.
Ихтисороти асосӣ
API-и Prevention Threat бо се ҷузъи асосӣ кор мекунад, ки дар API тавассути арзишҳои матнии зерин даъват карда мешаванд:
av — Ҷузъи антивирус, масъул барои таҳлили имзои таҳдидҳои маълум.
te - Компоненти Emulation Threat, ки барои тафтиши файлҳо дар қуттии қум масъул аст ва пас аз тақлид ҳукми бадқасдона/беҳад қабул мекунад.
истихроҷ - Ҷузъи истихроҷи таҳдид, ки барои зуд табдил додани ҳуҷҷатҳои идоравӣ ба шакли бехатар (дар он ҳама мундариҷаи эҳтимолан зараровар нест карда мешавад) масъул аст, то онҳо ба корбарон/системаҳо зуд интиқол дода шаванд.
Сохтори API ва маҳдудиятҳои асосӣ
API Prevention Threat танҳо 4 дархостро истифода мебарад - боргузорӣ, дархост, зеркашӣ ва квота. Дар сарлавҳаи ҳамаи чор дархост, шумо бояд калиди API-ро бо истифода аз параметр гузаронед Иҷозатнома. Дар назари аввал, сохтор метавонад назар ба он хеле соддатар намояд , аммо шумораи майдонҳо дар дархостҳои боркунӣ ва дархост ва сохтори ин дархостҳо хеле мураккаб аст. Инҳоро метавон ба таври функсионалӣ бо профилҳои Пешгирии таҳдид дар сиёсати амнияти шлюз/қуттии қум муқоиса кард.
Дар айни замон, версияи ягонаи API Prevention Threat нашр шудааст - 1.0; URL барои зангҳои API бояд дар бар гирад v1 дар қисме, ки шумо бояд версияро муайян кунед. Баръакси API Management, дар URL нишон додани версияи API зарур аст, вагарна дархост иҷро намешавад.
Компоненти Антивирус, вақте ки бе ҷузъҳои дигар (te, истихроҷ) даъват карда мешавад, дар айни замон танҳо дархостҳои дархостро бо маблағи хэш md5 дастгирӣ мекунад. Имуляцияи таҳдид ва истихроҷи таҳдид инчунин ҳаш сумҳои sha1 ва sha256 -ро дастгирӣ мекунад.
Хеле муҳим аст, ки дар пурсишҳо ба хатогӣ роҳ надиҳед! Дархостро бе хато иҷро кардан мумкин аст, аммо на пурра. Каме ба пеш нигоҳ карда, биёед бубинем, ки вақте ки дар дархостҳо хатогиҳо/хатоҳо вуҷуд доранд, чӣ рӯй дода метавонад.
Дархост бо иштибоҳ бо калимаи reports(reportss)
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}Дар посух ягон хатогӣ вуҷуд надорад, аммо дар бораи гузоришҳо умуман маълумот дода намешавад
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Аммо барои дархост бидуни хато дар калиди гузоришҳо
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}Мо посухе мегирем, ки барои зеркашии гузоришҳо аллакай ID дорад
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Агар мо калиди API-и нодуруст/мӯҳлати гузаштаро фиристем, дар ҷавоб мо хатои 403 мегирем.
API SandBlast: дар абр ва дар дастгоҳҳои маҳаллӣ
Дархостҳои API метавонанд ба дастгоҳҳои Check Point фиристода шаванд, ки ҷузъи Emulation Threat (майса) фаъоланд. Ҳамчун суроғаи дархостҳо, шумо бояд IP/url-и дастгоҳ ва порти 18194-ро истифода баред (масалан, https://10.10.57.19:18194/tecloud/api/v1/file/query). Шумо инчунин бояд боварӣ ҳосил кунед, ки сиёсати бехатарии дастгоҳ ба чунин пайвастшавӣ имкон медиҳад. Авторизатсия тавассути калиди API дар дастгоҳҳои маҳаллӣ бо нобаёнӣ хомӯш ва калиди авторизатсия дар сарлавҳаҳои дархост умуман фиристода намешавад.
Дархостҳои API ба абри CheckPoint бояд фиристода шаванд te.checkpoint.com (масалан - https://te.checkpoint.com/tecloud/api/v1/file/query). Калиди API-ро метавон ҳамчун иҷозатномаи озмоишӣ барои 60 рӯз тавассути тамос бо шарикони Check Point ё идораи маҳаллии ширкат дастрас кард.
Дар дастгоҳҳои маҳаллӣ, истихроҷи таҳдид ҳанӯз ҳамчун стандарт дастгирӣ намешавад. ва бояд истифода шавад (дар ин бора муфассалтар дар охири макола сухан меронем).
Дастгоҳҳои маҳаллӣ дархости квотаро дастгирӣ намекунанд.
Дар акси ҳол, байни дархостҳо ба дастгоҳҳои маҳаллӣ ва абр фарқият вуҷуд надорад.
Зангҳои API-ро бор кунед
Усули истифодашуда - POST
Суроғаи занг - https:///tecloud/api/v1/file/upload
Дархост аз ду қисм иборат аст (форма-маълумот): файле, ки барои тақлид/тозакунӣ пешбинӣ шудааст ва қисми дархост бо матн.
Дархости матнӣ холӣ буда наметавонад, аммо он метавонад ягон конфигуратсияро дар бар нагирад. Барои бомуваффақияти дархост шумо бояд ҳадди аққал матни зеринро дар дархост ирсол кунед:
Ҳадди ақал барои дархости боргузорӣ талаб карда мешавад
HTTP POST
https:///tecloud/api/v1/file/upload
Сарлавҳаҳо:
Иҷозатнома:
бадан
{
"дархост": {
}
}
File
File
Дар ин ҳолат, файл мувофиқи параметрҳои пешфарз коркард карда мешавад: компонент - te, тасвирҳои OS - Win XP ва Win 7, бе тавлиди гузориш.
Шарҳҳо дар бораи соҳаҳои асосии дархости матнӣ:
номи парванда и навъи_файл Шумо метавонед онҳоро холӣ гузоред ё тамоман нафиристед, зеро ин ҳангоми боркунии файл маълумоти муфид нест. Дар посухи API, ин майдонҳо дар асоси номи файли зеркашидашуда ба таври худкор пур карда мешаванд ва маълумот дар кэш ҳоло ҳам бояд бо истифода аз миқдори hash md5/sha1/sha256 ҷустуҷӯ карда шавад.
Намунаи дархост бо файл_ном ва навъи_файл
{
"request": {
"file_name": "",
"file_type": "",
}
}Вижагиҳо — рӯйхате, ки функсияҳои заруриро ҳангоми коркард дар қуттии қум нишон медиҳад - av (Anti-Virus), te (Threat Emulation), истихроҷ (Threat Extraction). Агар ин параметр тамоман гузаронида нашавад, он гоҳ танҳо ҷузъи пешфарз истифода мешавад - te (Threat Emulation).
Барои фаъол кардани санҷиш дар се ҷузъи дастрас, шумо бояд ин ҷузъҳоро дар дархости API муайян кунед.
Намунаи дархост бо тафтиши ав, те ва истихроҷ
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}Калидҳо дар фасли te
тасвирҳо — номгӯи дорои луғатҳо бо рақами идентификатсионӣ ва таҷдиди системаҳои оператсионӣ, ки дар онҳо санҷиш гузаронида мешавад. Рақамҳои идентификатсионӣ ва нусхабардорӣ барои ҳама дастгоҳҳои маҳаллӣ ва абр якхелаанд.
Рӯйхати системаҳои амалиётӣ ва таҳрир
ID Image OS дастрас
вироишҳои
OS тасвир ва барнома
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
Microsoft Windows: XP - 32bit SP3
офис: 2003, 2007
Adobe Acrobat Reader: 9.0
Плеери Flash 9р115 ва ActiveX 10.0
Java Runtime: 1.6.0u22
7e6fe36e-889e-4c25-8704-56378f0830df
1
Microsoft Windows: 7 - 32бит
офис: 2003, 2007
Adobe Acrobat Reader: 9.0
флеш-плеери: 10.2r152 (Васлкунак& ActiveX)
Java Runtime: 1.6.0u0
8d188031-1010-4466-828b-0cd13d4303ff
1
Microsoft Windows: 7 - 32бит
офис: 2010
Adobe Acrobat Reader: 9.4
флеш-плеери: 11.0.1.152 (Васлкунак & ActiveX)
Java Runtime: 1.7.0u0
5e5de275-a103-4f67-b55b-47532918fa59
1
Microsoft Windows: 7 - 32бит
офис: 2013
Adobe Acrobat Reader: 11.0
флеш-плеери: 15 (Васлкунак & ActiveX)
Java Runtime: 1.7.0u9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
Microsoft Windows: 7 - 64бит
офис: 2013 (32бит)
Adobe Acrobat Reader: 11.0.01
флеш-плеери: 13 (Васлкунак & ActiveX)
Java Runtime: 1.7.0u9
6c453c9b-20f7-471a-956c-3198a868dc92
1
Microsoft Windows: 8.1 - 64бит
офис: 2013 (64бит)
Adobe Acrobat Reader: 11.0.10
флеш-плеери: 18.0.0.160 (Васлкунак & ActiveX)
Java Runtime: 1.7.0u9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
Microsoft Windows: 10
офис: Professional Plus 2016 en-us
Adobe Acrobat Reader: DC 2015 MUI
флеш-плеери: 20 (Васлкунак & ActiveX)
Java Runtime: 1.7.0u9
Агар калиди тасвирҳо тамоман нишон дода нашуда бошад, пас эмуляция дар тасвирҳои аз ҷониби Check Point тавсияшуда сурат мегирад (ҳоло Win XP ва Win 7). Ин тасвирҳо дар асоси баррасии беҳтарин тавозуни иҷроиш ва суръати сайд тавсия дода мешаванд.
ҳисоботҳо — рӯйхати гузоришҳое, ки мо дар сурати зараровар будани файл талаб мекунем. Вариантҳои зерин дастрасанд:
-
хулоса - бойгонии .tar.gz дорои гузориш дар бораи тақлид аз ҷониби ба ҳама тасвирҳои дархостшуда (ҳам саҳифаи html ва ҳам ҷузъҳо ба монанди видео аз ОС эмулятор, партови трафики шабака, гузориш дар json ва худи намуна дар бойгонии бо парол ҳифзшуда). Мо калиди ҷавобро меҷӯем - хулосаи_ҳисобот барои зеркашии минбаъдаи гузориш.
-
PDF - ҳуҷҷат дар бораи эмуляция дар як тасвир, ки бисёриҳо одат кардаанд, ки тавассути консолҳои Smart қабул кунанд. Мо калиди ҷавобро меҷӯем - pdf_ҳисобот барои зеркашии минбаъдаи гузориш.
-
XML - ҳуҷҷат дар бораи эмуляция дар як тасвир, қулай барои таҳлили минбаъдаи параметрҳо дар гузориш. Мо калиди ҷавобро меҷӯем - xml_report барои зеркашии минбаъдаи гузориш.
-
т - бойгонии .tar.gz дорои гузориш дар бораи эмуляция дар як тасвирҳои дархостшуда (ҳам саҳифаи html ва ҳам ҷузъҳо ба монанди видео аз ОС эмулятор, партови трафики шабака, гузориш дар json ва худи намуна дар бойгонии бо парол ҳифзшуда). Мо калиди ҷавобро меҷӯем - ҳисоботи пурра барои зеркашии минбаъдаи гузориш.
Дар дохили гузориши ҷамъбастӣ он чизест
Калидҳои full_report, pdf_report, xml_report дар луғат барои ҳар як ОС мавҷуданд
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Аммо калиди summary_report - якест барои тақлид дар маҷмӯъ
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Шумо метавонед дар як вақт гузоришҳои tar ва xml ва pdf дархост кунед, шумо метавонед хулоса ва tar ва xml дархост кунед. Дар як вақт талаб кардани ҳисоботи ҷамъбастӣ ва pdf имконнопазир хоҳад буд.
Калидҳо дар бахши истихроҷ
Барои истихроҷи таҳдид танҳо ду калид истифода мешавад:
метод — pdf (табдил додан ба pdf, бо нобаёнӣ истифода мешавад) ё тоза (тоза кардани мундариҷаи фаъол).
рамзҳои_қисмҳои_истихроҷшуда - рӯйхати рамзҳо барои нест кардани мундариҷаи фаъол, ки танҳо барои усули тоза истифода мешаванд
Рамзҳо барои нест кардани мундариҷа аз файлҳо
рамз
Тавсифи
1025
Объектҳои алоқаманд
1026
Макрос ва код
1034
Гиперпайвандҳои ҳассос
1137
Амалҳои PDF GoToR
1139
Амалҳои оғози PDF
1141
Амалҳои PDF URI
1142
Амалҳои садои PDF
1143
Амалҳои филми PDF
1150
Амалҳои PDF JavaScript
1151
Амалҳои пешниҳоди шакли PDF
1018
Дархостҳои пойгоҳи додаҳо
1019
Объектҳои воридшуда
1021
Захираи зуд маълумот
1017
Хусусиятҳои фармоишӣ
1036
Хусусиятҳои оморӣ
1037
Хусусиятҳои ҷамъбастӣ
Барои зеркашии нусхаи тозашуда, шумо инчунин бояд пас аз чанд сония дархости пурсишро (ки дар поён муҳокима карда мешавад) пешниҳод кунед, ки миқдори хэши файл ва ҷузъи истихроҷро дар матни дархост муайян кунед. Шумо метавонед файли тозашударо бо истифода аз id аз посух ба пурсиш - extracted_file_download_id гиред. Бори дигар, каме ба пеш нигоҳ карда, ман мисолҳои дархост ва посухи пурсишро барои ҷустуҷӯи ID барои зеркашии ҳуҷҷати тозашуда медиҳам.
Дархост барои ҷустуҷӯи калиди extracted_file_download_id
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}Ҷавоб ба пурсиш (калиди extracted_file_download_id-ро ҷустуҷӯ кунед)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Маълумоти умумӣ
Дар як занги API, шумо метавонед танҳо як файлро барои тасдиқ фиристед.
Компоненти av қисмати иловагӣ бо калидҳоро талаб намекунад, онро дар луғат нишон додан кифоя аст Вижагиҳо.
Даъвати API
Усули истифодашуда - POST
Суроғаи занг - https:///tecloud/api/v1/file/query
Пеш аз фиристодани файл барои боргирӣ (дархости боргузорӣ), тавсия дода мешавад, ки кэши қуттии қумро (дархости дархост) тафтиш кунед, то сарборӣ дар сервери API оптимизатсия карда шавад, зеро сервери API метавонад дар бораи файли зеркашида аллакай маълумот ва ҳукм дошта бошад. Занг танҳо аз қисми матн иборат аст. Қисми зарурии дархост sha1/sha256/md5 миқдори хэши файл мебошад. Дар омади гап, шумо метавонед онро дар посух ба дархости боргузорӣ ба даст оред.
Ҳадди ақал барои дархост
HTTP POST
https:///tecloud/api/v1/file/query
Сарлавҳаҳо:
Иҷозатнома:
бадан
{
"дархост": {
"sha256":
}
}
Намунаи посух ба дархости боргузорӣ, ки дар он миқдори hash sha1/md5/sha256 намоён аст
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}Дархости пурсиш, ба ғайр аз маблағи ҳаш, бояд идеалӣ бо дархости боркунӣ (ё ба нақша гирифта шудааст) якхела бошад, ё ҳатто "аллакай" бошад (дар дархости дархост нисбат ба дархости боргузорӣ майдонҳои камтар дорад). Дар ҳолате, ки дар дархости дархост майдонҳои бештар аз дар дархости боргузорӣ мавҷудбуда бошад, шумо дар посух ҳама маълумоти заруриро қабул нахоҳед кард.
Ин аст як мисоли посух ба пурсиш, ки дар он на ҳама маълумоти зарурӣ ёфт шудаанд
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Ба киштзорҳо диққат диҳед рамз и нархнома. Ин майдонҳо дар луғатҳои статусӣ се маротиба пайдо мешаванд. Аввал мо калиди глобалии "код" -ро мебинем: 1006 ва "тамга": "ҚИСМАН_FOUND". Баъдан, ин калидҳо барои ҳар як ҷузъи инфиродӣ, ки мо дархост кардем, пайдо мешаванд - te ва истихроҷ. Ва агар барои шумо маълум бошад, ки маълумот пайдо шудааст, пас барои истихроҷ маълумот нест.
Ин аст он чизе ки дархост барои мисоли боло ба назар мерасид
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Агар шумо дархости дархостро бе ҷузъи истихроҷ фиристед
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Пас аз он, ҷавоб маълумоти пурраро дар бар мегирад ("код": 1001, "табел": "FOUND")
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Агар дар кэш умуман ягон маълумот мавҷуд набошад, пас ҷавоб "табел" хоҳад буд: "NOT_FOUND"
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Дар як занги API, шумо метавонед якбора якчанд миқдори хэшро барои тасдиқ фиристед. Ҷавоб маълумотро бо ҳамон тартибе, ки дар дархост фиристода шудааст, бармегардонад.
Намунаи дархости дархост бо якчанд маблағи sha256
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}Ҷавоб ба пурсиш бо миқдори зиёди sha256
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Дар як дархост дар як дархост дархост кардани якчанд маблағи ҳаш низ ба кори сервери API таъсири судманд мерасонад.
Зангҳои API-ро зеркашӣ кунед
Усули истифодашуда - POST (мувофиқи ҳуҷҷатҳо), GET низ кор мекунад (ва шояд мантиқтар ба назар расад)
Суроғаи занг - https:///tecloud/api/v1/file/download?id=
Сарлавҳа интиқоли калиди API-ро талаб мекунад, қисми дархост холӣ аст, ID-и зеркашӣ дар суроғаи URL интиқол дода мешавад.
Дар посух ба дархости пурсиш, агар тақлид ба анҷом расад ва гузоришҳо ҳангоми зеркашии файл дархост шуда бошанд, id барои зеркашии гузоришҳо намоён хоҳад шуд. Агар нусхаи тозашуда талаб карда шавад, шумо бояд ID-ро барои зеркашии ҳуҷҷати тозашуда ҷустуҷӯ кунед.
Дар маҷмӯъ, калидҳо дар посух ба дархосте, ки арзиши ID-и боркунӣ доранд, метавонанд инҳо бошанд:
-
хулосаи_ҳисобот
-
ҳисоботи пурра
-
pdf_ҳисобот
-
xml_report
-
extracted_file_download_id
Албатта, барои гирифтани ин калидҳо дар посух ба дархости дархост, онҳо бояд дар дархост нишон дода шаванд (барои ҳисоботҳо) ё бо истифода аз функсияи истихроҷ дархост карданро фаромӯш накунед (барои ҳуҷҷатҳои тозашуда)
Квота API занг
Усули истифодашуда - POST
Суроғаи занг - https:///tecloud/api/v1/file/quota
Барои санҷидани квотаи боқимонда дар абр, дархости квотаро истифода баред. Матни дархост холӣ аст.
Намунаи посух ба дархости квота
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}API Prevention Threat for Gateway Security
Ин API қабл аз API Prevention Threat таҳия шудааст ва танҳо барои дастгоҳҳои маҳаллӣ пешбинӣ шудааст. Ҳоло он танҳо метавонад муфид бошад, агар ба шумо API Threat Extraction лозим бошад. Барои эмуляцияи таҳдид беҳтар аст, ки API-и муқаррарии Prevention Threat Prevention истифода шавад. Барои фаъол кардан TP API барои SG ва калиди API-ро танзим кунед, ки шумо бояд қадамҳоро иҷро кунед . Ман тавсия медиҳам, ки ба қадами 6b диққат диҳед ва дастрасии саҳифаро тафтиш кунед https://<IPAddressofSecurityGateway>/UserCheck/TPAPI зеро дар сурати ба даст овардани натиҷаи манфӣ, конфигуратсияи минбаъда маъно надорад. Ҳама зангҳои API ба ин URL фиристода мешаванд. Навъи занг (боргузорӣ/пурсиш) дар калиди асосии занг - танзим карда мешавад дархост_ном. Инчунин калидҳои зарурӣ мавҷуданд - api_key (шумо бояд онро дар давоми раванди конфигуратсия дар хотир доред) ва нусхаи_протокол (версияи ҳозира 1.1 аст). Шумо метавонед ҳуҷҷатҳои расмии ин API-ро дар ин ҷо пайдо кунед . Афзалиятҳои нисбӣ қобилияти фиристодани якчанд файлро якбора барои тақлид ҳангоми боркунии онҳо дар бар мегиранд, зеро файлҳо ҳамчун сатри матнии base64 фиристода мешаванд. Барои рамзгузорӣ/декод кардани файлҳо ба/аз base64 шумо метавонед табдилдиҳандаи онлайнро дар Postman бо мақсади намоишӣ истифода баред, масалан - . Барои мақсадҳои амалӣ, шумо бояд ҳангоми навиштани код усулҳои дарунсохташуда ва рамзкушоиро истифода баред.
Акнун биёед ба функсияҳо муфассалтар назар андозем te и истихроҷ дар ин API.
Барои компонент te луғат таъмин карда шудааст te_options дар дархостҳои боргузорӣ/дархост ва калидҳои ин дархост бо калидҳои дар .
Намунаи дархост барои эмуляцияи файл дар Win10 бо гузоришҳо
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}Барои компонент истихроҷ луғат таъмин карда шудааст scrub_options. Ин дархост усули тозакуниро муайян мекунад: табдил ба PDF, тоза кардани мундариҷаи фаъол ё режимро мувофиқи профили пешгирии таҳдидҳо интихоб кунед (номи профил нишон дода мешавад). Чизи бузург дар посух додан ба дархости истихроҷи API барои файл дар он аст, ки шумо дар посух ба ин дархост ҳамчун сатри рамзгузоришудаи base64 нусхаи тозашуда мегиред (ба шумо лозим нест, ки дархости дархост кунед ва ID-ро барои зеркашии файл ҷустуҷӯ кунед. ҳуҷҷат)
Намунаи дархост барои тоза кардани файл
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}Ба дархост ҷавоб диҳед
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
} Сарфи назар аз он, ки барои гирифтани нусхаи тозашуда дархостҳои камтари API талаб карда мешаванд, ман ин интихобро нисбат ба дархости форма-маълумоти дар .
Маҷмӯаҳои почтавӣ
Ман коллексияҳоро дар Postman ҳам барои API Prevention Threat Prevention ва ҳам API Prevention Threat for Gateway Security эҷод кардам, ки дархостҳои маъмултарини API-ро ифода мекунанд. Барои он ки сервери IP/url API ва калид ба таври худкор ба дархостҳо иваз карда шавад ва миқдори хэши sha256 пас аз зеркашии файл дар хотир нигоҳ дошта шавад, дар дохили коллексияҳо се тағирёбанда сохта шудаанд (шумо метавонед онҳоро тавассути рафтан ба танзимоти коллексия пайдо кунед. Таҳрир -> Тағйирёбанда): te_api (ҳатмӣ), api_key (пур кардан лозим аст, ба истиснои истифодаи TP API бо дастгоҳҳои маҳаллӣ), sha256 (холиро тарк кунед, дар TP API барои SG истифода намешавад).
Намунаҳои истифода
Дар чамъият скриптҳои дар Python навишташуда пешниҳод карда мешаванд, ки файлҳоро аз директорияи дилхоҳ тавассути , ва . Тавассути ҳамкорӣ бо API Threat Prevention, қобилияти шумо барои скан кардани файлҳо ба таври назаррас васеъ мешавад, зеро акнун шумо метавонед файлҳоро дар як вақт дар якчанд платформа скан кунед (тафтиш дар , ва сипас дар қуттии Санҷиши Пойнт) ва файлҳоро на танҳо аз трафики шабакавӣ қабул кунед, балки онҳоро аз ҳама гуна дискҳои шабакавӣ ва, масалан, системаҳои CRM гиред.
Манбаъ: will.com