Предотвращение вторжений
Last updated
Was this helpful?
Last updated
Was this helpful?
Путь в веб-интерфейсе NGFW: Правила трафика -> Предотвращение вторжений
GET /ips/statusОтвет на успешный запрос:
[
{
"name": "string",
"status": "active" | "activating" | "deactivating" | "failed" | "inactive" | "reloading",
"msg": [ "string" ]
}
]name - название демона;
status - статус;
msg - список сообщений, объясняющий текущее состояние.
Получение текущей настройки включенности модуля
GET /ips/stateОтвет на успешный запрос:
{
"enabled": "boolean"
}enabled - true если модуль включен, false - если выключен.
Изменение настройки включенности модуля
PATCH /ips/stateJson-тело запроса:
{
"enabled": "boolean"
}Ответ на успешный запрос: 200 OK
GET /ips/signature_groups/tableОтвет на успешный запрос:
{
"signature_groups": [
{
"classtype": "string",
"classtype_name": "string",
"mitre_tactics": [
{
"mitre_tactic_id": "string",
"mitre_tactic_name": "string"
},
...
],
"count": "integer"
},
...
]
}classtype - группа сигнатур;
classtype_name - название группы сигнатур (отображается в интерфейсе Ideco NGFW);
mitre_tactics - тактика согласно матрице MITRE ATT&CK, которой соответствует группа сигнатур:
mitre_tactic_id - идентификатор тактики;
mitre_tactic_name - название тактики.
count - количество сигнатур в группе.
GET /ips/signature_groups/mitreОтвет на успешный запрос:
{
"signature_groups": [
{
"mitre_tactic_id": "string",
"mitre_tactic_name": "string",
"classtypes": [
{
"classtype": "string-admin",
"classtype_name": "string",
"count": "integer"
},
...
]
},
...
]
}mitre_tactic_id - идентификатор тактики согласно матрице MITRE ATT&CK;
mitre_tactic_name - название тактики;
classtypes - группы сигнатур, соответствующие тактике:
classtype - группа сигнатур;
classtype_name - название группы сигнатур (отображается в интерфейсе Ideco NGFW);
count - количество сигнатур в группе.
GET /ips/signatures?filter=[ { "items": [ {"column_name":"classtype","operator":"equals","value":[<classtype нужной группы сигнатур (может быть несколько значений через запятую)>]} ], "link_operator":"or" } ]"column_name":"classtype","operator":"equals","value":[<classtype нужной группы сигнатур (может быть несколько значений через запятую)>] - фильтр. Отбирает из таблицы групп сигнатур только те группы, у которых значение classtype соответствует указанным в value.
Ответ на успешный запрос:
{
"signatures": [
{
"action": "string",
"protocol": "string",
"flow": "string",
"classtype": "string-admin",
"sid": "integer",
"signature_severity": "string",
"mitre_tactic_id": "string",
"signature_source": "string",
"msg": "string",
"source": "string",
"source_ports": "string",
"destination": "string",
"destination_ports": "string",
"updated_at": "string"
},
...
]
}action - действие для трафика, соответствующего сигнатуре:
pass - Пропускать;
alert - Предупреждать;
drop - Блокировать;
rejectsrc - Отправлять RST узлу источника;
rejectdst - Отправлять RST узлу назначения;
rejectboth - Отправлять RST обоим.
protocol - протокол (tcp, udp, icmp, ip). Возможные значения представлены по ;
flow - направление трафика (client2server, server2client, -);
classtype - группа, к которой относится сигнатура;
sid - идентификатор сигнатуры;
signature_severity - уровень угрозы;
mitre_tactic_id - тактика согласно матрице MITRE ATT&CK;
signature_source - источник сигнатуры:
standard - стандартные правила;
advanced - правила IPS от Лаборатории Касперского;
custom - пользовательские правила.
msg - название сигнатуры;
source - источник подключения;
source_ports - порты источника;
destination - назначение;
destination_ports - порты назначения;
updated_at - дата в формате YYYY-MM-DD или строка со значением -.
GET /ips/signatures/<sid>sid - идентификатор сигнатуры.
Ответ на успешный запрос:
{
"signature": "string"
}signature - содержание сигнатуры.
GET /ips/customОтвет на успешный запрос:
{
"signatures": [
{
"action": "string",
"protocol": "string",
"flow": "string",
"classtype": "string-admin",
"sid": "integer",
"signature_severity": "string",
"mitre_tactic_id": "string",
"signature_source": "string",
"msg": "string",
"source": "string",
"source_ports": "string",
"destination": "string",
"destination_ports": "string",
"updated_at": "string"
},
...
]
}action - действие для трафика, соответствующего сигнатуре:
pass - Пропускать;
alert - Предупреждать;
drop - Блокировать;
rejectsrc - Отправлять RST узлу источника;
rejectdst - Отправлять RST узлу назначения;
rejectboth - Отправлять RST обоим.
flow - направление трафика (client2server, server2client, -);
classtype - группа, к которой относится сигнатура;
sid - идентификатор сигнатуры;
signature_severity - уровень угрозы;
mitre_tactic_id - тактика согласно матрице MITRE ATT&CK;
signature_source - источник сигнатуры:
standard - стандартные правила;
advanced - правила IPS от Лаборатории Касперского;
custom - пользовательские правила.
msg - название сигнатуры;
source - источник подключения;
source_ports - порты источника;
destination - назначение;
destination_ports - порты назначения;
updated_at - дата в формате YYYY-MM-DD или строка со значением -.
POST /ips/customJson-тело запроса:
{
"comment": "string",
"rule": "string"
}comment - описание, может быть пустым, максимальная длина - 255 символов;
rule - строка с правилом, не более 8196 символов, переводы строк в ней запрещены.
Ответ на успешный запрос:
{
"id": "string"
}id - идентификатор созданной сигнатуры.
POST /ips/custom_rules_fileФайл загружается как тело запроса, он должен иметь текстовый формат text/plain, максимальный размер файла - 32 MB.
Ответ на успешный запрос:
{
"count": "integer"
}count - количество загруженных правил.
PATCH /ips/custom/<sid>sid - идентификатор сигнатуры
Json-тело запроса (все или некоторые поля):
{
"comment": "string",
"rule": "string"
}comment - описание, может быть пустым, максимальная длина - 255 символов;
rule - строка с правилом, не более 8196 символов, переводы строк в ней запрещены.
Ответ на успешный запрос: 200 ОК
DELETE /ips/custom/<sid>sid - идентификатор сигнатуры
Ответ на успешный запрос: 200 ОК
GET /ips/updateОтвет на успешный запрос:
{
"status": "up_to_date" | "updating" | "failed_to_update|disabled",
"msg": "i18n_string",
"last_update": "float" | "null"
}status - текущий статус обновления баз:
up_to_date - базы успешно обновлены;
updating - скачиваются новые базы;
failed_to_update - последняя попытка обновления баз завершилась неудачно;
disabled - обновление баз выключено.
msg - текстовое описание статуса обновления баз;
last_update - время последнего успешного обновления баз.
GET /ips/update_advancedОтвет на успешный запрос:
{
"status": "up_to_date" | "updating" | "failed_to_update|disabled",
"msg": "i18n_string",
"last_update": "float" | "null"
}status - текущий статус обновления баз:
up_to_date - базы успешно обновлены;
updating - скачиваются новые базы;
failed_to_update - последняя попытка обновления баз завершилась неудачно;
disabled - обновление баз выключено.
msg - текстовое описание статуса обновления баз;
last_update - время последнего успешного обновления баз.
GET /ips/netsОтвет на успешный запрос:
[
{
"id": "string",
"address": "string"
},
...
]id - идентификатор подсети;
address - адрес подсети (например, 192.168.0.0/16).
protocol - протокол (tcp, udp, icmp, ip). Возможные значения представлены по ;