REST API について

この章では、Kaspersky CyberTrace REST API の機能について説明します。

REST API について

Kaspersky CyberTrace は、次の動作を実行するために使用できる REST API インターフェイスを備えています：

• インジケーター検索を実行する。
• 新しい脅威インジケーターを追加し、REST API とともに追加された脅威インジケーターを構成および削除する。
• REST API とともに追加された脅威インジケーター、 InternalTI および FalsePositive 脅威インジケーターを追加、削除、更新する。
• Kaspersky CyberTrace データベース内のタグを追加、削除、更新する。インジケーターにタグを割り当て、インジケーターからタグを削除する。

サポートされているプロトコル

REST API は、基本認証とともに HTTPS プロトコルをサポートしています。全てのリクエストが同期しています。Kaspersky CyberTrace は、リクエストを処理し、その結果をレスポンスとして返します。

HTTPS を使用して通信するために、Kaspersky CyberTrace は、kl_feed_service.conf 設定情報ファイルの［GUISettings］→［HTTPServer］→［SSLCertificatePath］および［GUISettings］→［HTTPServer］→［SSLPrivateKeyPath］要素に指定されている証明書を使用します。

処理されるリクエストの最大数は、設定情報ファイル kl_feed_service.conf の［ServiceSettings］→［ScannersCount］要素に指定されます。

REST API 脅威インジケーター

REST API とともに追加された脅威インジケーターは、通常の脅威インジケーターとは異なります。REST API とともに追加する脅威インジケーターのみに、REST API を介してアクセスできます。その他全ての脅威インジケーターには、REST API を介してアクセスすることはできません。また、REST API には、FalsePositive および InternalTI 脅威インジケーターからインジケーターを管理する方法が用意されています。

REST API とともに追加された脅威インジケーターは、［Custom feeds］タブに表示されます。脅威インジケーターにベンダーが指定されている場合、脅威インジケーターは代わりにベンダータブに表示されます。各 REST API 脅威インジケーターには、それを REST API 脅威インジケーターとしてマークする短い説明があります。

REST API とともに追加された脅威インジケーターの場合、Kaspersky CyberTrace Web で次の動作を実行することはできません：

• 脅威インジケーターのプロパティの編集。
• 脅威インジケーターフィールドの有効化または無効化。
• 脅威インジケーターのフィルタリングルールの指定。
• 脅威インジケーター内のレコードの最大数の指定。

Kaspersky CyberTrace Web では、REST API とともに追加された脅威インジケーターに対して次の動作を実行できます：

• 脅威インジケーターに対して入力可能フィールドを指定する。
• 脅威インジケーターを有効化または無効化する。
• 脅威インジケーターを削除する。

ユーザーロールおよび REST API

ユーザーに対して使用可能なメソッドは、ユーザーのロールによって異なります：

• 管理者ロールを持つユーザーは、全てのリクエストを行うことができる。
• アナリストロールを持つユーザーは、インジケーター検索を行うことができる。

REST API およびロギング

Kaspersky CyberTrace は、REST API に関する次の情報をログに記録します：

• ロギングレベルが err 以上である場合、Kaspersky CyberTrace は、REST API エラーに関する情報をログに記録する。
• ロギングレベルが info 以上である場合、Kaspersky CyberTrace は、全ての REST API リクエストおよびレスポンスに関する情報をログに記録する。