REST API について
2024年4月11日
ID 198534
この章では、Kaspersky CyberTrace REST API の機能について説明します。
REST API について
Kaspersky CyberTrace は、次の動作を実行するために使用できる REST API インターフェイスを備えています:
- インジケーター検索を実行する。
- 新しい脅威インジケーターを追加し、REST API とともに追加された脅威インジケーターを構成および削除する。
- REST API とともに追加された脅威インジケーター、 InternalTI および FalsePositive 脅威インジケーターを追加、削除、更新する。
- Kaspersky CyberTrace データベース内のタグを追加、削除、更新する。インジケーターにタグを割り当て、インジケーターからタグを削除する。
サポートされているプロトコル
REST API は、基本認証とともに HTTPS プロトコルをサポートしています。全てのリクエストが同期しています。Kaspersky CyberTrace は、リクエストを処理し、その結果をレスポンスとして返します。
HTTPS を使用して通信するために、Kaspersky CyberTrace は、kl_feed_service.conf 設定情報ファイルの[GUISettings]→[HTTPServer]→[SSLCertificatePath]および[GUISettings]→[HTTPServer]→[SSLPrivateKeyPath]要素に指定されている証明書を使用します。
処理されるリクエストの最大数は、設定情報ファイル kl_feed_service.conf の[ServiceSettings]→[ScannersCount]要素に指定されます。
REST API 脅威インジケーター
REST API とともに追加された脅威インジケーターは、通常の脅威インジケーターとは異なります。REST API とともに追加する脅威インジケーターのみに、REST API を介してアクセスできます。その他全ての脅威インジケーターには、REST API を介してアクセスすることはできません。また、REST API には、FalsePositive および InternalTI 脅威インジケーターからインジケーターを管理する方法が用意されています。
REST API とともに追加された脅威インジケーターは、[Custom feeds]タブに表示されます。脅威インジケーターにベンダーが指定されている場合、脅威インジケーターは代わりにベンダータブに表示されます。各 REST API 脅威インジケーターには、それを REST API 脅威インジケーターとしてマークする短い説明があります。
REST API とともに追加された脅威インジケーターの場合、Kaspersky CyberTrace Web で次の動作を実行することはできません:
- 脅威インジケーターのプロパティの編集。
- 脅威インジケーターフィールドの有効化または無効化。
- 脅威インジケーターのフィルタリングルールの指定。
- 脅威インジケーター内のレコードの最大数の指定。
Kaspersky CyberTrace Web では、REST API とともに追加された脅威インジケーターに対して次の動作を実行できます:
- 脅威インジケーターに対して入力可能フィールドを指定する。
- 脅威インジケーターを有効化または無効化する。
- 脅威インジケーターを削除する。
ユーザーロールおよび REST API
ユーザーに対して使用可能なメソッドは、ユーザーのロールによって異なります:
- 管理者ロールを持つユーザーは、全てのリクエストを行うことができる。
- アナリストロールを持つユーザーは、インジケーター検索を行うことができる。
REST API およびロギング
Kaspersky CyberTrace は、REST API に関する次の情報をログに記録します:
- ロギングレベルが err 以上である場合、Kaspersky CyberTrace は、REST API エラーに関する情報をログに記録する。
- ロギングレベルが info 以上である場合、Kaspersky CyberTrace は、全ての REST API リクエストおよびレスポンスに関する情報をログに記録する。