Overzicht van Cisco Advanced Malware Protection voor Endpoints API

Inleiding

Dit document beschrijft informatie over Cisco Advanced Malware Protection (AMP) voor endpoints. Cisco Advanced Malware Protection voor endpoints wordt geleverd met een Application Programming Interface (API). Het staat u toe om gegevens van een AMP voor Endpoints plaatsing te halen, en hen te manipuleren, wanneer noodzakelijk. 

Dit artikel toont enkele basisfuncties van de API aan. In de voorbeelden in dit artikel wordt een Windows 7-eindpunt gebruikt.

Bijgedragen door Matthew Franks, Nazmul Rajib en Cisco TAC Engineers.

API-referenties genereren en verwijderen

Als u de AMP voor Endpoint API wilt gebruiken, moet u een API-referenties instellen.  Volg de gegeven stappen om een referenties te maken via de AMP-console. 

Stap 1: Log in op de console en navigeer naar accounts > API Credentials.

Stap 2: Klik op New API Credentials om een nieuwe set toetsen te maken.

Stap 3: Geef een toepassingsnaam op. Selecteer het bereik van Alleen-lezen of Lezen & schrijven.

Opmerking: een API-referenties met lees- en schrijfbereik kunnen wijzigingen aanbrengen in uw Cisco Advanced Malware Protection-configuratie voor endpoints die aanzienlijke problemen met uw endpoints kunnen veroorzaken.  Sommige ingangsbescherming die in de Cisco Advanced Malware Protection-console is ingebouwd, is niet van toepassing op de API.

Stap 4: Klik op de knop Maken. De API Key Details worden weergegeven. Sla deze informatie op omdat een deel ervan niet beschikbaar zal zijn na het verlaten van het scherm.

Opmerking: API-referenties (API client-ID en API-sleutel) zullen andere programma's in staat stellen uw Cisco Advanced Malware Protection-gegevens op te halen en te wijzigen. Het is functioneel equivalent aan een gebruikersnaam en wachtwoord, en zou als dusdanig moeten worden behandeld.

Waarschuwing: uw API-referenties worden slechts eenmaal weergegeven. Als je de referenties verliest, moet je nieuwe genereren.

Verwijdert de API-referenties voor een toepassing als u vermoedt dat deze zijn gecompromitteerd, en maak een nieuwe.  Wanneer u een API-referenties verwijdert, sluit het de client die de oude gebruikt uit, dus update ze met de nieuwe referenties.

API-versies en huidige opties

Er zijn momenteel twee versies van de AMP for Endpoints API - versie 0 en versie 1. Versie 1 heeft extra functionaliteit in vergelijking met versie 0. De documentatie voor Versie 1 is hier.  U kunt deze informatie ophalen bij het gebruik van Versie 1.

• Computers
• Computeractiviteit
• Gebeurtenissen
• Gebeurtenistypen
• Bestandslijsten
• Items in de bestandslijst
• Groepen
• Beleid
• Versies

Klik op de betreffende opdracht in het document om voorbeelden van het gebruik ervan te zien. 

Uitsplitsing en voorbeeld van API-opdracht

Elk API-commando bevat vergelijkbare informatie en kan in wezen worden onderverdeeld in een curl-commando en kan als volgt worden bekeken:

curl -o yourfilename.json https://clientID:APIKey@api.amp.cisco.com/v1/whatyouwanttodo

Wanneer u de krulopdracht met de -o optie gebruikt, kunt u de uitvoer in een bestand opslaan. In dit geval is de bestandsnaam "yourfilename.json". 

Tip: hier vindt u meer informatie over .json-bestanden.

De volgende stap in de curl-opdracht is om het adres met uw referenties in te stellen voor het @-symbool. Wanneer u API Credentials genereert, kent u clientID en APIKey, zodat deze sectie van de opdracht lijkt op de onderstaande link.

https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@

Voeg het versienummer toe en wat u wilt doen. Dit bijvoorbeeld, voer de GET /v1/computers opties.The volledige opdracht ziet er zo uit:

curl -o computers.json https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@api.amp.cisco.com/v1/computers

 Nadat u de opdracht hebt uitgevoerd, moet u een bestand computers.json zien dat is gedownload naar de map waarin u de opdracht hebt gestart.

Opmerking: Curl is online beschikbaar en gecompileerd voor veel platforms die Windows bevatten (meestal wil je de Win32 - Generieke versie gebruiken).

Wanneer u het bestand opent, ziet u alle gegevens op één regel.  Als u dit in zijn juiste formaat wilt zien, kunt u een browser plugin installeren om het als JSON te formatteren en het bestand in een browser te openen. Dit toont informatie voor uw computers die u kunt gebruiken hoe u wilt, zoals:

connector_guid, hostname, active, links, connector_version, operating_system, internal_ips, external_ip, group_guid, network_address, policy guid en policy name.

{
version: "v1.0.0",
metadata: {
links: {
self: "https://api.amp.cisco.com/v1/computers"
},
results: {
total: 4,
current_item_count: 4,
index: 0,
items_per_page: 500
}
},
data: [
{
connector_guid: "abcdef-1234-5678-9abc-def123456789",
hostname: "test.cisco.com",
active: true,
links: {
computer: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789",
trajectory: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789/trajectory",
group: "https://api.amp.cisco.com/v1/groups/abcdef-1234-5678-9abc-def123456789"
},
connector_version: "4.4.2.10200",
operating_system: "Windows 7, SP 1.0",
internal_ips: [
"10.1.1.2",
" 192.168.1.2",
" 192.168.2.2",
" 169.254.245.1"
],
external_ip: "1.1.1.1",
group_guid: "abcdef-1234-5678-9abc-def123456789",
network_addresses: [
{
mac: "ab:cd:ef:01:23:45",
ip: "10.1.1.2"
},
{
mac: "bc:de:f0:12:34:56",
ip: "192.168.1.2"
},
{
mac: "cd:ef:01:23:45:67",
ip: "192.168.2.2"
},
{
mac: "de:f0:12:34:56:78",
ip: "169.254.245.1"
}
],
policy: {
guid: "abcdef-1234-5678-9abc-def123456789",
name: "Protect Policy"
}

Nu u een basisvoorbeeld in actie hebt gezien, kunt u de diverse bevelopties gebruiken om gegevens in uw milieu te trekken en te manipuleren.

Gerelateerde informatie

• Documentatie voor Cisco Advanced Malware Protection voor endpoints API

 Technische ondersteuning en documentatie – Cisco Systems