Descripción general de la API de Cisco AMP para terminales

Introducción

Este documento describe la protección frente a malware avanzado (AMP) de Cisco para terminales. Cisco AMP para terminales incluye una interfaz de programación de aplicaciones (API). Le permite extraer datos de una implementación de AMP para terminales y manipularlos cuando sea necesario. 

En este artículo se muestran algunas funcionalidades básicas de la API. Los ejemplos de este artículo utilizan un extremo de Windows 7.

Colaboración de Matthew Franks, Nazmul Rajib e ingenieros del TAC de Cisco.

Generar y eliminar credenciales de API

Para utilizar la API de AMP para terminales, debe configurar una credencial de API.  Siga los pasos indicados para crear una credencial mediante la consola de AMP. 

Paso 1: Inicie sesión en la Consola y navegue hasta Cuentas > Credenciales de API.

Paso 2: Haga clic en New API Credential para crear un nuevo conjunto de claves.

Paso 3: Proporcione un nombre de aplicación. Seleccione el alcance de Sólo lectura o Lectura y escritura.

Nota: Una credencial de API con ámbito de lectura y escritura puede realizar cambios en la configuración de Cisco AMP para terminales que pueden causar problemas significativos en los terminales.  Algunas de las protecciones de entrada integradas en la consola de Cisco AMP para terminales no se aplican a la API.

Paso 4: Haga clic en el botón Create. Aparecerá la información de clave de API. Guarde esta información, ya que parte de ella no estará disponible después de salir de la pantalla.

Nota: las credenciales de la API (API Client ID y API Key) permitirán a otros programas recuperar y modificar los datos de Cisco AMP para terminales. Funcionalmente, es equivalente a un nombre de usuario y una contraseña, y debe tratarse como tal.

Precaución: las credenciales de la API solo se muestran una vez. Si pierde las credenciales, tendrá que generar otras nuevas.

Elimine las credenciales de la API de una aplicación si sospecha que se han visto afectadas y cree una nueva.  Cuando elimina una credencial de API, bloquea al cliente que utiliza las antiguas, por lo que debe actualizarlas con las nuevas credenciales.

Versiones de API y opciones actuales

Actualmente hay dos versiones de la API de AMP para terminales: la versión 0 y la versión 1. La versión 1 tiene funcionalidad adicional frente a la versión 0. La documentación para la versión 1 está aquí.  Puede obtener esta información con la versión 1.

• Ordenadores
• Actividad del equipo
• Events
• Tipos de eventos
• Listas de archivos
• Elementos de lista de archivos
• Grupos
• Políticas
• Versiones

Haga clic en el comando correspondiente del documento para ver ejemplos de su uso. 

Ejemplo y desglose de comandos de API

Cada comando de API contiene información similar y puede descomponerse esencialmente en un comando curl y puede verse de la siguiente manera:

curl -o yourfilename.json https://clientID:APIKey@api.amp.cisco.com/v1/whatyouwanttodo

Cuando utiliza el comando curl con la opción -o, le permite guardar el resultado en un archivo. En este caso, el nombre de archivo es "yourfilename.json". 

Consejo: Más información sobre los archivos .json se puede encontrar aquí.

El siguiente paso en el comando curl es establecer la dirección con sus credenciales antes del símbolo @. Cuando genera credenciales de API, conoce el ID de cliente y APIKey, por lo que esta sección del comando se parecerá al enlace que se proporciona a continuación.

https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@

Agregue el número de versión y lo que desea hacer. Para este ejemplo, ejecute las opciones GET /v1/computers.El comando completo tiene el siguiente aspecto:

curl -o computers.json https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@api.amp.cisco.com/v1/computers

 Después de ejecutar el comando, debería ver un archivo computers.json descargado en el directorio donde inició el comando.

Nota: Curl está disponible en línea y compilado para muchas plataformas que incluyen Windows (generalmente querrá utilizar la versión Win32 - Genérica).

Cuando abra el archivo, verá todos los datos en una sola línea.  Si desea ver esto en su formato adecuado, puede instalar un plugin del navegador para formatearlo como JSON y abrir el archivo en un navegador. Muestra información de los equipos que puede utilizar como desee, como:

connector_guid, hostname, active, links, connector_version, operating_system, internal_ips, external_ip, group_guid, network_addresses, policy guid y policy name.

{
version: "v1.0.0",
metadata: {
links: {
self: "https://api.amp.cisco.com/v1/computers"
},
results: {
total: 4,
current_item_count: 4,
index: 0,
items_per_page: 500
}
},
data: [
{
connector_guid: "abcdef-1234-5678-9abc-def123456789",
hostname: "test.cisco.com",
active: true,
links: {
computer: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789",
trajectory: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789/trajectory",
group: "https://api.amp.cisco.com/v1/groups/abcdef-1234-5678-9abc-def123456789"
},
connector_version: "4.4.2.10200",
operating_system: "Windows 7, SP 1.0",
internal_ips: [
"10.1.1.2",
" 192.168.1.2",
" 192.168.2.2",
" 169.254.245.1"
],
external_ip: "1.1.1.1",
group_guid: "abcdef-1234-5678-9abc-def123456789",
network_addresses: [
{
mac: "ab:cd:ef:01:23:45",
ip: "10.1.1.2"
},
{
mac: "bc:de:f0:12:34:56",
ip: "192.168.1.2"
},
{
mac: "cd:ef:01:23:45:67",
ip: "192.168.2.2"
},
{
mac: "de:f0:12:34:56:78",
ip: "169.254.245.1"
}
],
policy: {
guid: "abcdef-1234-5678-9abc-def123456789",
name: "Protect Policy"
}

Ahora que ya ha visto un ejemplo básico en acción, puede utilizar las distintas opciones de comando para extraer y manipular los datos de su entorno.

Información Relacionada

• Documentación de la API de Cisco AMP para terminales

 Soporte Técnico y Documentación - Cisco Systems