Visão geral da API da Cisco AMP para endpoints

Introdução

Este documento descreve sobre o Cisco Advanced Malware Protection (AMP) para endpoints. O Cisco AMP para endpoints é fornecido com uma API (Application Programming Interface, interface de programação de aplicativos). Ele permite extrair dados de uma implantação da AMP para endpoints e manipulá-los, quando necessário. 

Este artigo demonstra algumas funcionalidades básicas da API. Os exemplos neste artigo usam um endpoint do Windows 7.

Contribuição de Matthew Franks, Nazmul Rajib e dos engenheiros do Cisco TAC.

Gerar e Excluir Credenciais de API

Para usar a API da AMP para endpoints, é necessário configurar uma credencial de API.  Siga as etapas fornecidas para criar uma credencial por meio do AMP Console. 

Etapa 1: Efetue login no Console do e navegue até Contas > Credenciais de API.

Etapa 2: clique em Nova credencial de API para criar um novo conjunto de chaves.

Etapa 3: forneça um nome de aplicativo. Selecione o Escopo de Somente leitura ou Leitura e gravação.

Observação: uma credencial de API com escopo de leitura e gravação pode fazer alterações na configuração do Cisco AMP para endpoints que podem causar problemas significativos em seus endpoints.  Algumas das proteções de entrada incorporadas ao console do Cisco AMP para endpoints não se aplicam à API.

Etapa 4: Clique no botão Criar. Os Detalhes da chave de API são exibidos. Salve essas informações, pois algumas delas não estarão disponíveis depois que você sair da tela.

Observação: as credenciais de API (API Client ID & API Key) permitirão que outros programas recuperem e modifiquem os dados do Cisco AMP para endpoints. É funcionalmente equivalente a um nome de usuário e senha, e deve ser tratado como tal.

Cuidado: suas credenciais de API são exibidas apenas uma vez. Se você perder as credenciais, precisará gerar novas.

Exclua as credenciais de API para um aplicativo se você suspeitar que elas foram comprometidas e crie uma nova.  Quando você exclui uma credencial de API, ela bloqueia o cliente que usa as antigas, atualizando-as com as novas credenciais.

Versões de API e opções atuais

Há atualmente duas versões da API do AMP para endpoints - Versão 0 e Versão 1. A Versão 1 tem funcionalidade adicional em relação à Versão 0. A documentação da versão 1 está aqui.  Você pode obter essas informações com o uso da versão 1.

• Computadores
• Atividade do computador
• Events
• Tipos de eventos
• Listas de arquivos
• Itens da Lista de Arquivos
• Grupos
• Políticas
• Versões

Clique no comando relevante no documento para ver exemplos de seu uso. 

Exemplo e Divisão de Comando de API

Cada comando de API contém informações semelhantes e pode basicamente ser dividido em um comando curl e pode ser visto da seguinte forma:

curl -o seuarquivo.json https://clientID:APIKey@api.amp.cisco.com/v1/whatyouwanttodo

Quando você usa o comando curl com a opção -o, ele permite que você salve a saída em um arquivo. Nesse caso, o nome do arquivo é "yourfilename.json". 

Dica: mais informações sobre arquivos .json podem ser encontradas aqui.

A próxima etapa no comando curl é definir o endereço com suas credenciais antes do símbolo @. Quando você cria Credenciais de API, você conhece o clientID e a APIKey, portanto, esta seção do comando se parecerá com o link fornecido abaixo.

https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@

Adicione o número da versão e o que deseja fazer. Para este exemplo, execute as opções GET /v1/computers.O comando completo se parece com o seguinte:

curl -o computadores.json https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@api.amp.cisco.com/v1/computers

 Depois de executar o comando, você deverá ver um arquivo computers.json baixado para o diretório em que o comando foi iniciado.

Observação: Curl está disponível online e compilado para muitas plataformas que incluem o Windows (geralmente você vai querer usar a versão Win32 - Generic).

Ao abrir o arquivo, você verá todos os dados em uma única linha.  Se você quiser ver isso em seu formato apropriado, você pode instalar um plug-in de navegador para formatá-lo como JSON e abrir o arquivo em um navegador. Mostra informações para seus computadores que você pode usar da forma como desejar, como:

connector_guid, nome do host, ative, links, connector_version, operating_system, internal_ips, external_ip, group_guid, network_addresses, policy guid e nome da política.

{
version: "v1.0.0",
metadata: {
links: {
self: "https://api.amp.cisco.com/v1/computers"
},
results: {
total: 4,
current_item_count: 4,
index: 0,
items_per_page: 500
}
},
data: [
{
connector_guid: "abcdef-1234-5678-9abc-def123456789",
hostname: "test.cisco.com",
active: true,
links: {
computer: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789",
trajectory: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789/trajectory",
group: "https://api.amp.cisco.com/v1/groups/abcdef-1234-5678-9abc-def123456789"
},
connector_version: "4.4.2.10200",
operating_system: "Windows 7, SP 1.0",
internal_ips: [
"10.1.1.2",
" 192.168.1.2",
" 192.168.2.2",
" 169.254.245.1"
],
external_ip: "1.1.1.1",
group_guid: "abcdef-1234-5678-9abc-def123456789",
network_addresses: [
{
mac: "ab:cd:ef:01:23:45",
ip: "10.1.1.2"
},
{
mac: "bc:de:f0:12:34:56",
ip: "192.168.1.2"
},
{
mac: "cd:ef:01:23:45:67",
ip: "192.168.2.2"
},
{
mac: "de:f0:12:34:56:78",
ip: "169.254.245.1"
}
],
policy: {
guid: "abcdef-1234-5678-9abc-def123456789",
name: "Protect Policy"
}

Agora que você viu um exemplo básico em ação, pode usar as várias opções de comando para extrair e manipular dados em seu ambiente.

Informações Relacionadas

• Documentação da API do Cisco AMP para endpoints

 Suporte Técnico e Documentação - Cisco Systems