面向终端的Cisco AMP API概述

简介

本文档介绍面向终端的思科高级恶意软件防护(AMP)。面向终端的思科AMP随附应用编程接口(API)。它允许您从面向终端的AMP部署中提取数据，并在必要时对其进行处理。 

本文介绍API的一些基本功能。本文中的示例使用Windows 7终端。

作者：Matthew Franks、Nazmul Rajib和Cisco TAC工程师。

生成和删除API凭证

要使用适用于终端API的AMP，您必须设置API凭证。  按照下述步骤通过AMP控制台创建凭证。 

第1步：登录控制台，然后导航到帐户> API凭证。

第2步：点击新建API凭证以创建一组新密钥。

第3步：提供应用名称。选择“只读”或“读写”的范围。

注意：具有读写作用域的API凭证可以对您的面向终端的思科AMP思科AMP的终端配置进行更改，这可能会导致您的终端出现重大问题。 面向终端的思科AMP思科AMP的终端控制台内置的一些输入保护不适用于API。

第4步：点击创建按钮。系统将显示API Key Details。保存此信息，因为离开屏幕后，其中的某些信息将不可用。

注意：API凭证（API客户端ID和API密钥）允许其他程序检索和修改您的面向终端的思科AMP的终端数据。它在功能上等同于用户名和密码，因此应如此对待。

注意：您的API凭证仅显示一次。如果丢失凭证，必须生成新凭证。

如果您怀疑某个应用的API凭证受到危害，请将其删除，然后创建一个新凭证。 删除API凭证时，它会锁定使用旧凭证的客户端，因此使用新凭证更新它们。

API版本和当前选项

面向终端的AMP API目前有两个版本-版本0和版本1。版本1与版本0相比具有其他功能。版本1的文档此处。  您可以使用版本1提取此信息。

• 计算机
• 计算机活动
• 事件
• 事件类型
• 文件列表
• 文件列表项
• 组
• 策略
• 版本

单击文档中的相关命令可查看其用法示例。 

API命令细分和示例

每个API命令都包含类似信息，并且基本上可以分解为curl命令，如下所示：

curl -o yourfilename.json https://clientID:APIKey@api.amp.cisco.com/v1/whatyouwanttodo

当使用带-o选项的curl命令时，它允许您将输出保存到文件。在本示例中，文件名为“yourfilename.json”。 

提示：有关.json文件的详细信息，请此处找到。

curl命令中的下一步是设置带有@符号前凭证的地址。生成API凭证时，您知道clientID和APIKey，因此命令的此部分与下面给出的链接类似。

https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@

添加版本号和您要执行的操作。对于本示例，运行GET /v1/computers选项。完整命令如下所示：

curl -o computers.json https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@api.amp.cisco.com/v1/computers

 运行该命令后，您应该会看到computers.json文件下载到您发出该命令的目录中。

注意：Curl在线提供，并且编译用于包括Windows在内的许多平台（通常您会想要使用Win32 -通用版本）。

打开文件时，您将在一行中看到所有数据。  如果您希望以正确的格式查看此文件，可以安装浏览器插件将其格式设置为JSON，然后在浏览器中打开该文件。这将显示计算机的信息，您可以根据需要使用，例如：

connector_guid、hostname、active、links、connector_version、operating_system、internal_ips、external_ip、group_guid、network_addresses、policy guid和策略名称。

{
version: "v1.0.0",
metadata: {
links: {
self: "https://api.amp.cisco.com/v1/computers"
},
results: {
total: 4,
current_item_count: 4,
index: 0,
items_per_page: 500
}
},
data: [
{
connector_guid: "abcdef-1234-5678-9abc-def123456789",
hostname: "test.cisco.com",
active: true,
links: {
computer: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789",
trajectory: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789/trajectory",
group: "https://api.amp.cisco.com/v1/groups/abcdef-1234-5678-9abc-def123456789"
},
connector_version: "4.4.2.10200",
operating_system: "Windows 7, SP 1.0",
internal_ips: [
"10.1.1.2",
" 192.168.1.2",
" 192.168.2.2",
" 169.254.245.1"
],
external_ip: "1.1.1.1",
group_guid: "abcdef-1234-5678-9abc-def123456789",
network_addresses: [
{
mac: "ab:cd:ef:01:23:45",
ip: "10.1.1.2"
},
{
mac: "bc:de:f0:12:34:56",
ip: "192.168.1.2"
},
{
mac: "cd:ef:01:23:45:67",
ip: "192.168.2.2"
},
{
mac: "de:f0:12:34:56:78",
ip: "169.254.245.1"
}
],
policy: {
guid: "abcdef-1234-5678-9abc-def123456789",
name: "Protect Policy"
}

现在，您已经看到一个操作中的基本示例，您可以使用各种命令选项来提取和操作环境中的数据。

相关信息

• 面向终端的Cisco AMP API文档

 技术支持和文档 - Cisco Systems