面向終端的思科AMP API概述

簡介

本檔案介紹適用於端點的思科進階惡意軟體防護(AMP)。面向終端的思科AMP隨附應用程式設計介面(API)。它允許您從面向終端的AMP部署中提取資料，並在必要時對其進行處理。 

本文展示API的一些基本功能。本文中的示例使用Windows 7終結點。

作者：Matthew Franks、Nazmul Rajib和Cisco TAC工程師。

產生和刪除API認證

要使用面向終端API的AMP，您必須設定API憑證。  按照給定的步驟透過AMP控制檯建立憑據。 

第1步：登入控制檯，然後導航到帳戶> API憑據。

第2步：點選新建API憑據以建立新的金鑰集。

第3步：提供應用程式名稱。選擇「只讀」或「讀寫」的範圍。

注意：具有讀寫作用域的API憑據可能會對面向終端的思科AMP的終端配置進行更改，從而可能導致終端出現重大問題。 面向終端的思科AMP思科AMP的終端控制檯內建的一些輸入保護功能不適用於API。

第4步：點選建立按鈕。螢幕上會顯示API Key Details。儲存此資訊，因為部分資訊在離開螢幕後不可用。

注意：API憑證（API客戶端ID和API金鑰）將允許其他程式檢索和修改面向終端的思科AMP的終端資料。它在功能上等同於使用者名稱和密碼，因此應視之為。

注意：您的API證明資料只會顯示一次。如果遺失認證，您必須產生新認證。

如果您懷疑某個應用程式的API認證受到危害，請刪除該API認證，然後建立新的認證。 刪除API憑據時，它會鎖定使用舊憑據的客戶端，因此請使用新憑據更新這些憑據。

API版本和當前選項

面向終端的AMP API目前有兩個版本-版本0和版本1。版本1與版本0相比具有更多功能。版本1的文檔位於此處。  您可以使用版本1提取此資訊。

• 電腦
• 電腦活動
• 活動
• 事件型別
• 檔案清單
• 檔案清單專案
• 群組
• 政策
• 版本

按一下文檔中的相關命令可檢視其用法示例。 

API命令細分和示例

每個API命令都包含類似的資訊，並且基本上可以分解為curl命令，可以這樣檢視：

curl -o yourfilename.json https://clientID:APIKey@api.amp.cisco.com/v1/whatyouwanttodo

當使用帶-o選項的curl命令時，它允許您將輸出儲存到檔案。在這種情況下，檔案名稱為「yourfilename.json」。 

提示：有關.json檔案的詳細資訊，此處提供。

curl命令的下一步是在憑據@符號之前設定地址。當您生成API憑據時，您知道clientID和APIKey，因此命令的此部分將類似於下面給出的連結。

https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@

增加版本號和您要執行的操作。對於本示例，運行GET /v1/computers選項。完整命令如下所示：

curl -o computers.json https://538e8b8203a48cc5c7fa:a190c911-8ca4-45fa-8740-e384ef2d3d5b@api.amp.cisco.com/v1/computers

 運行該命令後，您應該會看到computers.json檔案下載到您發出該命令的目錄中。

注意： Curl在線提供，並且針對包括Windows在內的許多平台進行編譯（通常您需要使用Win32 -通用版本）。

當您開啟檔案時，您將會看到所有資料在一行中。  如果您希望看到其正確格式，可以安裝瀏覽器外掛，將其格式設定為JSON，並在瀏覽器中打開該檔案。這會顯示您想要使用的電腦資訊，例如：

connector_guid、hostname、active、links、connector_version、operating_system、internal_ips、external_ip、group_guid、network_addresses、policy guid和policy name。

{
version: "v1.0.0",
metadata: {
links: {
self: "https://api.amp.cisco.com/v1/computers"
},
results: {
total: 4,
current_item_count: 4,
index: 0,
items_per_page: 500
}
},
data: [
{
connector_guid: "abcdef-1234-5678-9abc-def123456789",
hostname: "test.cisco.com",
active: true,
links: {
computer: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789",
trajectory: "https://api.amp.cisco.com/v1/computers/abcdef-1234-5678-9abc-def123456789/trajectory",
group: "https://api.amp.cisco.com/v1/groups/abcdef-1234-5678-9abc-def123456789"
},
connector_version: "4.4.2.10200",
operating_system: "Windows 7, SP 1.0",
internal_ips: [
"10.1.1.2",
" 192.168.1.2",
" 192.168.2.2",
" 169.254.245.1"
],
external_ip: "1.1.1.1",
group_guid: "abcdef-1234-5678-9abc-def123456789",
network_addresses: [
{
mac: "ab:cd:ef:01:23:45",
ip: "10.1.1.2"
},
{
mac: "bc:de:f0:12:34:56",
ip: "192.168.1.2"
},
{
mac: "cd:ef:01:23:45:67",
ip: "192.168.2.2"
},
{
mac: "de:f0:12:34:56:78",
ip: "169.254.245.1"
}
],
policy: {
guid: "abcdef-1234-5678-9abc-def123456789",
name: "Protect Policy"
}

現在，您已經看到一個基本的實際操作示例，您可以使用各種命令選項來提取和處理環境中的資料。

相關資訊

• 思科終端進階惡意軟體防護API檔案

 技術支援與文件 - Cisco Systems