管理防御规则
您可以使用防御规则来阻止文件或进程在具有端点代理组件的选定主机或所有主机上运行。例如,您可以阻止某些您认为不安全的应用程序。该应用程序通过使用 MD5 和 SHA256 哈希算法基于文件哈希识别文件。通过外部系统创建的防御规则可以包含多个文件哈希。
您可以使用外部系统来管理为单个主机或同时为所有主机创建的所有防御规则。当您通过外部系统为选定主机创建防御规则时,Kaspersky Anti Targeted Attack Platform 会将应用于该主机的所有防御规则替换为具有新参数的防御规则。例如,如果您通过应用程序的 Web 界面为选定主机添加了多个防御规则,随后通过外部系统添加了一条防御规则,则在 Web 界面中添加的所有防御规则都将替换为通过外部系统添加的规则。
当通过外部系统创建的防御规则的参数被修改时,应用程序仅保存新参数。例如,如果您添加了一条包含多个文件的哈希值的防御规则,并且想要向该规则添加另一个哈希值,则必须创建一个请求来添加防御规则并指定您之前有防御的所有哈希值,加上新的哈希值。
所描述的场景也与应用于所有主机的防御规则相关。
要使用 API 创建防御规则,建议按照以下步骤与 Kaspersky Anti Targeted Attack Platform 进行交互:
- 创建获取具有端点代理组件的主机列表的请求
- 创建请求以获取已具有防御规则的主机的信息。
- 创建请求执行以下防御规则操作之一:
添加的防御规则显示在应用程序的 Web 界面中的防止部分,防止规则子部分。
如果要通过外部系统为所有主机创建防御规则,您必须首先确保服务器上不存在同一文件的防御规则,或者规则没有被应用于一台或多台主机。如果您想要通过外部系统为选定的主机创建防御规则,则此先决条件也很重要:您必须确保服务器上不存在同一文件的防御规则,并且没有应用于所有主机。否则,服务器将向外部系统返回错误,其中包含已应用防御规则的主机列表。
如果通过外部系统创建的防御规则包含多个文件哈希,则错误信息仅提及导致错误的第一个文件。其他防重复规则的信息不显示。
要修改之前通过 Web 界面或外部系统创建的防御规则,您必须创建请求以添加具有更新参数的防御规则。