版本：2019 自動化 api 手冊 · 及說明 apex central 概念和功能的 pdf 文件...

自動化 API 手冊適用於企業的集中化安全防護管理

版本：2019

Trend Micro Incorporated / 趨勢科技股份有限公司保留變更此文件與此處提及之產品的權利，恕不另行通知。安裝及使用產品之前，請先閱讀 Readme 檔、版本資訊和/或適用的最新版文件。您可至 Trend Micro 網站取得上述資訊：

http://docs.trendmicro.com/zh-tw/enterprise/apex-central.aspx

Trend Micro、Trend Micro t-ball 標誌、OfficeScan、Control Manager、Apex One和 Apex Central 是 Trend Micro Incorporated / 趨勢科技股份有限公司的商標或註冊商標。所有其他廠牌與產品名稱則為其個別擁有者的商標或註冊商標。

版權所有 © 2019。Trend Micro Incorporated / 趨勢科技股份有限公司。保留所有權利。

文件編號：APTM08637/190408

發行日期：2019 年 3 月

受美國專利保護，專利編號： 5,623,600；5,889,943；5,951,698；6,119,165


本文件介紹了產品的主要功能，並/或提供作業環境的安裝說明。在安裝或使用本產品前，請先閱讀此文件。

如需有關如何使用產品特定功能的詳細資訊，請參閱 Trend Micro 線上說明中心和/或 Trend Micro 常見問題集。

Trend Micro 十分重視文件品質的提升。如果您對於本文件或其他 Trend Micro文件有任何問題、意見或建議，請與我們聯絡，電子郵件信箱為[email protected]。

請至下列網站並給予您對此文件的評估意見：

http://www.trendmicro.com/download/documentation/rating.asp

mailto:%[email protected]

http://www.trendmicro.com/download/documentation/rating.asp

i

目錄

序言

序言 ...................................................................................................................... v

文件 ..................................................................................................................... vi

讀者 ..................................................................................................................... vi

文件慣例 .......................................................................................................... vii

詞彙 ................................................................................................................... vii

第 1 章：開始使用 Apex Central 自動化 API使用 Apex Central 自動化 API .................................................................. 1-2

新增應用程式 ................................................................................................ 1-3

使用適用於 Visual Studio 的自動化 API 示範專案 ............................ 1-4

使用適用於 Python 的自動化 API 示範專案 ....................................... 1-5

授權 Token 結構 ........................................................................................... 1-6已解碼的 JWT Token 範例 ................................................................. 1-8總和檢查碼計算 ................................................................................... 1-8

自動化 API 回應 ......................................................................................... 1-10自動化 API 結果碼 ............................................................................ 1-12

第 2 章：支援的 Apex Central 自動化 APIApex Central 自動化 API ............................................................................ 2-2

ProductServers :: List ..................................................................................... 2-2

ProductServers :: DeployUpdateSources .................................................... 2-5

ProductAgents :: List ................................................................................... 2-11

ProductAgents :: Isolate .............................................................................. 2-14

ProductAgents :: Restore ............................................................................. 2-19

ProductAgents :: Relocate ........................................................................... 2-24

Trend Micro Apex Central™ 自動化 API 手冊

ii

ProductAgents :: Uninstall .......................................................................... 2-29

第 3 章：支援的自訂情報自動化 API自訂情報自動化 API ................................................................................... 3-2

UDSO API ...................................................................................................... 3-3FileUDSO :: Add .................................................................................... 3-3UDSO :: Add .......................................................................................... 3-6

STIX API ....................................................................................................... 3-10STIX :: Extract ...................................................................................... 3-10STIX :: List ............................................................................................ 3-13STIX :: Download ................................................................................ 3-19STIX :: Upload ...................................................................................... 3-22STIX :: Delete ....................................................................................... 3-28STIX :: GetInfo .................................................................................... 3-31

OpenIOC API .............................................................................................. 3-34OpenIOC :: Extract ............................................................................. 3-34OpenIOC :: List .................................................................................... 3-37OpenIOC :: Download ........................................................................ 3-42OpenIOC :: Upload ............................................................................. 3-46OpenIOC :: Delete ............................................................................... 3-52OpenIOC :: GetInfo ............................................................................ 3-55

YARA API ..................................................................................................... 3-58YARA :: List .......................................................................................... 3-58YARA :: Download .............................................................................. 3-63YARA :: Upload .................................................................................... 3-66YARA :: Delete ..................................................................................... 3-72

自訂情報自動化 API 回應 ...................................................................... 3-75自訂情報自動化 API 回應碼 .......................................................... 3-77

第 4 章：支援的安全威脅調查自動化 API安全威脅調查自動化 API .......................................................................... 4-2

ShowFootPrintChain ............................................................................. 4-3ShowFootPrintTable ............................................................................ 4-18ShowFootPrintCSV .............................................................................. 4-29CreateQuickScan .................................................................................. 4-32

目錄

iii

ShowScanSummaryList ....................................................................... 4-39ShowScanListByScanSummaryGuid ................................................. 4-48ShowAgentList ..................................................................................... 4-56CreateScan（自訂條件） .................................................................. 4-62CreateScan（OpenIOC 和 YARA 檔案） ..................................... 4-68CreateScan（登錄） ........................................................................... 4-72CreateProcessTermination .................................................................. 4-78CreateScanSchedule ............................................................................. 4-82ShowContent ........................................................................................ 4-90

安全威脅調查自動化 API 回應 ............................................................. 4-95安全威脅調查自動化 API 結果碼 ................................................ 4-99安全威脅調查自動化 API 狀態碼 .............................................. 4-101

附錄

附錄 A：自動化 API 參考

自動化 API 產品值 ..................................................................................... A-2

自動化 API 隔離狀態 ................................................................................. A-3

自動化 API 處理行動/功能 ..................................................................... A-3

自動化 API 結果碼 ..................................................................................... A-3

附錄 B：安全威脅調查 API 參考

安全威脅調查 API 工作類型 ................................................................... B-2

安全威脅調查 API 過濾器值 ................................................................... B-2

安全威脅調查 API "selectAll" 類型和值 ............................................... B-3

安全威脅調查 API 作業類型 ................................................................... B-4

安全威脅調查 API 節點類型 ................................................................... B-6

安全威脅調查 API 中繼資料類型 .......................................................... B-6

安全威脅調查 API 風險等級 ................................................................... B-8

安全威脅調查 API 評估條件類型 .......................................................... B-8

安全威脅調查 API 節點影像類型 .......................................................... B-9


iv

安全威脅調查 API 中繼類別 ID ........................................................... B-10

安全威脅調查 API 用戶端狀態值 ........................................................ B-10

安全威脅調查 API 作業系統值 ............................................................ B-11

索引

索引 ............................................................................................................... IN-1

v

序言

序言

本文件介紹 Trend Micro Apex Central™ 自動化 API。

本節涵蓋下列主題：

• 文件第 vi 頁

• 讀者第 vi 頁

• 文件慣例第 vii 頁

• 詞彙第 vii 頁


vi

文件

Apex Central 文件包含下列各項：

文件說明

Readme 檔包含已知問題清單，可能也包含「線上說明」或印刷文件中未提供的最新產品資訊

管理手冊提供如何設定及管理 Apex Central 和受管理產品的詳細指示，以及說明 Apex Central 概念和功能的 PDF 文件

線上說明以 WebHelp 格式編譯的 HTML 檔案，提供「相關指示」、使用建議和特定領域資訊。也可以從 Apex Central 主控台存取的「說明」

Widget 和策略管理手冊

說明如何在 Apex Central 中設定資訊中心 Widget 和策略管理設定的 PDF 文件

資料安全防護清單（僅第 1 章）

其中列出資料外洩防護的預先定義資料識別碼和範本的 PDF 文件

知識庫提供問題解決方法和疑難排解資訊的線上資料庫。此資料庫提供有關產品已知問題的最新資訊。若要存取知識庫，請前往下列網站：http://esupport.trendmicro.com/zh-tw/business/default.aspx

您可以從下列位置下載最新的 PDF 文件和 Readme 檔：


讀者

Apex Central 文件適用於下列使用者：

• Apex Central 管理員：負責安裝、設定及管理 Apex Central。這些使用者必須具備進階網路管理和伺服器管理知識。

• 受管理產品管理員：負責管理與 Apex Central 整合之 Trend Micro 產品的使用者。這些使用者必須具備進階網路管理和伺服器管理知識。

http://esupport.trendmicro.com/zh-tw/business/default.aspx


序言

vii

文件慣例

本文件會使用下列慣例。

表 1. 文件慣例

慣例說明

大寫頭字語、縮寫、特定的命令名稱和鍵盤上的按鍵

粗體功能表和功能表命令、命令按鈕、標籤和選項

斜體參考其他文件

等寬指令行範例、程式碼、Web URL、檔案名稱和程式輸出

瀏覽 > 路徑可達到特定畫面的瀏覽路徑

例如，「檔案 > 儲存」代表請點選「檔案」，然後請點選

介面上的「儲存」

注意組態設定注意事項

秘訣推薦或建議

重要必要或預設組態設定和產品限制的相關資訊

警告! 重要的處理行動和組態設定選項

詞彙

下表提供 Apex Central 文件中使用的正式詞彙：


viii

詞彙說明

管理員（或 Apex Central 管理員）

管理 Apex Central 伺服器的人員

用戶端安裝在端點上的受管理產品程式

元件負責針對安全威脅進行掃瞄、偵測和採取中毒處理行動

Apex Central 主控台、Web主控台或管理主控台

用於存取、設定及管理 Apex Central 的 Web-based 使用者介面

注意

整合式受管理產品的主控台是由受管理產品的名稱表示。例如，Apex One Web 主控台。

受管理端點安裝了受管理產品用戶端的端點

受管理的產品與 Apex Central 整合的 Trend Micro 產品

受管理的伺服器安裝了受管理產品的端點

伺服器安裝了 Apex Central 伺服器的端點

安全威脅病毒/惡意程式、間諜程式/可能的資安威脅程式和網路安全威脅的總稱

雙堆疊同時具有 IPv4 和 IPv6 位址的實體。

單純 IPv4 僅具有 IPv4 位址的實體

單純 IPv6 僅具有 IPv6 位址的實體

1-1

第 1 章

開始使用 Apex Central 自動化 API本節討論如何啟動和使用 Apex Central 自動化 API。

包含下列主題：

• 使用 Apex Central 自動化 API 第 1-2 頁

• 新增應用程式第 1-3 頁

• 使用適用於 Visual Studio 的自動化 API 示範專案第 1-4 頁

• 授權 Token 結構第 1-6 頁

• 自動化 API 回應第 1-10 頁


1-2

使用 Apex Central 自動化 APITrend Micro Apex Central™ 透過 Apex Central 自動化 API 提供部分內部產品功能的存取權，以允許使用者整合第三方解決方案。使用 API 可能潛在地暴露機密資訊（例如，用戶端和端點資訊），導致諸如用戶端隔離等狀態變更影響。為了確保只有信任的應用程式可以使用 API，請產生驗證 JSON Web Token(JWT)，讓信任的應用程式隨 API 要求一起傳送。Apex Central 會使用 JWT 資訊驗證來自第三方應用程式的所有 API 要求是否有效。

如需有關可用 API 和所支援功能的詳細資訊，請參閱下列主題：

• Apex Central 自動化 API 第 2-2 頁

• 自訂情報自動化 API 第 3-2 頁

• 安全威脅調查自動化 API 第 4-2 頁

秘訣

趨勢科技提供示範專案，可協助您開始使用 Apex Central 自動化 API。

如需詳細資訊，請參閱下列主題：


• 使用適用於 Python 的自動化 API 示範專案第 1-5 頁

請執行下列步驟，以正確利用 Apex Central 自動化 API：

1. 透過將整合式產品解決方案新增至 Apex Central 主控台，取得「應用程式識別碼」和「API 金鑰」。

如需詳細資訊，請參閱新增應用程式第 1-3 頁。

2. 使用「應用程式識別碼」和「API 金鑰」建立 JSON Web Token (JWT)，並將要求的授權標頭中的 JWT 傳送給預定的自動化 API。

開始使用 Apex Central 自動化 API

1-3

注意

• 「應用程式識別碼」是 JWT 酬載的一部分，

• 而「API 金鑰」是用來產生 JWT 簽章的秘密金鑰。

• JWT 是由第三方應用程式直接產生。

重要

請勿將「API 金鑰」做為要求的一部分進行傳輸。

如需詳細資訊，請參閱授權 Token 結構第 1-6 頁。

3. 驗證 Apex Central 是否接受 API 要求。

如需詳細資訊，請參閱自動化 API 回應第 1-10 頁。

新增應用程式

使用「自動化 API 存取設定」畫面，允許外部應用程式取用 Apex Central 自動化 API。

程序

1. 移至「管理 > 設定 > 自動化 API 存取設定」。

2. 按一下「新增」。

3. 在「應用程式存取設定」區段中，選取「使用 Apex Central 自動化 API 啟動應用程式整合」核取方塊。

4. 設定下列設定。

• 應用程式名稱：指定可輕鬆識別的應用程式名稱

• 應用程式識別碼：Apex Central 用來識別應用程式


1-4

• API 金鑰：應用程式用來簽署傳送到 Apex Central 的要求

• API 類型：表示應用程式可存取的 API 函數

• 通訊逾時：選取應用程式產生要求後，將要求送達 Apex Central 所允許的最大秒數

5. 按一下「儲存」。

使用適用於 Visual Studio 的自動化 API 示範專案

重要

自動化 API 示範專案需要 Microsoft Visual Studio 2015（或更新版本）。

程序

1. 在執行 Microsoft Visual Studio 2015（或更新版本）的系統上，從以下位置下載自動化 API 示範專案檔案：

http://docs.trendmicro.com/all/ent/tmcm/v7.0/en-us/api/VS2015AutomationAPIDemo.zip

2. 解壓縮 VS2015AutomationAPIDemo.zip 資料夾。

3. 在已解壓縮的資料夾中找到 VS2015AutomationAPIDemo.sln 檔案並按兩下，以在 Visual Studio 中開啟該檔案。

4. 在已解壓縮的資料夾中找到 App.config 檔案並編輯下列欄位，以提供您的測試環境資訊：

• APIBaseAddress

• ApplicationID

• APIKey




1-5

5. 建置並執行示範專案。

使用適用於 Python 的自動化 API 示範專案

重要

自動化 API 示範專案需要 Python 3.6（或更新版本）。

程序

1. 在執行 Python 3.6（或更新版本）的系統上，安裝下列模組：

• pycryptodome

• hashlib

• PyJWT

2. 從以下位置下載自動化 API 示範專案檔案：

http://docs.trendmicro.com/all/ent/tmcm/v7.0/en-us/api/Python3DemoScript.zip

3. 解壓縮 Python3DemoScript.zip 資料夾。

4. 在已解壓縮的 Python3DemoScript.py 檔案中，找到並指定下列設定：

• use_url_base：不含 WebApp 之 Apex Central 伺服器的 URL

範例：https://192.168.121.223:443

• use_application_id：Apex Central 產生的應用程式識別碼

• use_api_key：Apex Central 產生的 API 金鑰

5. 執行示範程式檔，它會存取自動化 API 並執行下列處理行動：

• 嘗試取得並列印具有 hostname="BENPFUOSCECLIEN" 的產品用戶端




1-6

注意

您可以直接在 Python 程式檔中變更 hostname 條件，以指定任何產品用戶端。

• 嘗試解除安裝具有entity_id="123456780114-694DBF9D-2018-0618-1930" 的產品用戶端

注意

您可以直接在 Python 程式檔中變更 entity_id 條件，以指定任何產品用戶端。

授權 Token 結構

您必須建立正確定義的 JSON Web Token，才能成功使用自動化 API。

注意

為了防止第三方嘗試攔截和重複使用 JWT Token，您必須在將應用程式新增至「自動化 API 存取設定」畫面時設定「通訊逾時」間隔。收到 API 要求時，ApexCentral 會將 "Issued at" (iat) 屬性與 Apex Central 收到此要求的時間相比較。如果此要求沒有在設定的逾時間隔之前到達，則 Apex Central 會拒絕此要求，且回應碼為 401。

下表列出在 JWT Token 的「標頭」和「酬載」區段中必須包含的必要資訊。


1-7

表 1-1. 標頭區段

內容說明

alg 用來計算 JWT 總和檢查碼的演算法

支援的演算法：

• HS256 (HMAC SHA256)

• HS384

• HS512

typ JSON Web Token (JWT) 的類型

重要

Apex Central 僅接受 JSON Web Token (JWT)。

表 1-2. 酬載區段

內容說明

appid 從「自動化 API 存取設定」畫面取得的第三方應用程式之應用程式識別碼

iat "Issued at" Token 產生時間

產生時間會使用 Unix 時間戳記（自 1970 年 1 月 1 日開始的秒數，採用 UTC 表示）格式。

version 此 JWT 授權 Token 的版本

重要

Apex Central 僅接受 "V1" JWT 授權 Token。

checksum 要求的總和檢查碼


1-8

已解碼的 JWT Token 範例

區段內容

標頭 {"alg": "HS256","typ": "JWT"}

酬載 {"appid": "2E28ED1BABA2-4D10BB13-F4FA-D5D4-31F3","iat": 1495187266.6215432,"version": "V1","checksum": "J+CMrBKctcXXuQ68GrpFyS1+FXA4gCKs8crdOGJZ24Q="}

總和檢查碼計算

為了防止第三方嘗試攔截並重複使用其他要求的 JWT Token，請將 checksum欄位包含在此 Token 中。下表列出用來計算值的欄位。

要求用來產生總和檢查碼的資訊

HTTP-Method 要求的 HTTP 方法（使用大寫字元）

• GET

• POST

• PUT


1-9

要求用來產生總和檢查碼的資訊

Raw-URL 要求的路徑和查詢字串（使用小寫字元）

• 範例 1：

自動化 API 的 URL：

https://<Apex_Central_Server>/WebApp/API/AgentResource/ProductAgents?HostName=TestAgent

原始 URL：

/webapp/API/agentresource/productagents?hostname=testagent

• 範例 2：

自動化 API 的 URL：

https://<Apex_Central_Server>/WebApp/API/AgentResource/ProductAgents

原始 URL：

/webapp/API/agentresource/productagents

重要

如果查詢字串是空的，請不要包含 "?" 字元。

Canonical-Request-Headers

以 "API" 開頭的所有要求標頭清單

• 依字母順序排序，並將每個標頭轉換為下列格式：

LowerCase(Header Name) + ":" + Trim(Header Value)

• 使用 "&" 分隔符號聯結標頭

注意

如果沒有任何標頭以 API 為開頭，請將 Canonical-Request-Headers 值保留為空字串。

Request-Body 採用 UTF-8 編碼的 JSON 字串格式的要求主體


1-10

對於計算 HTTP-Method + "|" + Raw-URL + "|" + Canonical-Request-Headers + "|" + Request-Body 後得出的 SHA-256 總和檢查碼，checksum欄位採用 base64 字串來表示計算後的 SHA-256 總和檢查碼位元組陣列。

自動化 API 回應

將授權要求傳送到預定 API 之後，Apex Central 會傳回回應，指出要求是否成功。

回應一律應為 JSON 格式的回應物件，且格式如下：

{ "result_code":(an integer indicating the result of this API call), "result_description":"(a string describing the result code)", "result_content":"(if provided, a JSON object representing the return value of the API)"}

注意

如需 result_code 狀態值的完整清單，請參閱自動化 API 結果碼第 1-12 頁。

重要

回應主體中的 result_description 欄位會依實際現況變更。如果您的應用程式依賴 Apex Central 自動化 API 回應，請使用回應主體中提供的 result_code 值，而不要使用 result_description。

下表列出可能的回應：


1-11

HTTP 狀態碼回應狀態回應主體

200 成功 { "result_code":(an integer indicating the result of this API call), "result_description":"(a string describing the result code)", "result_content":"(if provided, a JSON object representing the return value of the API)"}

注意


400 未成功，因為參數無效

{ "result_code":(an integer indicating the result of this API call), "result_description":"(a string describing the result code)", "result_content":""}

注意


401 未成功，因為授權錯誤

{ "result_code":(an integer indicating the result of this API call), "result_description":"(a string describing the result code)", "result_content":""}

注意



1-12

HTTP 狀態碼回應狀態回應主體

500 未知的錯誤 { "result_code":(an integer indicating the result of this API call), "result_description":"(a string describing the result code)", "result_content":""}

注意


自動化 API 結果碼

下表列出 Apex Central 自動化 API 結果碼和對應的說明：

結果碼說明

1 作業成功

-2 驗證未成功：未提供驗證 Token。

-3 驗證未成功：驗證 Token 格式錯誤

-4 驗證未成功：驗證 Token 版本不受支援

-5 驗證未成功：應用程式 ID 無效

-6 驗證未成功：驗證 Token 已到期

-7 驗證未成功：驗證 Token 簽章無效

-8 驗證未成功：要求總和檢查碼無效

-9 驗證未成功：驗證 Token 簽章演算法不受支援

-21 輸入的參數無效

-22 處理行動無效


1-13

結果碼說明

-50 HTTP 方法不受支援

-99 內部伺服器錯誤

-102 用戶端處理行動未成功：不支援多個相符項目

-103 用戶端處理行動未成功：無法隔離向另一部 Apex Central 伺服器報告的用戶端

-104 用戶端處理行動未成功：無法連線到遠端伺服器

-105 用戶端處理行動未成功：找不到目標伺服器

-106 用戶端處理行動未成功：目標伺服器由子 Apex Central 伺服器管理

-107 用戶端處理行動未成功：目標伺服器不支援指令

-1101 可疑物件處理行動未成功：超過數量上限

-1102 可疑物件處理行動未成功：無法產生已上傳檔案的掃瞄預先過濾，檔案有可能因防毒而遭到封鎖

2-1

第 2 章

支援的 Apex Central 自動化 API本節討論支援的 Apex Central 自動化 API。


• Apex Central 自動化 API 第 2-2 頁

• ProductServers :: List 第 2-2 頁

• ProductServers :: DeployUpdateSources 第 2-5 頁

• ProductAgents :: List 第 2-11 頁

• ProductAgents :: Isolate 第 2-14 頁

• ProductAgents :: Restore 第 2-19 頁

• ProductAgents :: Relocate 第 2-24 頁

• ProductAgents :: Uninstall 第 2-29 頁


2-2

Apex Central 自動化 API支援下列 Apex Central 自動化 API：

API 處理行動說明

ProductServers ProductServers :: List 列出受管理的產品伺服器

ProductServers ::DeployUpdateSources

將「更新代理程式」的更新來源部署到 Apex One server

ProductAgents ProductAgents :: List 列出受管理的產品用戶端

ProductAgents :: Isolate 隔離用戶端連線

ProductAgents :: Restore 恢復隔離的用戶端連線

ProductAgents :: Relocate 將用戶端重新定位到其他伺服器或目錄

ProductAgents :: Uninstall 解除安裝用戶端

如需有關如何使用 Apex Central 自動化 API 的詳細資訊，請參閱下列主題：

• 使用 Apex Central 自動化 API 第 1-2 頁


• 使用適用於 Python 的自動化 API 示範專案第 1-5 頁

ProductServers :: List擷取受管理產品伺服器（例如 Apex One server）的清單。

HTTP 要求

GET /WebApp/API/ServerResource/ProductServers

支援的 Apex Central 自動化 API

2-3

參數

名稱類型說明

選擇性參數

entity_id 字串受管理產品伺服器的 GUID

ip_address 字串受管理產品伺服器的 IP 位址

host_name 字串受管理產品伺服器的主機名稱

product 字串伺服器適用的趨勢科技產品

如需可用的值，請參閱自動化 API 產品值第 A-2 頁。

HTTP 要求範例

GET /WebApp/API/ServerResource/ProductServers?ip_address=192.168.121.131

HTTP 要求主體

指定 JSON 物件，其中包含下列內容：

• HTTP 標頭：

欄位名稱值

Authorization Bearer [產生的 JWT 驗證 Token]

• 要求主體：

[空白]

回應

如果成功，此方法會傳回 HTTP 狀態碼 “200”，以及包含結果碼 “1” 且結構如下的回應主體：

{ "result_code":1 "result_description":"Operation successful"


2-4

"result_content":[ { "entity_id":"026332F39EBC-41C19604-02DD-2C5F-EDE5", "product":"SLF_PRODUCT_OFFICESCAN_CE", "ad_domain":"", "ip_address_list": "192.168.121.131,fe80::8846:d1ac:8ee1:85ce", "host_name":"OSCESERVER", "capabilities":[ "cmd_deploy_update_sources" ] } ]}

其中 result_content 物件包含符合所有指定參數的伺服器清單：

名稱類型說明


product 字串伺服器執行個體上的趨勢科技產品

如需可用的值，請參閱自動化 API 產品值第 A-2頁。

ad_domain 字串伺服器所屬的 Active Directory 網域（如果適用）

ip_address_list 字串伺服器上的 IP 位址清單

host_name 字串伺服器的主機名稱

capabilities 字串列出可以對伺服器執行的 API 處理行動

如需可用的值，請參閱自動化 API 處理行動/功能第A-3 頁。

如需有關 API 回應和回應碼說明的詳細資訊，請參閱下列主題：


• 自動化 API 結果碼第 1-12 頁


2-5

ProductServers :: DeployUpdateSources將「更新代理程式」的更新來源部署到 Apex One server。

• 如果要使用標準更新來源（從 Apex One server 更新），請將AllowUpdateFromOtherAU 值設定為 0。

• 如果要部署自訂的更新來源，請將 AllowUpdateFromOtherAU 值設定為1。

HTTP 要求

POST /WebApp/API/ServerResource/ProductServers

參數

重要

HTTP 要求主體必須包含所有必要參數。

名稱類型說明

必要參數


用來表示要在其上執行處理行動的伺服器

act 字串指定值做為 cmd_deploy_update_sources


2-6

名稱類型說明

setting_data_JSON_string

字串包含要部署的更新來源設定的 JSON 字串：

• AllowUpdateFromOtherAU

• UpdateComponentFromServerIfOUSFailed

• UpdateSettingFromServerIfOUSFailed

• UpdateProgramFromServerIfOUSFailed

• OUSList

AllowUpdateFromOtherAU

字串 • 0：使用 Apex One 伺服器做為用戶端的更新來源

• 1：使用自訂的更新來源（而非 ApexOne 伺服器）來更新用戶端

UpdateComponentFromServerIfOUSFailed

字串 • 0：如果所有自訂的更新來源都無法使用或找不到，則不會將元件部署到Security Agent

• 1：如果所有自訂的更新來源都無法使用或找不到，則會將元件部署到Security Agent

UpdateSettingFromServerIfOUSFailed

字串 • 0：如果所有自訂的更新來源都無法使用或找不到，則不會將網域設定部署到Security Agent

• 1：如果所有自訂的更新來源都無法使用或找不到，則會將網域設定部署到Security Agent

UpdateProgramFromServerIfOUSFailed

字串 • 0：如果所有自訂的更新來源都無法使用或找不到，則不會將 Security Agent程式和 Hotfix 部署到 Security Agent

• 1：如果所有自訂的更新來源都無法使用或找不到，則會將 Security Agent 程式和 Hotfix 部署到 Security Agent


2-7

名稱類型說明

OUSList 字串自訂的更新來源清單包含下列金鑰：

• OUSSettingType

• OUSSettingJSONString

OUSSettingType 字串指出自訂的更新來源資料類型

• IPv4：指定下列項目：

• FromIP：IP 範圍的第一個 IPv4 位址

• ToIP：IP 範圍的最後一個 IPv4 位址

• OUS：更新代理程式的 URL

• IPv6：指定下列項目：

• Prefix：IPv6 位址字首

• Length：IPv6 位址長度（以位元表示）

• OUS：更新代理程式的 URL

• OUSIni：在 <Apex One 伺服器安裝目

錄\PCCSRV 資料夾內的 ous.ini 檔案中，指定字串 OusIniString

OUSSettingJSONString

字串指出包含更新來源設定的 JSON 格式字串

HTTP 要求範例

POST /WebApp/API/ServerResource/ProductServers

HTTP 要求主體


• HTTP 標頭：


2-8

欄位名稱值


• 要求主體：

{ "entity_id":"58694B6C13DD-41C9A0F1-23E8-BFC9-7EAC", "act":"cmd_deploy_update_sources", "setting_data_JSON_string": "{ "AllowUpdateFromOtherAU":1, "UpdateComponentFromServerIfOUSFailed":1, "UpdateSettingFromServerIfOUSFailed":1, "UpdateProgramFromServerIfOUSFailed":1, "OUSList":[ { "OUSSettingType":"IPv4", "OUSSettingJSONString":" { "FromIP":"192.168.1.1", "ToIP":"192.168.1.255", "OUS":"http://192.168.183.141:21112 /activeupdate"}" }, { "OUSSettingType":"IPv6", "OUSSettingJSONString":"{ "Prefix":"fec0:0:0:12::", "Length":128, "OUS":"http://192.168.183.141:21112 /activeupdate"}" }, { "OUSSettingType":"OUSIni", "OUSSettingJSONString":"{ "OusIniString":"192.168.183.1, 192.168.183.255,,http://192.168.183.141:21112 /activeupdate"}" } ]


2-9

}" }

回應


{ "result_code":1 "result_description":"Operation successful" "result_content":[ { "entity_id":"026332F39EBC-41C19604-02DD-2C5F-EDE5", "product":"SLF_PRODUCT_OFFICESCAN_CE", "ad_domain":"", "ip_address_list": "192.168.121.131,fe80::8846:d1ac:8ee1:85ce", "host_name":"OSCESERVER" "capabilities":[ "cmd_deploy_update_sources" ] } ]}

其中 result_content 物件包含符合所有指定參數的伺服器清單：

名稱類型說明




ad_domain 字串伺服器所屬的 Active Directory 網域（如果適用）

ip_address_list 字串伺服器上的 IP 位址清單

host_name 字串伺服器的主機名稱


2-10

名稱類型說明

capabilities 字串列出可以對伺服器執行的 API 處理行動






2-11

API 順序圖

ProductAgents :: List擷取受管理產品 Security Agent 的清單。

HTTP 要求

GET /WebApp/API/AgentResource/ProductAgents


2-12

參數

名稱類型說明

選擇性參數

entity_id 字串受管理產品用戶端的 GUID

ip_address 字串受管理產品用戶端的 IP 位址

mac_address 字串受管理產品用戶端的 MAC 位址

host_name 字串受管理產品用戶端的端點名稱

product 字串用戶端適用的趨勢科技產品

如需可用的值，請參閱自動化 API 產品值第 A-2 頁。

managing_server_id 字串管理用戶端的產品伺服器 GUID

HTTP 要求範例

GET /WebApp/API/ServerResource/ProductAgents?ip_address=192.168.121.132&mac_address=00-0C-29-9B-AB-65&host_name=OSCECLIENT

HTTP 要求主體


• HTTP 標頭：

欄位名稱值


• 要求主體：

[空白]

回應



2-13

{ "result_code":1, "result_description":"Operation successful", "result_content":[ { "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "product":"SLF_PRODUCT_OFFICESCAN_CE", "managing_server_id": "026332F39EBC-41C19604-02DD-2C5F-EDE5", "ad_domain":"", "folder_path":"Workgroup", "ip_address_list":"192.168.121.132", "mac_address_list":"00-0C-29-9B-AB-65", "host_name":"OSCECLIENT", "isolation_status":"normal", "capabilities":[ "cmd_uninstall_agent", "cmd_relocate_agent", "cmd_isolate_agent", "cmd_restore_isolated_agent" ] } ]}

其中 result_content 物件包含符合所有指定參數的用戶端清單：

名稱類型說明




managing_server_id

字串管理用戶端的產品伺服器 GUID

ad_domain 字串用戶端所屬的 Active Directory 網域（如果適用）

folder_path 字串用戶端所在管理伺服器上的資料夾路徑（例如，用戶端列於其下的 Apex One 網域）


2-14

名稱類型說明

ip_address_list 字串列出用戶端端點上的 IP 位址

mac_address_list

字串列出用戶端端點上的 MAC 位址


isolation_status 字串表示用戶端隔離狀態（如果適用）。

如需可用的值，請參閱自動化 API 隔離狀態第A-3 頁。

capabilities 字串列出可以對用戶端執行的 API 處理行動。





ProductAgents :: Isolate如果要將用戶端與網路隔離，請在 HTTP 要求主體中指定 act 值做為cmd_isolate_agent。

HTTP 要求

POST /WebApp/API/AgentResource/ProductAgents

參數

重要



2-15

名稱類型說明

必要參數

act 字串指定值做為 cmd_isolate_agent

allow_multiple_match

字串指定下列其中一個項目：

• True：允許多個相符項目

• False：不允許多個相符項目

重要

如果此參數設定為 "False"，而提供的參數符合多個用戶端，則處理行動將會不成功。

選擇性參數


用於表示對其執行處理行動的用戶端









如需支援的值，請參閱自動化 API 產品值第 A-2 頁。

HTTP 要求範例



2-16

HTTP 要求主體


• HTTP 標頭：

欄位名稱值


• 要求主體：

{ "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "act":"cmd_isolate_agent", "allow_multiple_match":false }

回應


{ "result_code":1, "result_description":"Operation successful", "result_content":[ { "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "product":"SLF_PRODUCT_OFFICESCAN_CE", "managing_server_id": "026332F39EBC-41C19604-02DD-2C5F-EDE5", "ad_domain":"", "folder_path":"Workgroup", "ip_address_list":"192.168.121.132", "mac_address_list":"00-0C-29-9B-AB-65", "host_name":"OSCECLIENT", "isolation_status":"normal", "capabilities":[ "cmd_uninstall_agent", "cmd_relocate_agent", "cmd_isolate_agent", "cmd_restore_isolated_agent"


2-17

] } ]}

其中 result_content 物件包含套用處理行動 ("act") 之前符合所有指定參數的用戶端清單：

名稱類型說明




managing_server_id





mac_address_list










2-18


API 順序圖


2-19

ProductAgents :: Restore如果要恢復已隔離用戶端與網路的連線，請在 HTTP 要求主體中指定 act 值做為 cmd_restore_isolated_agent。

HTTP 要求


參數

重要


名稱類型說明

必要參數

act 字串指定值做為cmd_restore_isolated_agent。





重要


選擇性參數


用於識別處理行動執行所在的用戶端。


2-20

名稱類型說明










HTTP 要求範例


HTTP 要求主體


• HTTP 標頭：

欄位名稱值


• 要求主體：

{ "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "act":"cmd_restore_isolated_agent", "allow_multiple_match":false }


2-21

回應


{ "result_code":1, "result_description":"Operation successful", "result_content":[ { "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "product":"SLF_PRODUCT_OFFICESCAN_CE", "managing_server_id": "026332F39EBC-41C19604-02DD-2C5F-EDE5", "ad_domain":"", "folder_path":"Workgroup", "ip_address_list":"192.168.121.132", "mac_address_list":"00-0C-29-9B-AB-65", "host_name":"OSCECLIENT", "isolation_status":"isolated", "capabilities":[ "cmd_uninstall_agent", "cmd_relocate_agent", "cmd_isolate_agent", "cmd_restore_isolated_agent" ] } ]}


名稱類型說明





2-22

名稱類型說明

managing_server_id





mac_address_list











2-23

API 順序圖


2-24

ProductAgents :: Relocate如果要將用戶端重新定位到其他伺服器或同一部伺服器上的其他目錄，請在HTTP 要求主體中指定 act 值做為 cmd_relocate_agent。

HTTP 要求


參數

重要


名稱類型說明

必要參數

act 字串指定值做為 cmd_relocate_agent。





重要


relocate_to_server_id

字串用戶端的目標伺服器 GUID

重要

如果用戶端重新定位到同一部伺服器上的目錄，則必須指定原始伺服器的GUID (managing_server_id)。


2-25

名稱類型說明

relocate_to_folder_path

字串用戶端的目標目錄

選擇性參數












HTTP 要求範例


HTTP 要求主體


• HTTP 標頭：

欄位名稱值


• 要求主體：


2-26

{ "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "act":"cmd_relocate_agent", "allow_multiple_match":false, "relocate_to_server_id": "026332F39EBC-41C19604-02DD-2C5F-ZDE6", "relocate_to_folder_path":"\\NewDomain\\NewFolder" }

回應


{ "result_code":1, "result_description":"Operation successful", "result_content":[ { "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "product":"SLF_PRODUCT_OFFICESCAN_CE", "managing_server_id": "026332F39EBC-41C19604-02DD-2C5F-EDE5", "ad_domain":"", "folder_path":"Workgroup", "ip_address_list":"192.168.121.132", "mac_address_list":"00-0C-29-9B-AB-65", "host_name":"OSCECLIENT", "isolation_status":"normal", "capabilities":[ "cmd_uninstall_agent", "cmd_relocate_agent", "cmd_isolate_agent", "cmd_restore_isolated_agent" ] } ]}



2-27

名稱類型說明




managing_server_id





mac_address_list











2-28

API 順序圖


2-29

ProductAgents :: Uninstall如果要解除安裝產品用戶端，請在 HTTP 要求主體中指定 act 值做為cmd_uninstall_agent。

HTTP 要求


參數

重要


名稱類型說明

必要參數

act 字串指定值做為 cmd_uninstall_agent。





重要


選擇性參數






2-30

名稱類型說明








HTTP 要求範例


HTTP 要求主體


• HTTP 標頭：

欄位名稱值


• 要求主體：

{ "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "act":"cmd_uninstall_agent", "allow_multiple_match":false}

回應


{ "result_code":1,


2-31

"result_description":"Operation successful", "result_content":[ { "entity_id":"8a1a84550462-40bc9afc-3770-16ac-cd6c", "product":"SLF_PRODUCT_OFFICESCAN_CE", "managing_server_id": "026332F39EBC-41C19604-02DD-2C5F-EDE5", "ad_domain":"", "folder_path":"Workgroup", "ip_address_list":"192.168.121.132", "mac_address_list":"00-0C-29-9B-AB-65", "host_name":"OSCECLIENT", "isolation_status":"normal", "capabilities":[ "cmd_uninstall_agent", "cmd_relocate_agent", "cmd_isolate_agent", "cmd_restore_isolated_agent" ] } ]}


名稱類型說明




managing_server_id





2-32

名稱類型說明


mac_address_list











2-33

API 順序圖

3-1

第 3 章

支援的自訂情報自動化 API本節討論支援的自訂情報自動化 API。


• 自訂情報自動化 API 第 3-2 頁

• UDSO API 第 3-3 頁

• STIX API 第 3-10 頁

• OpenIOC API 第 3-34 頁

• YARA API 第 3-58 頁

• 自訂情報自動化 API 回應第 3-75 頁


3-2

自訂情報自動化 APIApex Central 支援下列自訂情報自動化 API。


UDSO FileUDSO :: Add 將可疑檔案物件新增至「使用者定義的可疑物件」清單

UDSO :: Add 將可疑檔案 SHA-1 雜湊值、IP 位址、網域名稱或 URL 物件新增至「使用者定義的可疑物件」清單

STIX STIX :: Extract 將 STIX 物件解壓縮至「使用者定義的可疑物件」清單

STIX :: List 取得已上傳 STIX 檔案的清單

STIX :: Download 下載先前上傳的 STIX 檔案

STIX :: Upload 將 STIX 檔案上傳至 Apex Central

STIX :: Delete 刪除先前上傳的 STIX 檔案

STIX :: GetInfo 查詢已上傳 STIX 檔案的解壓縮狀態

OpenIOC OpenIOC :: Extract 將 OpenIOC 物件解壓縮至「使用者定義的可疑物件」清單

OpenIOC :: List 取得已上傳 OpenIOC 檔案的清單

OpenIOC :: Download 下載先前上傳的 OpenIOC 檔案

OpenIOC :: Upload 將 OpenIOC 檔案上傳至 Apex Central

OpenIOC :: Delete 刪除先前上傳的 OpenIOC 檔案

OpenIOC :: GetInfo 查詢已上傳 OpenIOC 檔案的解壓縮狀態

支援的自訂情報自動化 API

3-3


YARA YARA :: List 取得已上傳 YARA 檔案的清單

YARA :: Download 下載先前上傳的 YARA 檔案

YARA :: Upload 將 YARA 檔案上傳至 Apex Central

YARA :: Delete 刪除先前上傳的 YARA 檔案

UDSO API

FileUDSO :: Add將可疑檔案物件新增至「使用者定義的可疑物件」清單。

HTTP 要求

PUT /WebApp/API/SuspiciousObjectResource/FileUDSO

參數

重要


名稱類型說明

必要參數

file_name 字串要上傳的可疑檔案名稱

file_content_base64_string

字串可疑檔案的二進位內容，已轉換為 base64字串


3-4

名稱類型說明

file_scan_action 字串對可疑檔案所要執行的中毒處理行動

• 記錄

• 封鎖

• 隔離

note 字串可疑檔案的其他相關資訊

HTTP 要求範例

PUT /WebApp/API/SuspiciousObjectResource/FileUDSO

HTTP 要求主體


• HTTP 標頭：

欄位名稱值


• 要求主體：

{ "file_name":"VerySmallFile.txt", "file_content_base64_string":"MTIzMTIz", "file_scan_action":"LOG", "note":"Small file for test" }

回應


{ "result_code":1 "result_description":"Operation successful"


3-5

"result_content":null}

如果不成功，此方法會傳回下列結果碼：

結果碼說明







3-6

API 順序圖

UDSO :: Add使用此 API 可手動將可疑檔案 SHA-1 雜湊值、IP 位址、網域名稱或 URL 物件新增至「使用者定義的可疑物件」清單

HTTP 要求

• 下列 HTTP 要求一律會呼叫最新版 API。

PUT /WebApp/api/SuspiciousObjects/UserDefinedSO/ HTTP/1.1


3-7

注意

最新版 API 可能支援不同的參數或值。

如果您的應用程式依賴第一版 API 特有的參數或值，請使用下列 HTTP 要求。

• 下列 HTTP 要求一律會呼叫第一版 API。

PUT /WebApp/api/v1/SuspiciousObjects/UserDefinedSO/ HTTP/1.1

參數

重要


名稱類型說明值

必要參數

type 字串可疑物件類型範例："type":"ip"

• ip

• url

• file_sha1

• 網域


3-8


content 字串指定之類型的可疑物件內容

範例："content":"168.95.1.1"

• 對於"type":"ip"，請提供 IPv4 位址

• 對於"type":"url"，請提供以 http:// 或https:// 開頭的URL（長度上限：2047 個字元）

• 對於"type":"file_sha1"，請提供檔案SHA-1 雜湊（長度上限：40 個字元）

• 對於"type":"domain"，請提供網域

scan_action 字串對可疑物件所要執行的中毒處理行動（長度上限：64 個字元）

範例："scan_action":"log"

• log

• block

選擇性參數

notes 字串物件的說明（長度上限：256 個字元）

範例："notes":"SuspiciousIP address"

HTTP 要求範例

PUT /WebApp/api/SuspiciousObjects/UserDefinedSO/ HTTP/1.1


3-9

HTTP 要求主體

指定 JSON 物件，其中包含下列 HTTP 標頭和要求主體：

• HTTP 標頭：

重要

• 此 API 僅支援以下的 Content-Type。

• 外部 HTTP 要求只需要授權標頭。

欄位名稱值

Content-Type application/json;charset=utf-8

Authorization Bearer {產生的 JWT 驗證 Token}

• 要求主體：

{ "param":{ "type":"ip", "content":"168.95.1.1", "notes":"Suspicious IP address", "scan_action":"log" }}

回應

如果成功，此方法會傳回 HTTP 狀態碼 "200"、結果碼 "1"，以及結構如下的回應主體：

{ "Meta":{ "Result":"1", "ErrorCode":"0", "ErrorMsg":"" }, "PermissionCtrl":{ "permission":"255"


3-10

"elements":null }, "FeatureCtrl":{ "mode":"0" }, "SystemCtrl":{ "TmcmSoDist_Role":"none/hub/edge" }}



• 自訂情報自動化 API 回應碼第 3-77 頁

STIX API

STIX :: Extract使用此 API 可將上傳的 STIX 檔案中的可疑物件解壓縮到「使用者定義的可疑物件」清單。

HTTP 要求

PUT /SuspiciousObjectsBackend/UserDefinedSOResource/STIXExtraction HTTP/1.1

參數

重要



3-11


必要參數

FileHashIDList 字串從具有指定檔案雜湊 ID 的已上傳檔案中解壓縮可疑物件

預設值：[]

ScanType 字串指出對偵測到的可疑物件所要執行的中毒處理行動

預設值：{}

File 字串對偵測到的可疑檔案所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

IP 字串對偵測到的可疑 IP 位址所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

URL 字串對偵測到的可疑 URL 所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

Domain 字串對偵測到的可疑網域所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

HTTP 要求範例

PUT /SuspiciousObjectsBackend/UserDefinedSOResource/STIXExtraction HTTP/1.1

HTTP 要求主體


• HTTP 標頭：


3-12

重要



欄位名稱值



• 要求主體：

{ "param":{ "FileHashIDList":[ "0F386D54-FF3C-4885-A438-CFFD635C0BA3", "0050562D-9B96-5A43-62FE-03C3141324F8" ], "ScanType":{ "File":3, "IP":1, "URL":2, "Domain":1 } }}

回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "ExtractingStatus" : 1, "ExtractionErrorMessage": "" },


3-13

{ "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "ExtractingStatus" : -5, "ExtractionErrorMessage": "Database insert unsuccessful" } ], "Meta":{ "Result":"1", "ErrorCode":"", "ErrorMsg":"" }}

如果是部分成功，此方法會傳回 HTTP 狀態碼 "206" 和下列結果碼：

結果碼說明

-999 未知的錯誤

-9 超過檔案計數上限

-6 解壓縮進行中

-5 資料庫插入未成功

-3 參數驗證未成功

1 並非所有物件都成功解壓縮




STIX :: List使用此 API 可傳回已上傳至 Apex Central 伺服器的 STIX 檔案清單。

HTTP 要求

GET /WebApp/IOCBackend/STIXResource/FilingCabinet HTTP/1.1


3-14

參數

• 若要列出所有上傳的檔案，請勿指定任何參數。

• 如果要自訂清單或過濾清單以顯示符合指定值的檔案，請使用下列參數。


選擇性參數

FileHashIDList 字串過濾清單以顯示具有指定檔案雜湊ID 的已上傳檔案

注意

• 預設值會查詢所有上傳的檔案。

• 如果 FileHashIDList值包含一或多個字元（未使用預設值），則FuzzyMatchString 參數將無法發揮效用。

預設值：[]

FuzzyMatchString

字串過濾清單以顯示包含相符「檔案名稱」、「標題」和「來源內容」欄位中字串的檔案

注意

• 此參數支援部分字串比對。


預設值：""

PageSize 整數過濾清單以顯示指定的每頁上傳檔案數目

預設值：10


3-15


PageNumber 整數過濾清單以顯示「安全威脅資訊 >自訂情報 > STIX」標籤上出現在

指定頁數上的已上傳檔案

預設值：1

SortingColumn 整數依指定的資料表欄排序清單預設值：3

• 1：FileName

• 2：Title

• 3：FileAddedDatetime

• 4：UploadedFrom

• 5：UploadedBy

• 6：ExtractingStatus

SortingDirection

整數依指定的方向排序清單預設值：2

• 1：遞增

• 2：遞減

HTTP 要求範例

GET /WebApp/IOCBackend/STIXResource/FilingCabinet HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要




3-16

欄位名稱值



• 要求主體：


回應


{ "Data": "FilingCabinet": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "FileName": "cryptolocker.xml", "ShortDescription": "cryptolocker detection (experimental)", "FileAddedDatetime": "2019-04-29 15:28", "UploadedFrom": 2 "UploadedBy": "Tony_Stark", "ExtractingStatus": 0


3-17

}, { "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "FileName": "mhadi campaign (apt).xml", "ShortDescription": "mhadi campaign (apt)", "FileAddedDatetime": "2019-04-21 11:35", "UploadedFrom": 1 "UploadedBy": "CyberSponse", "ExtractingStatus": 1 } ], "TotalIOCCount": 30 }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }, "SystemCtrl": { "TmcmSoDist_Role": "edge" }}

說明：


3-18


FileHashID 字串所上傳檔案的檔案雜湊 ID 範例：2A15F09D5C2779DEE7D42BE0F7959688E5329A16

FileName 字串所上傳檔案的檔案名稱範例：“cryptolocker.xml”

Title 字串所上傳檔案的簡短說明範例：“cryptolockerdetection (experimental)”

FileAddedDatetime

DateTime

檔案上傳的日期和時間範例：“2019-04-2915:28”

UploadedFrom 整數所上傳檔案的來源 • 1：API

• 2：手動

UploadedBy 字串所上傳檔案之使用者帳號的名稱範例：“Tony_Stark”

ExtractingStatus

整數所上傳檔案的可疑物件解壓縮狀態 • 999：未解壓縮

• 0：解壓縮進行中

• 1：解壓縮成功

• 2：解壓縮不成功

TotalIOCCount 整數從所上傳檔案中解壓縮的物件總數範例：30

如果不成功，此方法會傳回 HTTP 狀態碼 "400"、結果碼 "0"，以及下列其中一個錯誤碼：

HTTP 狀態碼錯誤碼說明

400 7 不正確的參數

11 輸入不正確





3-19

STIX :: Download使用此 API 可下載已上傳至 Apex Central 伺服器的 STIX 檔案。

HTTP 要求

GET /WebApp/IOCBackend/STIXResource/File HTTP/1.1

參數

重要



必要參數

FileHashID 字串要下載檔案的檔案雜湊 ID 範例：5E0129FD99A0A698F8D12A467182DCA263AE4377

HTTP 要求範例

GET /WebApp/IOCBackend/STIXResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要




3-20

欄位名稱值



• 要求主體：

?param= { "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377" }

回應


{ "Data": { "FileName": "command-and-control-ip-list.xml", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz 0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHRwOi8vd3d3Ln czLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZSIgeG1sbnM6eHNkPS JodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYSIgaWQ9ImExM2 UyODJkLTY1ZTEtNDI2My05YjMxLTVmOTEyNTE1Mjg4YyIgbGFzdC1tb2 RpZmllZD0iMjAxMy0xMC0zMFQxOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly 9zY2hlbWFzLm1hbmRpYW50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF 9kZXNjcmlwdGlvbj5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUk lNRU5UQUwpPC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW 9uPlRoaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVucy4gUH Jlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtleSBzaG93cy B0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZlY3RlZCB3aXRoIH RoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC9kZXNjcmlwdGlvbj4NCi AgPGF1dGhvcmVkX2J5Pk1hbmRpYW50PC9hdXRob3JlZF9ieT4NCiAgPG F1dGhvcmVkX2RhdGU+MjAxMy0xMC0yOFQxNDoyNzoxMjwvYXV0aG9yZW RfZGF0ZT4NCiAgPGxpbmtzPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPn VudGVzdGVkPC9saW5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj 4NCiAgICA8SW5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNW I3LThhYjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW


3-21

5kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYmItMz c5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgIC AgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRlbSIgc2VhcmNoPS JSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWlyIiAvPg0KICAgICAgIC A8Q29udGVudCB0eXBlPSJzdHJpbmciPlNvZnR3YXJlXENyeXB0b0xvY2 tlclxGaWxlczwvQ29udGVudD4NCiAgICAgIDwvSW5kaWNhdG9ySXRlbT 4NCiAgICAgIDxJbmRpY2F0b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYm VmOGEyLTdmMTktNDAwZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgIC AgIDxJbmRpY2F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYm I3Ny03MzY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KIC AgICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0iIH NlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pciIgLz4NCi AgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPkN1cnJlbnRWZX JzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAgPC9JbmRpY2F0b3JJdG VtPg0KICAgICAgICA8SW5kaWNhdG9ySXRlbSBpZD0iNWQ1YjgyOTYtMD FjOS00MTQ2LTlhNzQtYWJhNTMxYzU3NDc5IiBjb25kaXRpb249ImNvbn RhaW5zIj4NCiAgICAgICAgICA8Q29udGV4dCBkb2N1bWVudD0iUmVnaX N0cnlJdGVtIiBzZWFyY2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPS JtaXIiIC8+DQogICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj 5DcnlwdG9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG 9ySXRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNhdG 9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：


3-22

名稱類型說明

FileName 字串所下載檔案的名稱

FileContentBase64 字串檔案內容的 Base64 雜湊




11 輸入不正確




STIX :: Upload使用此 API 可將 STIX 檔案上傳到 Apex Central 伺服器。

HTTP 要求

POST /WebApp/IOCBackend/STIXResource/File HTTP/1.1

參數

重要


名稱類型說明

必要參數


3-23

名稱類型說明

FileName 字串要上傳檔案的檔案名稱


HTTP 要求範例

POST /WebApp/IOCBackend/STIXResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：

{ "param": [ { "FileName": "multiobservables1.xml", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNv ZGluZz0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHR wOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZS IgeG1sbnM6eHNkPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNT FNjaGVtYSIgaWQ9ImExM2UyODJkLTY1ZTEtNDI2My05YjMxLTVm OTEyNTE1Mjg4YyIgbGFzdC1tb2RpZmllZD0iMjAxMy0xMC0zMFQ xOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1hbmRpYW


3-24

50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNjcmlwdGlvb j5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQUwp PC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlR oaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVuc y4gUHJlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtl eSBzaG93cyB0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZ lY3RlZCB3aXRoIHRoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC 9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmVkX2J5Pk1hbmRpYW50P C9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2RhdGU+MjAxMy0x MC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgPGxpbmt zPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8S W5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThh YjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5 kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYm ItMzc5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NC iAgICAgICAgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRl bSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWl yIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPl NvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD4NC iAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0 b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDA wZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2 F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03M zY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KICAg ICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0 iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pci IgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciP kN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAg PC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYz U3NDc5IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgI CA8Q29udGV4dCBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFy Y2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQo gICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj5DcnlwdG 9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG9yS XRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNh dG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" }, { "FileName": "multiobservables2.xml",


3-25

"FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNv ZGluZz0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHR wOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZS IgeG1sbnM6eHNkPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNT FNjaGVtYSIgaWQ9ImExM2UyODJkLTY1ZTEtNDI2My05YjMxLTVm OTEyNTE1Mjg4YyIgbGFzdC1tb2RpZmllZD0iMjAxMy0xMC0zMFQ xOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1hbmRpYW 50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNjcmlwdGlvb j5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQUwp PC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlR oaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVuc y4gUHJlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtl eSBzaG93cyB0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZ lY3RlZCB3aXRoIHRoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC 9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmVkX2J5Pk1hbmRpYW50P C9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2RhdGU+MjAxMy0x MC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgPGxpbmt zPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8S W5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThh YjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5 kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYm ItMzc5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NC iAgICAgICAgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRl bSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWl yIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPl NvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD4NC iAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0 b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDA wZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2 F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03M zY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KICAg ICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0 iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pci IgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciP kN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAg PC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYz U3NDc5IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgI CA8Q29udGV4dCBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFy Y2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQo


3-26

gICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj5DcnlwdG 9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG9yS XRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNh dG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" } ]}

回應


{ "Data": { "UploadedResultInfoList": [ { "FileName": "multiobservables1.xml", "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "UploadedStatus": 1 }, } "FileName": "multiobservables1.xml" "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "UploadedStatus": 1 } ], "UploadedResultMessageList": [ { "MessageType": 1, "Message": "Uploaded 2 STIX files successfully." } ] }, "FeatureCtrl": {


3-27

"mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：


FileName 字串所上傳檔案的檔案名稱範例：multiobservables1.xml


UploadedStatus

整數表示檔案上傳狀態的結果碼 “UploadedStatus”：1

MessageType 整數狀態訊息的類型 • 1：成功訊息

• 2：警告訊息

• 3：錯誤訊息

Message 字串狀態訊息的內容範例："Uploaded 2 STIXfiles successfully."



3-28

結果碼說明


-6 超過檔案大小上限


-4 架構驗證未成功


-2 資料檔剖析未成功


1 未成功上傳所有檔案




架構驗證

版本架構

1.2 https://stixproject.github.io/releases/1.2/

STIX :: Delete使用此 API 可從 Apex Central 伺服器中刪除 STIX 檔案。

HTTP 要求

DELETE /WebApp/IOCBackend/STIXResource/File HTTP/1.1

https://stixproject.github.io/releases/1.2/


3-29

參數

重要


名稱類型說明

必要參數

FileHashIDList 字串指出待刪除檔案的檔案雜湊 ID

HTTP 要求範例

DELETE /WebApp/IOCBackend/STIXResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：

?param= { "FileHashIDList": ["2A15F09D5C2779DEE7D42BE0F7959688E5329A16",


3-30

"5E0129FD99A0A698F8D12A467182DCA263AE4377"] }

回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "DeletedStatus": 1 }, } "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "DeletedStatus": -1 } ], "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：


3-31


FileHashID 字串指出所刪除檔案的檔案雜湊 ID 範例：2A15F09D5C2779DEE7D42BE0F7959688E5329A16

DeletedStatus 整數指出指定檔案的刪除狀態 • -1：找不到檔案

• 1：檔案已成功刪除




11 輸入不正確




STIX :: GetInfo使用此 API 可查詢已上傳至 Apex Central 伺服器之 STIX 檔案的解壓縮狀態。

HTTP 要求

GET /WebApp/IOCBackend/STIXResource/ExtractingInfo HTTP/1.1


3-32

參數

重要


名稱類型說明

必要參數

FileHashIDList 字串指出要查詢的已上傳檔案的檔案雜湊 ID

HTTP 要求範例

GET /WebApp/IOCBackend/STIXResource/ExtractingInfo HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

注意

外部 HTTP 要求只需要授權標頭。

欄位名稱值



• 要求主體：

?param= { "FileHashIDList": ["2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "5E0129FD99A0A698F8D12A467182DCA263AE4377"] }


3-33

回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "UDSOIDs": ["0x36e77307362d14b49b9d61f24b221082", "0x7414d0e3d68c409a62f72472b3b7bec2"] }, { "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "UDSOIDs": [] } ], "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：

名稱類型說明

FileHashID 字串所上傳檔案的檔案雜湊 ID


3-34

名稱類型說明

UDSOIDs 字串從所上傳檔案中解壓縮的使用者定義的可疑物件的 SLF_Key




11 輸入不正確




OpenIOC API

OpenIOC :: Extract使用此 API 可將上傳的 OpenIOC 檔案中的可疑物件解壓縮到「使用者定義的可疑物件」清單。

HTTP 要求

PUT /SuspiciousObjectsBackend/UserDefinedSOResource/OpenIOCExtraction HTTP/1.1

參數

重要



3-35


必要參數

FileHashIDList 字串從具有指定檔案雜湊 ID 的已上傳檔案中解壓縮可疑物件

ScanType 字串指出對偵測到的可疑物件所要執行的中毒處理行動

File 字串對偵測到的可疑檔案所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

IP 字串對偵測到的可疑 IP 位址所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

URL 字串對偵測到的可疑 URL 所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

Domain 字串對偵測到的可疑網域所要執行的中毒處理行動

• 1：記錄

• 2：封鎖

• 3：隔離

HTTP 要求範例

PUT /SuspiciousObjectsBackend/UserDefinedSOResource/OpenIOCExtraction HTTP/1.1

HTTP 要求主體


• HTTP 標頭：


3-36

重要



欄位名稱值



• 要求主體：


回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "ExtractingStatus" : 1, "ExtractionErrorMessage": "" },


3-37

{ "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "ExtractingStatus" : -5, "ExtractionErrorMessage": "Database insert unsuccessful" } ], "Meta":{ "Result":"1", "ErrorCode":"", "ErrorMsg":"" }}


結果碼說明



-6 解壓縮進行中



1 並非所有物件都成功解壓縮




OpenIOC :: List從 Apex Central 伺服器擷取 OpenIOC 檔案的清單。

HTTP 要求

GET /WebApp/IOCBackend/OpenIOCResource/FilingCabinet HTTP/1.1


3-38

參數




選擇性參數


注意



預設值：[]

FuzzyMatchString


注意



預設值：""


預設值：10


3-39




預設值：1


• 1：FileName

• 2：Title



• 5：UploadedBy


SortingDirection


• 1：遞增

• 2：遞減

HTTP 要求範例

GET /WebApp/IOCBackend/OpenIOCResource/FilingCabinet HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要




3-40

欄位名稱值



• 要求主體：

?param= { "FileHashIDList": ["2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "5E0129FD99A0A698F8D12A467182DCA263AE4377"], "FuzzyMatchString":"cryptolocker.ioc", "PageSize": 10, "PageNumber": 2, "SortingColumn": 3, "SortingDirection": 1 }

回應


{ "Data": "FilingCabinet": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "FileName": "cryptolocker.xml", "ShortDescription": "cryptolocker detection (experimental)", "FileAddedDatetime": "2019-04-29 15:28", "UploadedFrom": 2 "UploadedBy": "Tony_Stark", "ExtractingStatus": 0 }, { "FileHashID":


3-41

"5E0129FD99A0A698F8D12A467182DCA263AE4377", "FileName": "mhadi campaign (apt).xml", "ShortDescription": "mhadi campaign (apt)", "FileAddedDatetime": "2019-04-21 11:35", "UploadedFrom": 1 "UploadedBy": "CyberSponse", "ExtractingStatus": 1 } ], "TotalIOCCount": 30 }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }, "SystemCtrl": { "TmcmSoDist_Role": "edge" }}

說明：



FileName 字串所上傳檔案的檔案名稱範例：“cryptolocker.xml”


3-42



FileAddedDatetime

DateTime



• 2：手動


ExtractingStatus









11 輸入不正確




OpenIOC :: Download使用此 API 可下載已上傳至 Apex Central 伺服器的 OpenIOC 檔案。


3-43

HTTP 要求

GET /WebApp/IOCBackend/OpenIOCResource/File HTTP/1.1

參數

重要



必要參數


HTTP 要求範例

GET /WebApp/IOCBackend/OpenIOCResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值




3-44

• 要求主體：


回應


{ "Data": { "FileName": "cryptolocker.ioc", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz 0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHRwOi8vd3d3Lnc zLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZSIgeG1sbnM6eHNkPSJo dHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYSIgaWQ9ImExM2UyO DJkLTY1ZTEtNDI2My05YjMxLTVmOTEyNTE1Mjg4YyIgbGFzdC1tb2RpZm llZD0iMjAxMy0xMC0zMFQxOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2h lbWFzLm1hbmRpYW50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNj cmlwdGlvbj5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQ UwpPC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlRoaX MgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdGVkIHdoZW4 gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVucy4gUHJlc2VuY2Ug b2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtleSBzaG93cyB0aGF0IGEgY m94IGhhcyBsaWtlbHkgYmVlbiBpbmZlY3RlZCB3aXRoIHRoZSBDcnlwdG 9sb2NrZXIgc29mdHdhcmUuPC9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmV kX2J5Pk1hbmRpYW50PC9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2Rh dGU+MjAxMy0xMC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgP GxpbmtzPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8SW5kaWN hdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThhYjEtNGUxYy05 MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5kaWNhdG9ySXRlbSBpZ D0iYTcxZWIwZDctYWZlNS00NzA4LThkYmItMzc5YmQ0M2NjOWQ3IiBjb2 5kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgPENvbnRleHQgZG9jdW1 lbnQ9IlJlZ2lzdHJ5SXRlbSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0 aCIgdHlwZT0ibWlyIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzd HJpbmciPlNvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD 4NCiAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0b3I


3-45

gb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDAwZC04Yjg5 LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2F0b3JJdGVtIGlkP SI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03MzY2MGUyNjlhNmIiIGNvbm RpdGlvbj0iY29udGFpbnMiPg0KICAgICAgICAgIDxDb250ZXh0IGRvY3V tZW50PSJSZWdpc3RyeUl0ZW0iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1Bh dGgiIHR5cGU9Im1pciIgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlP SJzdHJpbmciPkN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgIC AgICAgPC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYzU3NDc5 IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgICA8Q29udGV4d CBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFyY2g9IlJlZ2lzdHJ5SX RlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQogICAgICAgICAgPENvbnRlbnQ gdHlwZT0ic3RyaW5nIj5DcnlwdG9sb2NrZXI8L0NvbnRlbnQ+DQogICAg ICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KI CAgIDwvSW5kaWNhdG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：

名稱類型說明




3-46




11 輸入不正確




OpenIOC :: Upload使用此 API 可將 OpenIOC 檔案上傳到 Apex Central 伺服器。

HTTP 要求

POST /WebApp/IOCBackend/OpenIOCResource/File HTTP/1.1

參數

重要


名稱類型說明

必要參數



HTTP 要求範例

POST /WebApp/IOCBackend/OpenIOCResource/File HTTP/1.1


3-47

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：

{ "param": [ { "FileName": "cryptolocker1.ioc", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNv ZGluZz0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHR wOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZS IgeG1sbnM6eHNkPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNT FNjaGVtYSIgaWQ9ImExM2UyODJkLTY1ZTEtNDI2My05YjMxLTVm OTEyNTE1Mjg4YyIgbGFzdC1tb2RpZmllZD0iMjAxMy0xMC0zMFQ xOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1hbmRpYW 50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNjcmlwdGlvb j5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQUwp PC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlR oaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVuc y4gUHJlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtl eSBzaG93cyB0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZ lY3RlZCB3aXRoIHRoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC 9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmVkX2J5Pk1hbmRpYW50P C9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2RhdGU+MjAxMy0x


3-48

MC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgPGxpbmt zPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8S W5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThh YjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5 kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYm ItMzc5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NC iAgICAgICAgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRl bSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWl yIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPl NvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD4NC iAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0 b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDA wZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2 F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03M zY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KICAg ICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0 iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pci IgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciP kN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAg PC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYz U3NDc5IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgI CA8Q29udGV4dCBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFy Y2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQo gICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj5DcnlwdG 9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG9yS XRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNh dG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" }, { "FileName": "cryptolocker2.ioc", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNv ZGluZz0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHR wOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZS IgeG1sbnM6eHNkPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNT FNjaGVtYSIgaWQ9ImExM2UyODJkLTY1ZTEtNDI2My05YjMxLTVm OTEyNTE1Mjg4YyIgbGFzdC1tb2RpZmllZD0iMjAxMy0xMC0zMFQ xOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1hbmRpYW 50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNjcmlwdGlvb j5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQUwp PC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlR


3-49

oaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVuc y4gUHJlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtl eSBzaG93cyB0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZ lY3RlZCB3aXRoIHRoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC 9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmVkX2J5Pk1hbmRpYW50P C9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2RhdGU+MjAxMy0x MC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgPGxpbmt zPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8S W5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThh YjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5 kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYm ItMzc5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NC iAgICAgICAgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRl bSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWl yIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPl NvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD4NC iAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0 b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDA wZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2 F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03M zY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KICAg ICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0 iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pci IgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciP kN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAg PC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYz U3NDc5IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgI CA8Q29udGV4dCBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFy Y2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQo gICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj5DcnlwdG 9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG9yS XRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNh dG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" } ]}


3-50

回應


{ "Data": { "UploadedResultInfoList": [ { "FileName": "cryptolocker1.ioc", "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "UploadedStatus": 1 }, } "FileName": "cryptolocker2.ioc" "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "UploadedStatus": 1 } ], "UploadedResultMessageList": [ { "MessageType": 1, "Message": "Uploaded 2 OpenIOC files successfully." } ] }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" },


3-51

"PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：


FileName 字串所上傳檔案的檔案名稱範例：cryptolocker1.ioc


UploadedStatus





Message 字串狀態訊息的內容範例："Uploaded 2OpenIOC filessuccessfully."


結果碼說明







3-52

結果碼說明







架構驗證

版本架構

1.0 https://schemas.mandiant.com/2010/ioc/ioc.xsd

OpenIOC :: Delete使用此 API 可從 Apex Central 伺服器中刪除 OpenIOC 檔案。

HTTP 要求

DELETE /WebApp/IOCBackend/OpenIOCResource/File HTTP/1.1

參數

重要


名稱類型說明

必要參數


https://schemas.mandiant.com/2010/ioc/ioc.xsd


3-53

HTTP 要求範例

DELETE /WebApp/IOCBackend/OpenIOCResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：


回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "DeletedStatus": 1 },


3-54

} "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "DeletedStatus": -1 } ], "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：







3-55



11 輸入不正確




OpenIOC :: GetInfo使用此 API 可查詢已上傳至 Apex Central 伺服器之 OpenIOC 檔案的解壓縮狀態。

HTTP 要求

GET /WebApp/IOCBackend/OpenIOCResource/ExtractingInfo HTTP/1.1

參數

重要


名稱類型說明

必要參數

FileHashIDList 字串指出要查詢的已上傳檔案的檔案雜湊 ID

HTTP 要求範例

GET /WebApp/IOCBackend/OpenIOCResource/ExtractingInfo HTTP/1.1

HTTP 要求主體



3-56

• HTTP 標頭：

注意

外部 HTTP 要求只需要授權標頭。

欄位名稱值



• 要求主體：


回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "UDSOIDs": ["0x36e77307362d14b49b9d61f24b221082", "0x7414d0e3d68c409a62f72472b3b7bec2"] }, { "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "UDSOIDs": [] } ], "FeatureCtrl": {


3-57

"mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：

名稱類型說明

FileHashID 字串所上傳檔案的檔案雜湊 ID

UDSOIDs 字串從所上傳檔案中解壓縮的使用者定義的可疑物件的 SLF_Key




11 輸入不正確





3-58

YARA API

YARA :: List擷取已上傳至 Apex Central 伺服器的 YARA 檔案清單。

HTTP 要求

GET /WebApp/IOCBackend/YARAResource/FilingCabinet HTTP/1.1

參數




選擇性參數


注意



預設值：[]


3-59


FuzzyMatchString


注意



預設值：""


預設值：10



預設值：1


• 1：FileName

• 2：Title



• 5：UploadedBy


SortingDirection


• 1：遞增

• 2：遞減


3-60

HTTP 要求範例

GET /WebApp/IOCBackend/YARAResource/FilingCabinet HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：

?param= { "FileHashIDList": ["2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "5E0129FD99A0A698F8D12A467182DCA263AE4377"], "FuzzyMatchString":"taleret.yara", "PageSize": 10, "PageNumber": 2, "SortingColumn": 3, "SortingDirection": 1 }

回應


{ "Data":


3-61

"FilingCabinet": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "FileName": "cryptolocker.yara", "ShortDescription": "cryptolocker detection (experimental)", "FileAddedDatetime": "2019-04-29 15:28", "UploadedFrom": 2 "UploadedBy": "Tony_Stark", "ExtractingStatus": 0 }, { "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "FileName": "mhadi campaign (apt).yara", "ShortDescription": "mhadi campaign (apt)", "FileAddedDatetime": "2019-04-21 11:35", "UploadedFrom": 1 "UploadedBy": "CyberSponse", "ExtractingStatus": 1 } ], "TotalIOCCount": 30 }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }, "SystemCtrl": {


3-62

"TmcmSoDist_Role": "edge" }}

說明：



FileName 字串所上傳檔案的檔案名稱範例："cryptolocker.yara"


FileAddedDatetime

DateTime



• 2：手動


ExtractingStatus








3-63



11 輸入不正確




YARA :: Download使用此 API 可下載已上傳至 Apex Central 伺服器的 YARA 檔案。

HTTP 要求

GET /WebApp/IOCBackend/YARAResource/File HTTP/1.1

參數

重要



必要參數


HTTP 要求範例

GET /WebApp/IOCBackend/YARAResource/File HTTP/1.1


3-64

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：


回應


{ "Data": { "FileName": "taleret.yara", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz 0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHRwOi8vd3d3Lnc zLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZSIgeG1sbnM6eHNkPSJo dHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYSIgaWQ9ImExM2UyO DJkLTY1ZTEtNDI2My05YjMxLTVmOTEyNTE1Mjg4YyIgbGFzdC1tb2RpZm llZD0iMjAxMy0xMC0zMFQxOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2h lbWFzLm1hbmRpYW50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNj


3-65

cmlwdGlvbj5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQ UwpPC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlRoaX MgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdGVkIHdoZW4 gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVucy4gUHJlc2VuY2Ug b2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtleSBzaG93cyB0aGF0IGEgY m94IGhhcyBsaWtlbHkgYmVlbiBpbmZlY3RlZCB3aXRoIHRoZSBDcnlwdG 9sb2NrZXIgc29mdHdhcmUuPC9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmV kX2J5Pk1hbmRpYW50PC9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2Rh dGU+MjAxMy0xMC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgP GxpbmtzPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8SW5kaWN hdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThhYjEtNGUxYy05 MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5kaWNhdG9ySXRlbSBpZ D0iYTcxZWIwZDctYWZlNS00NzA4LThkYmItMzc5YmQ0M2NjOWQ3IiBjb2 5kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgPENvbnRleHQgZG9jdW1 lbnQ9IlJlZ2lzdHJ5SXRlbSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0 aCIgdHlwZT0ibWlyIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzd HJpbmciPlNvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD 4NCiAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0b3I gb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDAwZC04Yjg5 LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2F0b3JJdGVtIGlkP SI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03MzY2MGUyNjlhNmIiIGNvbm RpdGlvbj0iY29udGFpbnMiPg0KICAgICAgICAgIDxDb250ZXh0IGRvY3V tZW50PSJSZWdpc3RyeUl0ZW0iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1Bh dGgiIHR5cGU9Im1pciIgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlP SJzdHJpbmciPkN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgIC AgICAgPC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYzU3NDc5 IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgICA8Q29udGV4d CBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFyY2g9IlJlZ2lzdHJ5SX RlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQogICAgICAgICAgPENvbnRlbnQ gdHlwZT0ic3RyaW5nIj5DcnlwdG9sb2NrZXI8L0NvbnRlbnQ+DQogICAg ICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KI CAgIDwvSW5kaWNhdG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1,


3-66

"ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：

名稱類型說明






11 輸入不正確




YARA :: Upload使用此 API 可將 YARA 檔案上傳到 Apex Central 伺服器。

HTTP 要求

POST /WebApp/IOCBackend/YARAResource/File HTTP/1.1


3-67

參數

重要


名稱類型說明

必要參數



HTTP 要求範例

POST /WebApp/IOCBackend/YARAResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：

{ "param": [


3-68

{ "FileName": "apt_plead_v1.yar", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNv ZGluZz0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHR wOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZS IgeG1sbnM6eHNkPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNT FNjaGVtYSIgaWQ9ImExM2UyODJkLTY1ZTEtNDI2My05YjMxLTVm OTEyNTE1Mjg4YyIgbGFzdC1tb2RpZmllZD0iMjAxMy0xMC0zMFQ xOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1hbmRpYW 50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNjcmlwdGlvb j5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQUwp PC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlR oaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVuc y4gUHJlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtl eSBzaG93cyB0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZ lY3RlZCB3aXRoIHRoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC 9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmVkX2J5Pk1hbmRpYW50P C9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2RhdGU+MjAxMy0x MC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgPGxpbmt zPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8S W5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThh YjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5 kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYm ItMzc5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NC iAgICAgICAgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRl bSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWl yIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPl NvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD4NC iAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0 b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDA wZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2 F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03M zY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KICAg ICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0 iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pci IgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciP kN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAg PC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYz U3NDc5IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgI


3-69

CA8Q29udGV4dCBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFy Y2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQo gICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj5DcnlwdG 9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG9yS XRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNh dG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" }, { "FileName": "apt_plead_v2.yar", "FileContentBase64":"PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNv ZGluZz0idXMtYXNjaWkiPz4NCjxpb2MgeG1sbnM6eHNpPSJodHR wOi8vd3d3LnczLm9yZy8yMDAxL1hNTFNjaGVtYS1pbnN0YW5jZS IgeG1sbnM6eHNkPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxL1hNT FNjaGVtYSIgaWQ9ImExM2UyODJkLTY1ZTEtNDI2My05YjMxLTVm OTEyNTE1Mjg4YyIgbGFzdC1tb2RpZmllZD0iMjAxMy0xMC0zMFQ xOTowNzo0NiIgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1hbmRpYW 50LmNvbS8yMDEwL2lvYyI+DQogIDxzaG9ydF9kZXNjcmlwdGlvb j5DcnlwdG9sb2NrZXIgRGV0ZWN0aW9uIChFWFBFUklNRU5UQUwp PC9zaG9ydF9kZXNjcmlwdGlvbj4NCiAgPGRlc2NyaXB0aW9uPlR oaXMgSU9DIGRldGVjdHMgcmVnaXN0cnkgZW50cmllcyBjcmVhdG VkIHdoZW4gdGhlIENyeXB0b2xvY2tlciBjcmltZXdhcmUgcnVuc y4gUHJlc2VuY2Ugb2Ygb25lIG9mIHRoZXNlIHJlZ2lzdHJ5IGtl eSBzaG93cyB0aGF0IGEgYm94IGhhcyBsaWtlbHkgYmVlbiBpbmZ lY3RlZCB3aXRoIHRoZSBDcnlwdG9sb2NrZXIgc29mdHdhcmUuPC 9kZXNjcmlwdGlvbj4NCiAgPGF1dGhvcmVkX2J5Pk1hbmRpYW50P C9hdXRob3JlZF9ieT4NCiAgPGF1dGhvcmVkX2RhdGU+MjAxMy0x MC0yOFQxNDoyNzoxMjwvYXV0aG9yZWRfZGF0ZT4NCiAgPGxpbmt zPg0KICAgIDxsaW5rIHJlbD0iZ3JhZGUiPnVudGVzdGVkPC9saW 5rPg0KICA8L2xpbmtzPg0KICA8ZGVmaW5pdGlvbj4NCiAgICA8S W5kaWNhdG9yIG9wZXJhdG9yPSJPUiIgaWQ9IjdlYTYwNWI3LThh YjEtNGUxYy05MTI4LTk5OTI2NWNkOWYyMSI+DQogICAgICA8SW5 kaWNhdG9ySXRlbSBpZD0iYTcxZWIwZDctYWZlNS00NzA4LThkYm ItMzc5YmQ0M2NjOWQ3IiBjb25kaXRpb249ImNvbnRhaW5zIj4NC iAgICAgICAgPENvbnRleHQgZG9jdW1lbnQ9IlJlZ2lzdHJ5SXRl bSIgc2VhcmNoPSJSZWdpc3RyeUl0ZW0vUGF0aCIgdHlwZT0ibWl yIiAvPg0KICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciPl NvZnR3YXJlXENyeXB0b0xvY2tlclxGaWxlczwvQ29udGVudD4NC iAgICAgIDwvSW5kaWNhdG9ySXRlbT4NCiAgICAgIDxJbmRpY2F0 b3Igb3BlcmF0b3I9IkFORCIgaWQ9ImJmYmVmOGEyLTdmMTktNDA wZC04Yjg5LTg3ZjdjNzYwNzhhZSI+DQogICAgICAgIDxJbmRpY2 F0b3JJdGVtIGlkPSI0MmU5Njk5OC03MTYxLTRmMjItYmI3Ny03M zY2MGUyNjlhNmIiIGNvbmRpdGlvbj0iY29udGFpbnMiPg0KICAg


3-70

ICAgICAgIDxDb250ZXh0IGRvY3VtZW50PSJSZWdpc3RyeUl0ZW0 iIHNlYXJjaD0iUmVnaXN0cnlJdGVtL1BhdGgiIHR5cGU9Im1pci IgLz4NCiAgICAgICAgICA8Q29udGVudCB0eXBlPSJzdHJpbmciP kN1cnJlbnRWZXJzaW9uXFJ1bjwvQ29udGVudD4NCiAgICAgICAg PC9JbmRpY2F0b3JJdGVtPg0KICAgICAgICA8SW5kaWNhdG9ySXR lbSBpZD0iNWQ1YjgyOTYtMDFjOS00MTQ2LTlhNzQtYWJhNTMxYz U3NDc5IiBjb25kaXRpb249ImNvbnRhaW5zIj4NCiAgICAgICAgI CA8Q29udGV4dCBkb2N1bWVudD0iUmVnaXN0cnlJdGVtIiBzZWFy Y2g9IlJlZ2lzdHJ5SXRlbS9QYXRoIiB0eXBlPSJtaXIiIC8+DQo gICAgICAgICAgPENvbnRlbnQgdHlwZT0ic3RyaW5nIj5DcnlwdG 9sb2NrZXI8L0NvbnRlbnQ+DQogICAgICAgIDwvSW5kaWNhdG9yS XRlbT4NCiAgICAgIDwvSW5kaWNhdG9yPg0KICAgIDwvSW5kaWNh dG9yPg0KICA8L2RlZmluaXRpb24+DQo8L2lvYz4=" } ]}

回應


{ "Data": { "UploadedResultInfoList": [ { "FileName": "apt_plead_v1.yar", "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "UploadedStatus": 1 }, } "FileName": "apt_plead_v2.yar" "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "UploadedStatus": 1 } ], "UploadedResultMessageList":


3-71

[ { "MessageType": 1, "Message": "Uploaded 2 YARA files successfully." } ] }, "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：


FileName 字串所上傳檔案的檔案名稱範例：apt_plead_v1.yar


UploadedStatus






3-72


Message 字串狀態訊息的內容範例："Uploaded 2YARA files successfully."


結果碼說明












驗證

版本編譯工具（32 位元）

3.5 https://www.dropbox.com/sh/umip8ndplytwzj1/AAAj-WhDCvLxWFn17Of8aS_pa/older%20versions?dl=0&preview=yara-3.5.0-win32.zip&subfolder_nav_tracking=1

YARA :: Delete使用此 API 可從 Apex Central 伺服器刪除 YARA 檔案。

https://www.dropbox.com/sh/umip8ndplytwzj1/AAAj-WhDCvLxWFn17Of8aS_pa/older%20versions?dl=0&preview=yara-3.5.0-win32.zip&subfolder_nav_tracking=1




3-73

HTTP 要求

DELETE /WebApp/IOCBackend/YARAResource/File HTTP/1.1

參數

重要


名稱類型說明

必要參數


HTTP 要求範例

DELETE /WebApp/IOCBackend/YARAResource/File HTTP/1.1

HTTP 要求主體


• HTTP 標頭：

重要



欄位名稱值



• 要求主體：

?param= {


3-74

"FileHashIDList": ["2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "5E0129FD99A0A698F8D12A467182DCA263AE4377"] }

回應


{ "Data": [ { "FileHashID": "2A15F09D5C2779DEE7D42BE0F7959688E5329A16", "DeletedStatus": 1 }, } "FileHashID": "5E0129FD99A0A698F8D12A467182DCA263AE4377", "DeletedStatus": -1 } ], "FeatureCtrl": { "mode": "0" }, "Meta": { "Result": 1, "ErrorCode": 0, "ErrorMsg": "Success" }, "PermissionCtrl": { "permission": "255", "elements": "null" }}

說明：


3-75








11 輸入不正確




自訂情報自動化 API 回應

自訂情報自動化 API 會傳回格式如下的 JSON 回應物件：

{ "Data": //..custom response object specific to the API... , "Meta":{ "Result":1, "ErrorCode":0,


3-76

"ErrorMsg":"" }, "PermissionCtrl":{ "permission":"255", "elements":null }, "FeatureCtrl":{ "mode":"0" }, "SystemCtrl":{ "TmcmSoDist_Role":"none/hub/edge" }}

說明：

名稱類型說明

Data 物件包含特定 API 所傳回的資料

如需有關特定 API 所傳回資料的詳細資訊，請參閱自訂情報自動化 API 第 3-2 頁。

Meta 物件指出回應狀態，包括結果、錯誤碼和錯誤訊息

Result 整數回應的結果碼

如需可用的值，請參閱自訂情報自動化 API 回應碼第 3-77 頁。

ErrorCode 整數回應的錯誤碼


ErrorMsg 字串回應的錯誤訊息

如需可用的說明，請參閱自訂情報自動化 API 回應碼第 3-77 頁。

PermissionCtrl 物件指出指派給該登入使用者帳號，用來存取 ApexCentral 功能表項目及功能的權限


3-77

名稱類型說明

permission 整數 • 255：完全控制

• 1：唯讀

elements 字串對於自訂情報自動化 API，此值一律為 "null"。

FeatureCtrl 物件指出 Apex Central 部署模式

mode 整數 • 0：Apex Central as a Service

• 1：Apex Central 內部部署伺服器

SystemCtrl 物件指出 Apex Central 伺服器的可疑物件散佈角色

TmcmSoDist_Role

字串 • "none"：未設定預設設定

• "hub"：從節點伺服器接收可疑物件清單的中樞伺服器

• "edge"：將可疑物件清單傳送至中樞伺服器的節點伺服器

自訂情報自動化 API 回應碼

下表說明有關每種支援的 HTTP 回應狀態的常見「自訂情報 API」結果代碼和錯誤碼。

HTTP 狀態碼

結果碼錯誤碼說明

200 1 0 成功

206 1 0 部分成功

400 0 7 不正確的參數

0 11 輸入不正確


3-78

HTTP 狀態碼

結果碼錯誤碼說明

401 0 14 驗證失敗：未提供 Token

0 15 驗證失敗：Token 格式不正確

0 16 驗證失敗：Token 版本不受支援

0 17 驗證失敗：應用程式 ID 無效

0 18 驗證失敗：Token 已到期

0 19 驗證失敗：Token 簽章無效

0 20 驗證失敗：要求總和檢查碼無效

0 21 驗證失敗：Token 雜湊函數不受支援

403 0 10 權限不足

405 0 1 不支援處理行動

0 22 處理行動無效

0 23 不支援 HTTP 方法

413 0 12 超過上限

500 0 2 未知的錯誤

0 3 XML 錯誤

0 5 資料庫例外

0 6 內部系統例外

0 8 找不到資料

0 9 作業階段逾時

0 13 不允許重複

0 99 內部伺服器錯誤

4-1

第 4 章

支援的安全威脅調查自動化 API本節討論支援的安全威脅調查自動化 API。


• 安全威脅調查自動化 API 第 4-2 頁

• 安全威脅調查自動化 API 回應第 4-95 頁


4-2

安全威脅調查自動化 APIApex Central 支援下列安全威脅調查自動化 API。

處理行動說明

ShowFootPrintChain 擷取摘要和信譽評等資料，並傳回包含在指定調查的根本原因鏈中的物件清單。

ShowFootPrintTable 擷取摘要和信譽評等資料，並傳回指定調查的物件清單。

ShowFootPrintCsv 將根本原因分析資料表檢視的資料擷取為 CSV 檔案。

CreateQuickScan 藉由指定包含搜尋運算子（AND、OR）與比對條件（IS、CONTAINS）的條件來建立新的初步調查。

調查目標將會是所有端點，並且會對伺服器中繼資料執行。

ShowScanSummaryList 擷取調查工作的集合。

此 API 用於在 Web 主控台的「一次性調查」標籤中顯示調查工作。

ShowScanListByScanSummaryGuid 擷取調查詳細資料，這些詳細資料可依調查狀態（「全部」、「相符」、「不相符」、「暫停中」或「未成功」）過濾，並包含每個端點的詳細調查結果。

ShowAgentList 顯示所有用戶端。

您可以依端點名稱、端點類型及 IP 範圍過濾結果。

CreateScan（自訂條件）使用自訂條件建立新的調查。

CreateScan（OpenIOC 和 YARA 檔案）

使用 OpenIOC 和 YARA 檔案建立新的調查。

CreateScan（登錄）在登錄中建立新的調查。

支援的安全威脅調查自動化 API

4-3

處理行動說明

CreateProcessTermination 如果指定的可疑程序在端點上執行，則終止該程序。

CreateScanSchedule 建立預約的調查。

ShowContent 依據指定的 taskId 擷取結果。

由於調查可能需要一些時間才能完成，因此可定期呼叫 ShowContent API，直到 API 以指定的TaskId 結果來回應。

ShowFootPrintChain擷取摘要和信譽評等資料，並傳回包含在指定調查的根本原因鏈中的物件清單。

HTTP 要求

PUT /WebApp/OSCE_iES/OsceIes/ApiEntry

參數

重要


名稱類型說明

必要參數

URL 字串指定要查詢的 Endpoint Sensor API 要求

TaskType 整數 API 要求的類型

對於 Endpoint Sensor，值一律是 4。

如需可用的值，請參閱安全威脅調查 API 工作類型第 B-2 頁。


4-4

名稱類型說明

Payload 物件要求的酬載

scanSummaryGuid

字串待擷取調查摘要的 GUID

agentGuid 字串目標端點的 GUID

serverGuid 字串陣列目標伺服器的 GUID

HTTP 要求範例


HTTP 要求主體

指定 JSON 物件，其中包含下列 HTTP 要求主體：

要求主體：

{ "Url": "V1/Task/ShowFootPrintChain", "TaskType": 4, "Payload": { "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "agentGuid": "654B1B52-C3C9-4405-B133-48E2353DA13B", "scanSummaryGuid": "58127b3e-1bde-4c6e-8d86-0d0f89ded601" }}

回應


注意

如果指定的工作仍在進行中，API 回應可能傳回空白結果。如果要監控工作的進度並確認結果是否就緒，請使用回應中的 taskId 來呼叫 ShowContent API。

如需詳細資訊，請參閱 ShowContent 第 4-90 頁。


4-5

{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "71B0FFF0-C65B-4502-B405-2404970B1D8B", "lastContentId": "[{ \"serverGuid\": \"2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6\", \"lastContentId\": 30130, \"hasMore\": false \"totalProgress\": 0, \"currentProgress\": 0}]", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "footprint": [ { "objectNodeId": "41361", "parentNodeId": "41244", "operationType": 1, "timestamp": 1539930386, "createdBy": "", "isAVChain": true }, { "objectNodeId": "41362", "parentNodeId": "41244", "operationType": 1, "timestamp": 1539930386, "createdBy": "", "isAVChain": false } ], "metaProperty": [ {


4-6

"metaHashId": "-2496182079651645963", "metaValue": "C:\\Program Files (x86)\\ Trend Micro\\OfficeScan\\PCCSRV\\WSS\\" }, { "metaHashId": "-5802268642344638556", "metaValue": "iCRCService.exe" }, { "metaHashId": "1005881870920059050", "metaValue": "E79618A56858F24F14C4E3BB6C0B0392 46FA29AD6065BFEDA0C31964417BFC47" }, { "metaHashId": "-4529102146130573936", "metaValue": "BDBE92094705F466D8E397839917 66B5C2B1E9D1" }, { "metaHashId": "-6177962065641712412", "metaValue": "4169C663DB11C7D877AF929BD1B2595A" }, { "metaHashId": "-7935765538101355343", "metaValue": "Trend Micro, Inc." }, { "metaHashId": "6636", "metaValue": "6636" }, { "metaHashId": "2996153155457079169", "metaValue": "\"C:\\Program Files (x86) \\Trend Micro\\OfficeScan \\PCCSRV\\WSS \\iCRCService.exe\"" }, { "metaHashId": "6314752325711353153", "metaValue": "SYSTEM" }, {


4-7

"metaHashId": "-5266231795820613969", "metaValue": "NT AUTHORITY" }, { "metaHashId": "-3086522818343600695", "metaValue": "C:\\Program Files (x86) \\Trend Micro\\OfficeScan \\PCCSRV\\LWCS\\" }, { "metaHashId": "3546988568951304820", "metaValue": "LWCSService.exe" }, { "metaHashId": "-2895303478273136063", "metaValue": "69B9FA6E8A2F4C3981EB47958671F14F 70EECDDD0E671A2F41C79058E9832209" }, { "metaHashId": "2617236305917161076", "metaValue": "2DE4FF049B0F4D6ED148F411F77D5EC5 CFEF2536" }, { "metaHashId": "-5536433289243677264", "metaValue": "CA42B970294E2B25D88FA905E658E632" }, { "metaHashId": "6688", "metaValue": "6688" }, { "metaHashId": "-8563225389150726767", "metaValue": "\"C:\\Program Files (x86) \\Trend Micro\\OfficeScan \\PCCSRV\\LWCS \\LWCSService.exe\"" } ], "node": [ { "nodeId": "41244",


4-8

"nodeName": "services.exe", "nodeType": 2, "event": [ { "eventId": "0", "metaLinkId": 2785366296500991000, "objectType": 2, "operation": 1, "meta": [ { "metaHashId": "-5349834418636952392", "metaType": 104 }, { "metaHashId": "-2175757065909091954", "metaType": 105 }, { "metaHashId": "4346264787540198193", "metaType": 118 }, { "metaHashId": "1006679994994412622", "metaType": 101 }, { "metaHashId": "5200381119426793962", "metaType": 102 }, { "metaHashId": "-6575892910388423387", "metaType": 107 }, { "metaHashId": "640", "metaType": 108 }, { "metaHashId": "6314752325711353153", "metaType": 300 }, {


4-9

"metaHashId": "-5266231795820613969", "metaType": 302 } ], "timestamp": 1539930320, "isMatched": false, "isSymbolEvent": true, "riskLevel": 1, "isExpanded": false, "rating": { "score": 1, "metaType": 101, "hasInvalidSigner": false }, "assessmentValue": "23036BE19298431426FD2AEE322BCE85CE553815", "assessmentType": 5 }, { "eventId": "86", "metaLinkId": -6289113405219598000, "objectType": 1, "operation": 8, "meta": [ { "metaHashId": "5991800187057662179", "metaType": 115 }, { "metaHashId": "-4772257846797309731", "metaType": 116 }, { "metaHashId": "8627432305371481955", "metaType": 118 }, { "metaHashId": "7834867635825532860", "metaType": 101 }, { "metaHashId": "8843900691366424126",


4-10

"metaType": 102 } ], "timestamp": 1540201914, "isMatched": false, "isSymbolEvent": false, "riskLevel": 2, "isExpanded": false, "rating": { "score": 0, "lowGlobalPrevalence": true, "metaType": 101, "hasInvalidSigner": false }, "assessmentValue": "CD5F4DD89D821A4E93A234E75F7F0F1FCE99E965", "assessmentType": 5 } ], "riskLevel": 1, "groupNo": 1, "nodeImage": 2, "isAVNode": true, "isAVChain": true }, { "nodeId": "41361", "nodeName": "iCRCService.exe", "nodeType": 2, "event": [ { "eventId": "2", "metaLinkId": 6552613549544301000, "objectType": 2, "operation": 1, "meta": [ { "metaHashId": "-2496182079651645963", "metaType": 104 }, { "metaHashId": "-5802268642344638556",


4-11

"metaType": 105 }, { "metaHashId": "1005881870920059050", "metaType": 118 } ], "timestamp": 1539930386, "isMatched": false, "isSymbolEvent": true, "riskLevel": 1, "isExpanded": false, "rating": { "score": 1, "metaType": 101, "hasInvalidSigner": false }, "assessmentValue": "BDBE92094705F466D8E39783991766B5C2B1E9D1", "assessmentType": 5 } ], "riskLevel": 1, "groupNo": 1, "nodeImage": 2, "isAVNode": false, "isAVChain": true }, { "nodeId": "41362", "nodeName": "LWCSService.exe", "nodeType": 2, "event": [ { "eventId": "3", "metaLinkId": -2272764769042133500, "objectType": 2, "operation": 1, "meta": [ { "metaHashId": "-3086522818343600695", "metaType": 104


4-12

}, { "metaHashId": "3546988568951304820", "metaType": 105 }, { "metaHashId": "-2895303478273136063", "metaType": 118 }, { "metaHashId": "2617236305917161076", "metaType": 101 }, { "metaHashId": "-5536433289243677264", "metaType": 102 }, { "metaHashId": "-7935765538101355343", "metaType": 107 }, { "metaHashId": "6688", "metaType": 108 }, { "metaHashId": "-8563225389150726767", "metaType": 109 }, { "metaHashId": "6314752325711353153", "metaType": 300 }, { "metaHashId": "-5266231795820613969", "metaType": 302 } ], "timestamp": 1539930386, "isMatched": false, "isSymbolEvent": true, "riskLevel": 1,


4-13

"isExpanded": false, "rating": { "score": 1, "metaType": 101, "hasInvalidSigner": false }, "assessmentValue": "2DE4FF049B0F4D6ED148F411F77D5EC5CFEF2536", "assessmentType": 5 } ], "riskLevel": 1, "groupNo": 1, "nodeImage": 2, "isAVNode": false, "isAVChain": false } ], "group": [ { "groupNo": 1, "timestamp": 1539930320 } ], "exceedLeafModuleCountLimit": true, "matchedObject": [ { "isSymbolEvent": true, "objectName": "cmd.exe", "nodeId": "61638", "objectType": 2, "groupNo": 1 }, { "isSymbolEvent": true, "objectName": "cmd.exe", "nodeId": "61687", "objectType": 2, "groupNo": 1 } ] }


4-14

} ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}

下表說明此 API 專屬的回應物件。

名稱類型說明

footprint 物件陣列 footprint 物件的容器

表示根本原因鏈中兩個節點間的關係

footprint[i].objectNodeId

字串子節點的 ID

footprint[i].parentNodeId

字串父節點的 ID

footprint[i].operationType

整數指定與事件相關聯的作業類型

如需可能的值，請參閱安全威脅調查 API 作業類型第 B-4 頁。

footprint[i].timestamp

整數記錄事件的日期和時間（採用 Unix 時間戳記格式）


4-15

名稱類型說明

footprint[i].createdBy

字串在「關聯」作業中建立目標程序的父程序

footprint[i].isAVChain

布林值表示物件是否為鏈中從「相符的物件」到「首次發現的物件」之路徑的一部分

isAVChain 會密切注意攻擊者的每個行動，並追蹤從開始節點（相符的物件）到目標節點（首次發現的物件）的路徑。

metaProperty 物件陣列 metaProperty 物件的容器

表示指派給伺服器中繼資料中物件的內容

metaProperty[j].metaHashId

字串指派給物件的唯一雜湊 ID

metaProperty[j].metaValue

字串指定之 metaHashId 的值

node 物件陣列 node 物件的容器

顯示關於節點物件的詳細資料

node[k].nodeId 字串節點的 ID

node[k].nodeName

字串節點的名稱

node[k].nodeType

整數指定物件的類型

如需可能的值，請參閱安全威脅調查 API 節點類型第 B-6 頁。

node[k].event 物件陣列 event 物件的容器

node[k].event[m].eventId

字串事件的 ID

node[k].event[m].metaLinkId

整數事件的中繼群組 ID

node[k].event[m].objectType



4-16

名稱類型說明


node[k].event[m].operation



node[k].event[m].meta

物件 meta 物件的容器

node[k].event[m].meta[n].metaHashId


node[k].event[m].meta[n].metaType

整數指定中繼資料的類型

如需可能的值，請參閱安全威脅調查 API 中繼資料類型第 B-6 頁。

node[k].event[m].timestamp

整數記錄事件的日期和時間（採用 Unix 時間戳記格式）。

node[k].event[m].isMatched

布林值當 `isMatched` 和 `isNodeSymbol` 均為 true 時，將事件標記為相符的物件

node[k].event[m].isSymbolEvent

布林值當 isSymbolEvent 為 true 時，將事件標記為表現的節點

node[k].event[m].riskLevel

整數指定節點的風險等級

如需可能的值，請參閱安全威脅調查 API 風險等級第 B-8 頁。

node[k].event[m].isExpanded

布林值將事件標記為在根本原因鏈上可見

node[k].event[m].rating.score

整數趨勢科技資訊提供的分級

node[k].event[m].rating.metaType




4-17

名稱類型說明

node[k].event[m].rating.hasInvalidSigner

布林值表示物件具有無效簽署單位

node[k].event[m].assessmentValue

字串調查中使用的條件值

node[k].event[m].assessmentType

整數指定調查中使用的條件類型

如需可能的值，請參閱安全威脅調查 API 評估條件類型第 B-8 頁。

node[k].riskLevel



node[k].groupNo

整數表示節點所屬的群組

node[k].nodeImage

整數指定指派給節點的影像類型

如需可能的值，請參閱安全威脅調查 API 節點影像類型第 B-9 頁。

node[k].isAVNode

布林值當 isAVNode 為 true 時，將節點標記為「首次發現的物件」，

node[k].isAVChain

布林值當 isAVChain 為 true 時，相關節點的 isAVChain 內容也會標記為 true。

group[o].groupNo


group[o].timestamp

整數群組的事件記錄時間（採用 Unix 時間戳記格式）

exceedLeafModuleCountLimit

布林值表示調查傳回超過 1000 個以上相符的物件

matchedObject 物件陣列 matchedObject 物件的容器


4-18

名稱類型說明

matchedObject[p].isSymbolEvent

布林值保留的參數

matchedObject[p].objectName

字串物件的名稱

matchedObject[p].nodeId

字串節點的 ID

matchedObject[p].objectType



matchedObject[p].groupNo


如需有關此 API 的標準回應與回應碼詳細資訊，請參閱下列主題：


• 安全威脅調查自動化 API 結果碼第 4-99 頁

• 安全威脅調查自動化 API 狀態碼第 4-101 頁

ShowFootPrintTable擷取摘要和信譽評等資料，並傳回指定調查的物件清單。

HTTP 要求


參數

重要



4-19

名稱類型說明

必要參數







scanSummaryGuid



HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/ShowFootPrintTable", "TaskType": 4, "Payload": { "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "agentGuid": "654B1B52-C3C9-4405-B133-48E2353DA13B", "scanSummaryGuid": "58127b3e-1bde-4c6e-8d86-0d0f89ded601" } }


4-20

回應


注意



{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "E89B0244-691F-4000-BFCB-488F01E0AA5F", "lastContentId": "[{ \"serverGuid\": \"2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6\", \"lastContentId\": 30131, \"hasMore\": false \"totalProgress\": 0, \"currentProgress\": 0}]", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "footprint": [ { "objectId": "41361", "parentId": "41244", "operationType": 1, "timestamp": 1539930386, "event": [ {


4-21

"eventId": "2", "metaLinkId": "6552613549544300799", "objectType": 2, "operationType": 1, "objectName": "iCRCService.exe", "timestamp": 1539930386, "meta": [ { "metaHashId": "-2496182079651645963", "metaType": 104 }, { "metaHashId": "-5802268642344638556", "metaType": 105 }, { "metaHashId": "1005881870920059050", "metaType": 118 }, { "metaHashId": "-4529102146130573936", "metaType": 101 }, { "metaHashId": "-6177962065641712412", "metaType": 102 }, { "metaHashId": "-7935765538101355343", "metaType": 107 }, { "metaHashId": "6636", "metaType": 108 }, { "metaHashId": "2996153155457079169", "metaType": 109 }, { "metaHashId": "6314752325711353153", "metaType": 300


4-22

}, { "metaHashId": "-5266231795820613969", "metaType": 302 } ], "riskLevel": 1, "rating": { "score": 1, "metaType": 101, "hasInvalidSigner": false }, "isSymbolEvent": true, "assessmentValue": "BDBE92094705F466D8E39783991766B5C2B1E9D1", "assessmentType": 5, "nodeImage": 2 } ], "groupNo": 1 }, { "objectId": "41362", "parentId": "41244", "operationType": 1, "timestamp": 1539930386, "event": [ { "eventId": "3", "metaLinkId": "-2272764769042133456", "objectType": 2, "operationType": 1, "objectName": "LWCSService.exe", "timestamp": 1539930386, "meta": [ { "metaHashId": "-3086522818343600695", "metaType": 104 }, { "metaHashId": "3546988568951304820", "metaType": 105


4-23

}, { "metaHashId": "-2895303478273136063", "metaType": 118 }, { "metaHashId": "2617236305917161076", "metaType": 101 }, { "metaHashId": "-5536433289243677264", "metaType": 102 }, { "metaHashId": "-7935765538101355343", "metaType": 107 }, { "metaHashId": "6688", "metaType": 108 }, { "metaHashId": "-8563225389150726767", "metaType": 109 }, { "metaHashId": "6314752325711353153", "metaType": 300 }, { "metaHashId": "-5266231795820613969", "metaType": 302 } ], "riskLevel": 1, "rating": { "metaType": 101, "score": 1, "hasInvalidSigner": false }, "isSymbolEvent": true, "assessmentValue":


4-24

"2DE4FF049B0F4D6ED148F411F77D5EC5CFEF2536", "assessmentType": 5, "nodeImage": 2 } ], "groupNo": 1 } ], "metaProperty": [ { "metaHashId": "-2496182079651645963", "metaValue": "C:\\Program Files (x86) \\Trend Micro \\OfficeScan\\PCCSRV \\WSS\\" }, { "metaHashId": "-5802268642344638556", "metaValue": "iCRCService.exe" }, { "metaHashId": "1005881870920059050", "metaValue": "E79618A56858F24F14C4E3 BB6C0B039246FA29AD6065 BFEDA0C31964417BFC47" }, { "metaHashId": "-4529102146130573936", "metaValue": "BDBE92094705F466D8E3978 3991766B5C2B1E9D1" }, { "metaHashId": "-6177962065641712412", "metaValue": "4169C663DB11C7D877AF929 BD1B2595A" }, { "metaHashId": "-7935765538101355343", "metaValue": "Trend Micro, Inc." }, { "metaHashId": "6636",


4-25

"metaValue": "6636" }, { "metaHashId": "2996153155457079169", "metaValue": "\"C:\\Program Files (x86) \\Trend Micro\\OfficeScan \\PCCSRV\\WSS \\iCRCService.exe\"" }, { "metaHashId": "6314752325711353153", "metaValue": "SYSTEM" }, { "metaHashId": "-5266231795820613969", "metaValue": "NT AUTHORITY" }, { "metaHashId": "-3086522818343600695", "metaValue": "C:\\Program Files (x86) \\Trend Micro\\OfficeScan \\PCCSRV\\LWCS\\" }, { "metaHashId": "3546988568951304820", "metaValue": "LWCSService.exe" }, { "metaHashId": "-2895303478273136063", "metaValue": "69B9FA6E8A2F4C3981EB479 58671F14F70EECDDD0E671A 2F41C79058E9832209" }, { "metaHashId": "2617236305917161076", "metaValue": "2DE4FF049B0F4D6ED148F4 11F77D5EC5CFEF2536" }, { "metaHashId": "-5536433289243677264", "metaValue": "CA42B970294E2B25D88FA90 5E658E632"


4-26

}, { "metaHashId": "6688", "metaValue": "6688" }, { "metaHashId": "-8563225389150726767", "metaValue": "\"C:\\Program Files (x86) \\Trend Micro\\OfficeScan \\PCCSRV\\LWCS \\LWCSService.exe\"" } ], "group": [ { "groupNo": 1, "timestamp": 1539930320 } ] } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


4-27


參數類型說明

footprint 物件陣列 footprint 物件的容器

表示根本原因鏈中兩個節點間的關係。

footprint[i].objectId

字串子節點的 ID

footprint[i].parentId

字串父節點的 ID

footprint[i].operationType



footprint[i].timestamp

整數記錄事件的時間（採用 Unix 時間戳記格式）

footprint[i].event

物件陣列 event 物件的容器

footprint[i].event[j].eventId

字串事件的 ID

footprint[i].event[j].metaLinkId

整數事件中繼資料的群組 ID

footprint[i].event[j].objectType



footprint[i].event[j].operationType



footprint[i].event[j].objectName

字串產生事件的物件名稱

footprint[i].event[j].timestamp

整數記錄事件的時間（採用 Unix 時間戳記格式）


4-28

參數類型說明

footprint[i].event[j].meta

物件陣列 meta 物件的容器

footprint[i].event[j].meta[k].metaHashId


footprint[i].event[j].meta[k].metaType



footprint[i].event[j].riskLevel



footprint[i].event[j].rating.score

整數趨勢科技資訊提供的分級評分

footprint[i].event[j].rating.metaType



footprint[i].event[j].isSymbolEvent

布林值當 isSymbolEvent 為 true 時，表示事件是表現的節點

footprint[i].event[j].assessmentValue

字串調查中使用的條件值

footprint[i].event[j].assessmentType



footprint[i].event[j].nodeImage

整數指定指派給節點的影像類型

如需可能的值，請參閱安全威脅調查 API 節點影像類型第 B-9 頁。

footprint[i].groupNo



4-29

參數類型說明

footprint[i].event[j].rating.hasInvalidSigner

布林值表示物件具有無效簽署單位。

metaProperty[m].metaHashId


metaProperty[m].metaValue


group[n].groupNo


group[n].timestamp

整數群組的事件記錄時間（採用 Unix 時間戳記格式）





ShowFootPrintCSV將根本原因分析資料表檢視的資料擷取為 CSV 檔案。

HTTP 要求


參數

重要



4-30

名稱類型說明

必要參數







scanSummaryGuid



hostIP 字串主機 IP 位址

hostName 字串主機名稱

HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/ShowFootPrintCsv", "TaskType": 4, "Payload": { "agentGuid": "654B1B52-C3C9-4405-B133-48E2353DA13B", "scanSummaryGuid": "58127b3e-1bde-4c6e-8d86-0d0f89ded601", "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ],


4-31

"hostIP": "10.1.172.94", "hostName": "SAMPLE_AGENT" }}

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "bf2e9787-b1cb-41d3-b902-44c43becdaf8", "lastContentId": "", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "csv": "Host Name,SAMPLE_AGENT\nIP Address, 10.1.172.94\nChain, ..." } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null


4-32

}, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

csv 字串 CSV 檔案的內容





CreateQuickScan藉由指定包含搜尋運算子（AND、OR）與比對條件（IS、CONTAINS）的條件來建立新的初步調查。

調查目標將會是所有端點，並且會對伺服器中繼資料執行。

HTTP 要求

POST /WebApp/OSCE_iES/OsceIes/ApiEntry

參數

重要



4-33

名稱類型說明

必要參數






criteria 物件 criteria 物件的容器

criteria[i].operator

字串此條件集的運算子

• AND：符合所有指定條件的端點

• OR：符合任何指定條件的端點

criteria[i].item 物件陣列條件 item 物件的容器

criteria[i].item[i].value

字串陣列用於此調查的條件

criteria[i].item[i].typeId

整數調查中使用的條件類型


criteria[i].item[i].condition

字串用於此調查的條件

• IS：完全相符

• CONTAIN：部分相符

選擇性參數

criteriaKvp 字串要在稽核記錄檔中顯示的條件字串


4-34

名稱類型說明

searchPeriod 整數搜尋結果的範圍。

例如，如果值為 3，則僅會對過去 90 天內的資料執行評估。

• -1：預設值

• 0：全部

• 1：1 個月

• 3：3 個月

• 6：6 個月

• 12：12 個月

HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/CreateQuickScan", "TaskType": 4, "Payload": { "criteria": { "operator": "AND", "item": [ { "value": [ "notepad.exe" ], "typeId": 3, "condition": "IS" } ] },


4-35

"criteriaKvp": "File name: notepad.exe", "criteriaSource": 1, "searchPeriod": 3 }}

回應


注意



{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "71B0FFF0-C65B-4502-B405-2404970B1D8B", "lastContentId": "[{ \"serverGuid\": \"2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6\", \"lastContentId\": 30144, \"hasMore\": true, \"totalProgress\": 2, \"currentProgress\": 1}]", "hasMore": true, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "agentServerMeta": [ { "agentGuid": "654B1B52-C3C9-4405-B133


4-36

-48E2353DA13B", "minFirstSeen": 1539568580, "serverMeta": [ { "criteriaNo": 0, "metaCategory": 8, "metaValue": "chrome.exe", "metaHashId": "6402513676012825508", "firstSeen": 1539568580, "lastSeen": 0, "repeatCount": 0, "isSpecialCmdLine": false } ], "isCriteriaExceedMaxMetaCount": [ false ], "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "serverName": "SAMPLE_SERVER", "isOnline": true, "isImportant": true, "ip": "10.1.172.94", "machineGuid": "6528BA85-67E0-44E0-9C20 -0D311CF986D1", "machineName": "SAMPLE_AGENT", "machineType": "Server", "userName": "SAMPLE_AGENT\\Administrator", "userGuid": "5EAA9A7B4-6CE1-FB7E-1D13 -C192D233721", "isolateStatus": 0, "machineOS": "Windows 2016" } ] } } ] }, "TimeZone": 8 }, "Meta": { "result": 1,


4-37

"errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

agentServerMeta

物件陣列 agentServerMeta 物件的容器

agentServerMeta[i].agentGuid

字串用戶端的 GUID

agentServerMeta[i].minFirstSeen

整數首次發現物件的日期和時間（採用 Unix 時間戳記格式）

agentServerMeta[i].serverMeta

物件陣列 serverMeta 物件的容器

agentServerMeta[i].serverMeta[i].criteriaNo

整數表示用來判斷條件在陣列中的位置的索引號碼

agentServerMeta[i].serverMeta[i].metaCategory

整數表示條件類別的數字

如需可能的值，請參閱安全威脅調查 API 中繼類別ID 第 B-10 頁。

agentServerMeta[i].serverMeta[i].metaValue



4-38

名稱類型說明

agentServerMeta[i].serverMeta[i].metaHashId


agentServerMeta[i].serverMeta[i].firstSeen

整數首次記錄物件的日期和時間（採用 Unix 時間戳記格式）

agentServerMeta[i].serverMeta[i].lastSeen

整數上次記錄物件的日期和時間（採用 Unix 時間戳記格式）

agentServerMeta[i].serverMeta[i].repeatCount

整數已記錄事件的累積計數（若重複多次）

agentServerMeta[i].serverMeta[i].isSpecialCmdLine

布林值將物件標記為 SpecialCmdLine

agentServerMeta[i].isCriteriaExceedMaxMetaCount

布林值陣列表示條件傳回超過 50 個指令行和登錄項目

agentServerMeta[i].serverGuid

字串伺服器的 GUID

agentServerMeta[i].serverName

字串伺服器的名稱

agentServerMeta[i].isOnline

布林值表示伺服器是否為線上狀態

agentServerMeta[i].isImportant

布林值表示用戶端是否標記為重要

agentServerMeta[i].ip

字串用戶端的 IP 位址


4-39

名稱類型說明

agentServerMeta[i].machineGuid

字串端點的 GUID

agentServerMeta[i].machineName

字串端點的名稱

agentServerMeta[i].userName

字串用戶端的使用者名稱

agentServerMeta[i].isolateStatus

整數用戶端的隔離狀態

• 0：無

• 1：正常

• 2：已隔離

• 3：隔離指令已傳送 — 暫停中

• 4：從隔離恢復用戶端 — 暫停中

agentServerMeta[i].machineOS

字串端點的作業系統





ShowScanSummaryList擷取調查工作的集合。

HTTP 要求



4-40

參數

重要


名稱類型說明

必要參數






scanType 整數陣列用於調查的方法

• 1：Windows 登錄

• 2：YARA 規則檔案

• 3：IOC 規則檔案

• 6：磁碟 IOC 規則檔案

Payload.pagination.offset

整數開始從中擷取記錄的頁面

Payload.pagination.limit

整數要擷取的記錄數

選擇性參數

scanScheduleId

字串指定要擷取之調查的 scanScheduleId

filter 物件用於擷取掃瞄的過濾器


4-41

名稱類型說明

filter[i].type 整數過濾器類型

• 10：工作名稱（部分字串比對）

• 11：建立者名稱（部分字串比對）

• 12：掃瞄方法類型

請參閱 filter[i].value 的值。

• 14：條件名稱（部分字串比對）

filter[i].value 整數掃瞄方法類型

• 1：搜尋 Windows 登錄

• 2：使用 YARA 掃瞄記憶體

• 6：使用 OpenIOC 掃瞄磁碟

HTTP 要求範例


HTTP 要求主體


要求主體：

範例 1：擷取一次性調查工作。

{ "Url": "V1/Task/ShowScanSummaryList", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 50 }, "scanType": [1, 2, 6], "filter": [{ "type": 10, "value": "Task Name" }] }}


4-42

範例 2：擷取預約的調查歷史記錄。

{ "Url": "V1/Task/ShowScanSummaryList", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 50 }, "scanType": [1, 2, 6], "scanScheduleId": "1" }}

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "", "lastContentId": "", "hasMore": false, "serverGuid": "", "serverName": "", "content": [ { "statusCode": 0, "message": "Success", "content": { "scanSummaryEntity": [ { "scanSummaryId": 1, "scanSummaryGuid": "53275df4-51b1-45b7-ad81-4f0b929230f3", "status": 3,


4-43

"statusForUI": 3, "scanType": 6, "submitTime": 1538620467, "finishTime": 1538620549, "specificAgentType": 1, "progressInfo": { "safeCount": 1, "riskCount": 0, "pendingCount": 0, "timeoutCount": 0, "noneCount": 0, "processingCount": 0, "errorCount": 0, "abortCount": 0, "connectionFailCount": 0 }, "name": "tttt", "agentCount": 1, "matchedAgentCount": 0, "serverGuidList": [ "654B1B52-C3C9-4405-B133-48E2353DA13B" ], "creator": "jerry", "scanCriteriaEntity": { "criteriaId": 1, "criteriaName": "DD IOC.ioc", "criteriaContent": "" }, "errorServers": "[]" } ], "pagination": { "offset": 0, "limit": 50, "total": 1 } } } ] }, "TimeZone": 8 },


4-44

"Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

scanSummaryEntity

物件陣列 ScanSummaryEntity 物件的容器

scanSummaryEntity[i].scanSummaryId

整數調查的 ID

scanSummaryEntity[i].scanSummaryGuid

字串調查的 GUID

scanSummaryEntity[i].agentCount

整數調查中的用戶端數目

scanSummaryEntity[i].matchedAgentCount

整數調查中相符用戶端的數目

scanSummaryEntity[i].finishTime

整數調查的完成日期和時間


4-45

名稱類型說明

scanSummaryEntity[i].name

字串調查的名稱

scanSummaryEntity[i].scanType

整數用於調查的方法





scanSummaryEntity[i].specificAgentType

整數表示如何選取調查的目標

• 0：全部

• 1：特定

scanSummaryEntity[i].status

整數調查的狀態

• 0：暫停中

• 1：執行中

• 2：取消

• 3：完成

• 4：無效

• 5：已清除

scanSummaryEntity[i].statusForUI

整數 Web 主控台中所顯示的調查狀態

• 0：暫停中

• 1：執行中

• 2：取消

• 3：完成

• 4：無效

• 5：已清除

• 6：錯誤


4-46

名稱類型說明

scanSummaryEntity[i].submitTime

整數調查的提交日期和時間

scanSummaryEntity[i].creator

字串建立調查的使用者名稱

scanSummaryEntity[i].serverGuidList

字串陣列伺服器 GUID 的清單

scanSummaryEntity[i].progressInfo

物件調查的進度

scanSummaryEntity[i].progressInfo.abortCount

整數已中止的用戶端數目

scanSummaryEntity[i].progressInfo.connectionFailCount

整數無法連線的用戶端數目

scanSummaryEntity[i].progressInfo.errorCount

整數發生錯誤的用戶端數目

scanSummaryEntity[i].progressInfo.noneCount

整數狀態為「無」的用戶端數目

scanSummaryEntity[i].progressInfo.pendingCount

整數狀態為「暫停中」的用戶端數目

scanSummaryEntity[i].progressInfo.processingCount

整數狀態為「處理中」的用戶端數目


4-47

名稱類型說明

scanSummaryEntity[i].progressInfo.riskCount

整數狀態為「相符」的用戶端數目

scanSummaryEntity[i].progressInfo.safeCount

整數狀態為「不相符」的用戶端數目

scanSummaryEntity[i].progressInfo.timeoutCount

整數狀態為「逾時」的用戶端數目

scanSummaryEntity[i].scanCriteriaEntity.criteriaId

整數伺服器用於儲存條件的唯一識別碼

scanSummaryEntity[i].scanCriteriaEntity.criteriaName

字串條件的名稱

• 如果 scanType 值為 1（Windows 登錄）時，則criteriaName 是「登錄」。

• criteriaName 是其他 scanType 值的檔案名稱。

scanSummaryEntity[i].scanCriteriaEntity.criteriaContent

字串條件的內容

• criteriaContent 是用於執行登錄調查的條件。

• 對於其他 scanType 值，criteriaContent 為空白。

scanSummaryEntity[i].errorServers

物件陣列當伺服器通訊未成功時傳回錯誤回應






4-48

ShowScanListByScanSummaryGuid擷取調查詳細資料，這些詳細資料可依調查狀態（「全部」、「相符」、「不相符」、「暫停中」或「未成功」）過濾，並包含每個端點的詳細調查結果。

HTTP 要求


參數

重要


名稱類型說明

必要參數






scanStatus 整數要查詢之調查的狀態

• 1：全部

• 2：相符

• 3：不相符

• 4：暫停中

• 5：未成功


4-49

名稱類型說明

scanType 整數陣列用於調查的方法

僅支援下列值：

• 0：自訂條件





scanSummaryGuid

字串陣列掃瞄摘要的 GUID





選擇性參數

filter 物件陣列用於擷取掃瞄的過濾器

filter[i].type 整數過濾器類型


• 1：端點名稱（部分字串比對）

• 4：端點 IP 位址（部分字串比對）

• 5：端點作業系統（部分字串比對）

• 6：端點使用者名稱（部分字串比對）

filter[i].value 字串過濾器值

HTTP 要求範例

範例 1：從登錄、YARA 和磁碟 IOC 調查中，擷取狀態為「不相符」的用戶端。


4-50

{ "Url": "V1/Task/ShowScanListByScanSummaryGuid", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 10 }, "scanType": [ 6, 2, 1 ], "scanStatus": 3, "scanSummaryGuid": [ "46b01ed9-8f78-447e-91a1-d499d893ab20" ] }}

範例 2：從登錄、YARA 和磁碟 IOC 調查中，擷取狀態為「不相符」且符合"XXX_MACHINE" 關鍵字的用戶端。

{ "Url": "V1/Task/ShowScanListByScanSummaryGuid", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 50 }, "filter": [{ "type": 1, "value": "XXX_MACHINE" }], "scanStatus": 3, "scanType": [1, 2, 6], "scanSummaryGuid": [ "d936ba5d-1697-47fe-8b3a-e25b5cb6048f"] }}


4-51

HTTP 要求主體


要求主體：


回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "dc665c13-dced-43b7-80d5-9c1aa91a6d7a", "lastContentId": "", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "654B1B52-C3C9-4405-B133-48E2353DA13B", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "scanEntity": [ { "rowId": 20, "agentGuid": "654B1B52-C3C9-4405-B133-48E2353DA13B", "scanSummaryGuid": "64e8cf77-fdb9-4efb-b8b8-3963c24b33c4", "status": 4, "name": "test", "riskCount": 0, "triggerTime": 1540427755, "finishTime": 1540427776, "submitTime": 1540427699, "exceedLeafModuleCountLimit": false,


4-52

"scanType": 6, "serverGuid": "654B1B52-C3C9-4405-B133-48E2353DA13B", "serverName": "SAMPLE_SERVER_OSCE", "isOnline": true, "isImportant": true, "ip": "10.1.172.94", "machineGuid": "6528BA85-67E0-44E0-9C20-0D311CF986D1", "machineName": "SAMPLE_AGENT", "machineType": "Server", "userName": "SAMPLE_AGENT\\Administrator", "userGuid": "5EAA9A7B4-6CE1-FB7E-1D13-C192D233721", "isolateStatus": 0, "machineOS": "Windows 2016", "taskType": 4, "creator": "jerry", "scanCriteriaEntity": { "criteriaId": 1, "criteriaName": "DD IOC.ioc", "criteriaContent": "" } } ], "pagination": { "offset": 0, "limit": 10, "total": 1 } } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": {


4-53

"permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

scanEntity 物件陣列 scanEntity 物件的容器

scanEntity[i].rowId

整數指派給調查列的唯一 ID

scanEntity[i].agentGuid


scanEntity[i].scanSummaryGuid

字串調查的 GUID

scanEntity[i].status

整數調查的狀態

• 0：無

• 1：暫停中

• 2：處理中

• 3：錯誤

• 4：完成

• 5：逾時

• 6：中止

scanEntity[i].name

字串調查的名稱


4-54

名稱類型說明

scanEntity[i].riskCount

整數調查中的相符物件數目

scanEntity[i].triggerTime

整數調查的觸發日期和時間

scanEntity[i].finishTime

整數每個用戶端的調查完成日期和時間

scanEntity[i].submitTime

整數調查的提交日期和時間

scanEntity[i].exceedLeafModuleCountLimit

布林值表示調查傳回超過 1000 個以上相符的物件

scanEntity[i].scanType

整數用於調查的方法





scanEntity[i].serverGuid


scanEntity[i].serverName


scanEntity[i].isOnline

布林值表示伺服器是否為線上狀態

scanEntity[i].isImportant

布林值表示用戶端是否標記為重要

scanEntity[i].ip 字串用戶端的 IP 位址

scanEntity[i].machineGuid


scanEntity[i].machineName

字串端點的名稱


4-55

名稱類型說明

scanEntity[i].machineType

字串用戶端的類型

• 桌上型電腦

• 伺服器

scanEntity[i].userName

字串用戶端的使用者名稱

scanEntity[i].userGuid

字串使用者的 GUID

scanEntity[i].isolateStatus


• 0：無

• 1：正常

• 2：已隔離



scanEntity[i].machineOS


scanEntity[i].taskType

整數 API 要求的類型



scanEntity[i].creator

字串建立調查的使用者名稱

scanEntity[i].scanCriteriaEntity

物件 scanCriteria 物件的容器

scanEntity[i].scanCriteriaEntity.criteriaId

整數伺服器用於儲存條件的唯一識別碼


4-56

名稱類型說明

scanEntity[i].scanCriteriaEntity.criteriaName

字串條件的名稱

• 如果 scanType 值為 1（Windows 登錄）時，則criteriaName 是「登錄」。

• criteriaName 是其他 scanType 值的檔案名稱。

scanEntity[i].scanCriteriaEntity.criteriaContent

字串條件的內容

• criteriaContent 是用於執行登錄調查的條件。

• 對於其他 scanType 值，criteriaContent 為空白。





ShowAgentList顯示所有用戶端。

您可以依端點名稱、端點類型及 IP 範圍過濾結果。

HTTP 要求


參數

重要



4-57

名稱類型說明

必要參數






選擇性參數





filter 物件陣列 filter 物件的容器

filter[i].type 整數要使用的過濾器類型

如需可能的值，請參閱安全威脅調查 API 過濾器值第 B-2 頁。

filter[i].value 字串陣列過濾器值

如需可能的值，請參閱安全威脅調查 API "selectAll"類型和值第 B-3 頁。

HTTP 要求範例


HTTP 要求主體


要求主體：

範例 1：在不指定過濾器的情況下要求用戶端


4-58

{ "Url": "V1/Task/ShowAgentList", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 50 }, "filter": [] }}

範例 2：使用指定的端點名稱過濾器要求用戶端

{ "Url": "V1/Task/ShowAgentList", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 50 }, "filter": [{ "type": 1, "value": "a" }] }}

範例 3：要求符合過濾條件（IP 範圍：10.0.0.0 到 10.0.1.0）的用戶端

{ "Url": "V1/Task/ShowAgentList", "TaskType": 4, "Payload": { "pagination": { "offset": 0, "limit": 50 }, "filter": [{ type: 4, value: ["10.0.0.0", "10.0.1.0"]


4-59

}] }}

注意

指定 IP 範圍做為條件時，傳回的結果可能不會包含新註冊的用戶端。如果在第一次要求期間未出現新用戶端，將可讓伺服器在傳送另一個要求之前有時間同步處理 IP 資訊。

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "", "lastContentId": "", "hasMore": false, "serverGuid": "", "serverName": "", "content": [ { "statusCode": 0, "message": "Success", "content": { "agentEntity": [ { "agentGuid": "da73261e-f01e-407e-bf5d-b5d65e3a4300", "serverGuid": "A7FF3BD2-C7A4-4455-9F18-6A282D89EF27", "machineName": "JERRY-OSCE88", "isImportant": false, "isOnline": true, "ip": "10.1.172.94",


4-60

"machineGuid": "22153CD0-7E57-43CD-9661-A0624711DB08", "machineType": "Server", "machineLabels": null, "machineOS": "Windows 2016", "isolateStatus": 0 } ], "pagination": { "offset": 0, "limit": 10, "total": 1 }, "agentQueryStatus": { "hasFullRbac": true, "hasFullAgents": true } } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}



4-61

名稱類型說明

agentEntity 物件 agentEntity 物件的容器

顯示用戶端的屬性

agentEntity.agentGuid


agentEntity.serverGuid

字串負責管理用戶端的伺服器 GUID

agentEntity.machineName

字串端點的主機名稱

agentEntity.isImportant

布林值指定用戶端是否標記為重要

agentEntity.isOnline

布林值指定用戶端是否為線上狀態

agentEntity.ip 字串用戶端的 IP 位址

agentEntity.isolateStatus


• 0：無

• 1：正常

• 2：已隔離



agentEntity.machineGuid


agentEntity.machineType

字串端點的類型

• 桌上型電腦

• 伺服器

agentEntity.machineLabels

字串指派給端點的標籤


4-62

名稱類型說明

agentEntity.machineOS


agentQueryStatus.hasFullRbac

布林值指定是否有端點因目前帳號權限不足而隱藏

agentQueryStatus.hasFullAgents

布林值指定是否有端點在取消註冊後隱藏





CreateScan（自訂條件）

使用自訂條件建立新的調查。

HTTP 要求


參數

重要


名稱類型說明

必要參數



4-63

名稱類型說明





agentGuid 物件用戶端的 GUID

agentGuid 的值是索引鍵/值組的物件。索引鍵是serverGuid，值是目標伺服器所管理之端點的agentGuid 字串清單。它使用如下格式：

{ serverGuid : [ agentGuid ] }

如果 agentGuid 和 serverGuid 都包含空陣列，則要求目標將會是所有用戶端。

serverGuid 字串陣列伺服器（管理 agentGuid 中指定的端點）的 GUID


name 字串調查的名稱

scanType 整數用於調查的方法






timeRange 物件 timeRange 物件的容器


4-64

名稱類型說明

timeRange.rangeType

字串要進行調查的期間

• ANY：對所有記錄的日期執行調查

• SPECIFIC：僅對指定日期範圍內的記錄檔執行調查

對於使用 SPECIFIC 類型的調查，需要提供timeRange.endUnixTime 和timeRange.startUnixTime 的值。

selectAll 物件陣列指定空白值可傳回所有結果

若要僅包含符合特定過濾器的結果，請指定selectAll[i].type 和 selectAll[i].value 的值

retroCriteria 物件 retroCriteria 物件的容器

retroCriteria.operator

字串調查中使用的運算子

• AND：傳回符合所有指定條件的端點

• OR：傳回符合其中一個指定條件的端點

retroCriteria.item

物件 retroCriteria.item 物件的容器

retroCriteria.item[i].typeId



retroCriteria.item[i].value

字串陣列調查中使用的條件值

僅當 retroCriteria.item[i].typeId 為"Command line" 或 "Registry Data" 時，才支援多個值。

retroCriteria.item[i].condition

字串調查中使用的條件

• IS：傳回完全符合指定條件的結果

• CONTAIN：傳回部分符合指定條件的結果

選擇性參數


4-65

名稱類型說明

scanScheduleId

整數預約的調查的 ID（如果該調查已按預約時程觸發）

scanScheduleGuid

字串預約的調查的 GUID（如果該調查已按預約時程觸發）

timeRange.startUnixTime

整數調查的啟動日期和時間

指定使用 Unix 時間戳記格式的時間

timeRange.endUnixTime

整數調查的結束日期和時間


selectAll[i].type 整數僅傳回符合所指定過濾器的結果

如需詳細資訊，請參閱安全威脅調查 API 過濾器值第 B-2 頁。

selectAll[i].value

整數過濾器類型的值

如需詳細資訊，請參閱安全威脅調查 API "selectAll"類型和值第 B-3 頁。

HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/CreateScan", "TaskType": 4, "Payload": { "name": "test", "timeRange": { "rangeType": "ANY" }, "agentGuid": { "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6": [


4-66

"6EB14029-2C0D-4EFA-A1D9-A1CECCB0DADE" ] }, "retroCriteria": { "operator": "AND", "item": [ { "value": [ "chrome.exe" ], "typeId": 3, "condition": "IS" } ] }, "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "scanType": 0 }}

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "075978af-4b13-40de-8cc4-2489053955e3", "lastContentId": "", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS",


4-67

"content": { "scanSummaryGuid": "c484b2a6-7fb2-498e-b074-474e2301e13c" } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

scanSummaryGuid

字串掃瞄摘要的 GUID






4-68

CreateScan（OpenIOC 和 YARA 檔案）

使用 OpenIOC 和 YARA 檔案建立新的調查。

HTTP 要求


參數

重要


名稱類型說明

必要參數













4-69

名稱類型說明









timeRange.rangeType







fileContentCriteria

物件 fileContentCriteria 物件的容器

fileContentCriteria.criteriaHashId

字串要在調查中使用的 OpenIOC 或 YARA 檔案的唯一雜湊 ID

fileContentCriteria.base64EncodedContent

字串以 base64 格式編碼的 OpenIOC 或 YARA 檔案的內容

fileContentCriteria.fileName

字串 OpenIOC 或 YARA 檔案的檔案名稱


4-70

名稱類型說明

選擇性參數

scanScheduleId


scanScheduleGuid










selectAll[i].value



HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/CreateScan", "TaskType": 4, "Payload": { "name": "test", "scanType": 6, "timeRange": { "rangeType": "ANY"


4-71

}, "agentGuid": { "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6": [ "654b1b52-c3c9-4405-b133-48e2353da13b" ] }, "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "fileContentCriteria": { "criteriaHashId": "24c268bee95b7fb4097dcc4c0aee10df431ad46e", "base64EncodedContent": "PD94bWwgdmVyc2lvbj0nMS4wJyBlbm...", "fileName": "DD IOC.ioc" }, "selectAll": [] }}

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "075978af-4b13-40de-8cc4-2489053955e3", "lastContentId": "", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "scanSummaryGuid": "c484b2a6-7fb2-498e-b074-474e2301e13c" }


4-72

} ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

scanSummaryGuid






CreateScan（登錄）

在登錄中建立新的調查。


4-73

HTTP 要求


參數

重要


名稱類型說明

必要參數














4-74

名稱類型說明








timeRange.rangeType







registryCriteria 物件 registryCriteria 物件的容器

registryCriteria.item

物件陣列 registryCriteria.item 物件的容器

registryCriteria.item[i].value

物件陣列 registryCriteria.item[i].value 物件的容器

registryCriteria.item[i].value[i].key

字串登錄機碼的值

registryCriteria.item[i].value[i].value

字串登錄名稱的值


4-75

名稱類型說明

registryCriteria.item[i].value[i].data

字串登錄資料的值

registryCriteria.item[i].value[i].matchOption

整數表示用於調查的運算子

• 1：等於

• 2：資料包含

• 3：資料不包含

選擇性參數

scanScheduleId


scanScheduleGuid










selectAll[i].value



HTTP 要求範例


HTTP 要求主體



4-76

要求主體：

{ "Url": "V1/Task/CreateScan", "TaskType": 4, "Payload": { "name": "test", "scanType": 1, "timeRange": { "rangeType": "ANY" }, "agentGuid": { "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6": [ "654b1b52-c3c9-4405-b133-48e2353da13b" ] }, "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "selectAll": [], "registryCriteria": { "item": [ { "value": [ { "key": "key", "value": "value", "matchOption": 1, "data": "data" } ] } ] } }}

回應



4-77

{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "0acf92f2-b9ff-4e11-b115-5f391d7c1d4a", "lastContentId": "", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "scanSummaryGuid": "d490d749-0380-4ac5-b45f-a5a8b640585b" } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


4-78


名稱類型說明

scanSummaryGuid






CreateProcessTermination如果指定的可疑程序在端點上執行，則終止該程序。

HTTP 要求


參數

重要


名稱類型說明

必要參數



4-79

名稱類型說明






如果 agentGuid 和 serverGuid 都包含空陣列，則終止要求目標將會是所有用戶端。





suspiciousObjectName

字串要終止的物件的檔案名稱

terminationInfoList

物件陣列 terminationInfoList 物件的容器

terminationInfoList[i].name

整數要終止的物件的中繼資料類型


• 101：檔案 SHA1

terminationInfoList[i].value

字串要終止的物件的雜湊值

filter 物件 filter 物件的容器


4-80

名稱類型說明

filter[i].type 整數只將終止要求傳送到符合指定過濾器的端點


• 1：端點名稱（部分字串比對）

• 6：端點使用者名稱（部分字串比對）

• 7：端點類型（部分字串比對）

• 8：端點 IP 位址（部分字串比對）

• 9：端點作業系統（部分字串比對）

filter[i].value 字串過濾器類型的值


HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/CreateProcessTermination", "TaskType": 4, "Payload": { "agentGuid": { "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6": [ "8214F9BA-3200-46F6-A68F-008F901FF09D" ] }, "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "suspiciousObjectName": "pyinstaller.exe", "terminationInfoList": [ {


4-81

"name": 101, "value": "2FF40C5ED6E5A3BBC68A10F2966F347463E326AD" } ] }}

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "e5d78dee-69d5-402c-9a3e-22a803d46a22", "lastContentId": "", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "processTerminationSummaryGuid": "e5d78dee-69d5-402c-9a3e-22a803d46a22", "status": 3, "agentGuid": [ "8214F9BA-3200-46F6-A68F-008F901FF09D" ] } } ] }, "TimeZone": 8 }, "Meta": { "result": 1,


4-82

"errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

processTerminationSummaryGuid

字串處理程序終止摘要的 GUID

status 整數用戶端的狀態

如需可能的值，請參閱安全威脅調查 API 用戶端狀態值第 B-10 頁。

agentGUID 字串陣列已終止的用戶端的 GUID





CreateScanSchedule建立預約的調查。


4-83

HTTP 要求


參數

重要


名稱類型說明

必要參數






name 字串預約的調查的名稱








4-84

名稱類型說明

timeRange.rangeType











userTimezone 字串使用者的本地時區（採用 UTC 格式）

scheduleCriteria.startDate

字串預約的調查的開始日期

以 ISO 日期格式指定值：YYYY-MM-DD

scheduleCriteria.endDate

字串預約的調查的結束日期

以 ISO 日期格式指定值：YYYY-MM-DD

scheduleCriteria.repeatType

整數表示預約時程應重複執行的頻率

• 1：每年一次

• 2：每月一次

• 3：每日一次


4-85

名稱類型說明

scheduleCriteria.repeatValue

字串預約時程的確切執行時間，使用下列格式指定：

• 每年一次："月:日:時:分:秒"，

例如："05:13:08:00:00"

• 每月一次："日:時:分:秒"，

例如："13:08:00:00"

• 每日一次："時:分:秒"，

例如："08:00:00"

fileContentCriteria.criteriaHashId

字串以 SHA1 雜湊格式編碼的條件

如果是透過 Apex Central IoC 貯體（適用於 IoC 和YARA）建立的，則使用 IoC 貯體雜湊 ID。

fileContentCriteria.base64EncodedContent

字串以 base64 格式編碼的條件

fileContentCriteria.fileName

字串 OpenIOC 和 YARA 檔案的檔案名稱

如果是其他條件類型，請指定空值。




選擇性參數


如需詳細資訊，請參閱安全威脅調查 API 過濾器值第 B-2 頁。

selectAll[i].value




4-86

HTTP 要求範例


HTTP 要求主體


要求主體：

{ "Url": "V1/Task/CreateScanSchedule", "TaskType": 4, "Payload": { "name": "test", "scanType": 6, "timeRange": { "rangeType": "ANY" }, "agentGuid": { "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6": [ "654b1b52-c3c9-4405-b133-48e2353da13b" ] }, "serverGuid": [ "2EBEC86D-3FEB-4666-9CA6-B80AB1E193E6" ], "userTimezone": "8", "scheduleCriteria": { "startDate": "2018-10-25", "endDate": "2018-11-25", "repeatType": 3, "repeatValue": "08:00:00" }, "fileContentCriteria": { "criteriaHashId": "24c268bee95b7fb4097dcc4c0aee10df431ad46e", "base64EncodedContent": "PD94bWwgdmVyc2lvbj0nMS4wJyBlbmNvZGluZz0nVVRG...", "fileName": "DD IOC.ioc" }, "selectAll": []


4-87

}}

回應


{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "", "lastContentId": "", "hasMore": false, "serverGuid": "", "serverName": "", "content": [ { "statusCode": 0, "message": "Success", "content": { "scanScheduleId": 5, "scanScheduleGuid": "32350675-1457-475c-8890-c725bb2fd9f6", "name": "test", "userTimezone": 8, "status": 1, "repeatType": 3, "repeatValue": "08:00:00", "endpointType": 1, "startDate": 1540396800, "endDate": 1543161599, "scanType": 6 } } ] }, "TimeZone": 8 },


4-88

"Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none" }}


名稱類型說明

scanScheduleId

整數預約的調查的 ID

scanScheduleGuid

字串預約的調查的 GUID

name 字串預約的調查的名稱

userTimezone 字串使用者的本地時區（採用 UTC 格式）

status 整數預約的調查的狀態

• 0：關閉

• 1：啟動

repeatType 整數表示預約時程應重複執行的頻率

• 1：每年一次

• 2：每月一次

• 3：每日一次


4-89

名稱類型說明

repeatValue 字串預約時程的確切執行時間，使用下列格式指定：

• 每年一次："月:日:時:分:秒"，

例如："05:13:08:00:00"

• 每月一次："日:時:分:秒"，

例如："13:08:00:00"

• 每日一次："時:分:秒"，

例如："08:00:00"

endpointType 整數目標端點的選取項目類型

• 0：全部

• 1：特定

如果 agentGuid 是空的，則此值一律為 0。

startDate 整數預約的調查的開始日期

endDate 整數預約的調查的結束日期

scanType 整數調查所使用的方法










4-90

ShowContent依據指定的 taskId 擷取結果。

由於調查可能需要一些時間才能完成，因此可定期呼叫 ShowContent API，直到 API 以指定的 TaskId 結果來回應。

ShowContent API 傳回的回應會因提供 taskId 的 API 而有所不同。

HTTP 要求


參數

重要


名稱類型說明

必要參數






TaskId 字串其他 API 呼叫中用於擷取特定工作結果的 TaskId

指定下列 API 傳回的 taskId 值：

• ShowFootprintChain

• ShowFootprintTable

• CreateQuickScan


4-91

名稱類型說明

ContentId 字串表示資料集的位置

請為初始要求指定空字串。

在第一個初始要求後，請指定回應的lastContentId，以持續從伺服器取得結果，直到hasMore 值回應為 false。

TopN 整數從伺服器擷取前 n 個結果

HTTP 要求範例


HTTP 要求主體


要求主體：

{

"Url": "V1/Content/ShowContent", "TaskType": 4, "TaskId": "88173A23-F45E-4ADB-B2D8-5609BB18A625",

"ContentId": "[{\"serverGuid\": \"6E01A801D38A-48C58345-1D52-85AA-A0A3\",

\"lastContentId\": 1898, \"hasMore\": true \"totalProgress\": 2, \"currentProgress\": 1}]",

"TopN": 1

}

回應



4-92

注意

下列範例是使用 CreateQuickScan API 提供的 taskId 所傳回的回應。

範例 1：如果要確認是否有更多內容可用，請檢查回應中 hasMore 的值。如果hasMore 為 true，請使用下一個要求的 taskId 和 lastContentId 參數來取得下一組記錄。

{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "88173A23-F45E-4ADB-B2D8-5609BB18A625", "lastContentId": "[{ \"serverGuid\": \"6E01A801-D38A-48C5-8345-1D5285AAA0A3\", \"lastContentId\": 1913, \"hasMore\": true \"totalProgress\": 2, \"currentProgress\": 2}]", "hasMore": true, "serverName": "SAMPLE_SERVER", "serverGuid": "6E01A801-D38A-48C5-8345-1D5285AAA0A3", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": { "agentServerMeta": [ { "agentGuid": "BCBFD3D7-ABC9-4993-9E78-932CEAA2E6BA", "minFirstSeen": 1535446684, "serverMeta": [ { "criteriaNo": 0, "metaCategory": 8, "metaValue": "chrome.exe", "metaHashId": "6402513676012825508", "firstSeen": 1535446684,


4-93

"lastSeen": 0, "repeatCount": 0, "isSpecialCmdLine": false } ], "isCriteriaExceedMaxMetaCount": [ false ], "serverGuid": "6E01A801-D38A-48C5-8345-1D5285AAA0A3", "serverName": "SAMPLE_SERVER", "isOnline": true, "isImportant": false, "ip": "10.1.172.116", "machineGuid": "05901E77-DFCC-420F-BA3B-FF3BF75FB834", "machineName": "SAMPE_AGENT", "machineType": "Desktop", "userName": "TREND\\SAMPE_AGENT", "userGuid": "94926BCD4-D944-65CD-FFF6-6A874D6BC4D", "isolateStatus": 0, "machineOS": "Windows 10" } ] } } ] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0"


4-94

}, "SystemCtrl": { "TmcmSoDist_Role": "none" }}

範例 2：如果 hasMore 為 false，表示無法從指定的 taskId 擷取更多資料。

{ "Data": { "Code": 0, "CodeType": 1, "Message": "OK", "Data": { "taskId": "88173A23-F45E-4ADB-B2D8-5609BB18A625", "lastContentId": "[{ \"serverGuid\": \"6E01A801-D38A-48C5-8345-1D5285AAA0A3\", \"lastContentId\": 1913, \"hasMore\": true \"totalProgress\": 2, \"currentProgress\": 2}]", "hasMore": false, "serverName": "SAMPLE_SERVER", "serverGuid": "6E01A801-D38A-48C5-8345-1D5285AAA0A3", "content": [] }, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }, "FeatureCtrl": { "mode": "0" }, "SystemCtrl": { "TmcmSoDist_Role": "none"


4-95

}}

注意

ShowContent API 回應包含提供 taskId 的 API 中的參數。


名稱類型說明

Data.taskId 字串從要求收到的工作 ID

Data.hasMore 布林值表示來源是否有更多結果

Data.serverGuid


Data.serverName






安全威脅調查自動化 API 回應

安全威脅調查自動化 API 會以下列格式傳回 JSON 回應物件：

{ "Data": { "Code": 0, "Message": "OK", "Data": { "taskId": "3d189747-08cf-439e-abc8-966df4e572c4,


4-96

f429b4b6-058a-4d76-8bbe-b8ef2b1cba68", "lastContentId": "", "hasMore": false, "serverGuid": "E7DB4DA69FD9-4F4588CC-DFCF-CA7B-9227, EEF8F4D610C0-41FEA6A6-8394-A44D-8FD1", "serverName": "andy-osce-ies,andy-ies2", "content": [ { "statusCode": 0, "message": "TMSL_S_SUCCESS", "content": "" } ] }, "HasDataSource": false, "TimeZone": 8 }, "Meta": { "result": 1, "errorCode": 0, "errorMessgae": "Success" }, "PermissionCtrl": { "permission": "255", "elements": null }}

其中 "Data" 物件包含下列資訊：

名稱類型說明

所有要求的回應物件

Data.Code 整數回應的結果碼

如需可能的值，請參閱安全威脅調查自動化 API 結果碼第 4-99 頁。

Data.CodeType 整數表示傳送回應的產品

對於 Endpoint Sensor，此值一律是 1。


4-97

名稱類型說明

Data.Message 字串結果碼的說明

Data.taskId 字串回應的工作 ID

Data.hasMore 布林值表示是否能從伺服器擷取額外的資料

Data.serverGuid

字串回應伺服器的 GUID

Data.serverName

字串回應伺服器的伺服器名稱

Data.Data.content[0].statusCode

整數回應的狀態碼

如需可能的值，請參閱安全威脅調查自動化 API 狀態碼第 4-101 頁。

Data.Data.content[0].message

字串回應的訊息

Data.Data.content[0].content

物件回應的酬載

Data.HasDataSource

布林值表示資料是否擷取自多個 Endpoint Sensor 伺服器

Data.TimeZone 整數國際標準時間 (UTC) 偏移

Data.lastContentId

字串包含資料集位置的相關資訊，並且讓 ShowContentAPI 得以要求下一個資料區塊

Data.lastContentId 架構

serverGuid 字串伺服器 GUID

lastContentId 整數用於擷取下一組結果的 ID

hasMore 布林值表示來源是否有更多結果

totalProgress 整數伺服器中的用戶端數目

僅適用於查詢 "CreateQuickScan" API 的進度。如果不是由 "CreateQuickScan" API 呼叫，則此值為 0。


4-98

名稱類型說明

currentProgress

整數伺服器中已調查的用戶端數目

僅適用於查詢 "CreateQuickScan" API 的進度。如果不是由 "CreateQuickScan" API 呼叫，則此值為 0。

未成功要求的回應物件

Data.ErrorServerName

字串回應時發生錯誤的伺服器主機名稱

Data.ErrorServers

物件錯誤資訊的容器

Data.ErrorServers[i].httpCode

整數錯誤的 HTTP 狀態碼

Data.ErrorServers[i].statusCode

整數錯誤的狀態碼

Data.ErrorServers[i].serverName

字串發生錯誤的伺服器主機名稱

Data.ErrorServers[i].message

字串回應的錯誤訊息

Data.ErrorServers[i].content

物件錯誤回應的酬載

Data.ErrorServers[i].codeType

整數表示發生錯誤的產品/服務

• 1：Endpoint Sensor 錯誤

• 2：Apex Central 錯誤

• 3：HTTP 要求錯誤

自訂情報自動化 API 回應物件

Meta 物件指出回應狀態，包括結果、錯誤碼和錯誤訊息


4-99

名稱類型說明

Result 整數回應的結果碼


ErrorCode 整數回應的錯誤碼


ErrorMsg 字串回應的錯誤訊息

如需可用的說明，請參閱自訂情報自動化 API 回應碼第 3-77 頁。

PermissionCtrl 物件指出指派給該登入使用者帳號，用來存取 ApexCentral 功能表項目及功能的權限

permission 整數 • 255：完全控制

• 1：唯讀

elements 字串對於自訂情報自動化 API，此值一律為 "null"。

安全威脅調查自動化 API 結果碼

下表說明依據安全威脅調查自動化 API 要求所傳回的可能的結果碼 ("Code")。


4-100

結果類型結果碼說明

一般 -100001 無法處理要求。請過幾分鐘再重試。

-100002 無效的參數。請確認參數正確，然後重試。

-100003 無效的參數。請確認參數的格式正確，然後重試。

-100004 不支援的處理行動。

-100005 無法處理要求。請過幾分鐘再重試。


-100007 無法透過單一登入來登入遠端伺服器。

-100008 缺少必要的金鑰。

-100009 無法寫入稽核記錄檔。

-100010 無法載入組態設定檔案。

SQL -100100 無法執行 SQL 指令。

-100101 SQL 指令未傳回結果。

-100102 無法執行 SQL 指令。請檢查連線，然後重試。

-100103 無法在資料庫中大量插入資料。

-100104 無法執行 SQL 指令。資料庫忙碌中。請過幾分鐘再重試。

Web -100200 無法處理 Web 要求。請過幾分鐘再重試。

-100201 無法取得遠端伺服器的回應。請確認伺服器在線上，然後重試。

-100202 無法傳送要求到遠端伺服器。請過幾分鐘再重試。

快速調查 -102000 無法插入條件。條件長度超過允許的上限。

-102001 無法插入條件。條件已存在。

-102002 條件空白。請指定條件，然後重試。


4-101

結果類型結果碼說明

伺服器/用戶端清單

-103000 無法取得已註冊伺服器清單。沒有已註冊的伺服器。

-103001 無法取得可存取的端點。目前帳號的權限不足，無法檢視端點。請洽詢系統管理員並要求端點的存取權。

-103002 無法取得可存取的伺服器。目前帳號的權限不足，無法檢視伺服器。請洽詢系統管理員並要求伺服器的存取權。

-103003 無法取得已註冊的用戶端。沒有已註冊的用戶端。

處理程序終止 -105000 無法更新處理程序終止指令追蹤。

裝飾項目 -106000 無法顯示回應。在遠端伺服器上找不到預期的內容。

-106001 無法顯示回應。遠端伺服器上儲存的預期內容不正確。

「預約工作」工作

104002 無法新增預約的調查。

104003 無法刪除預約的調查。

104004 無法建立預約的調查。調查類型不受支援。

104005 無法建立預約的調查。已註冊伺服器清單空白。

104006 無法建立預約的調查。已註冊用戶端清單空白。

104007 無法建立預約的調查。調查條件空白。

安全威脅調查自動化 API 狀態碼

下表說明依據安全威脅調查自動化 API 要求所傳回的可能的 Endpoint Sensor 狀態碼 ("statusCode")。

代碼說明

0 成功



4-102

代碼說明

-2 要求不受 Endpoint Sensor 伺服器支援。

-4 無效的參數。請確認參數正確，然後重試。

-5 無效的參數。請確認參數的格式正確，然後重試。

-6 無法取得遠端伺服器的回應。請過幾分鐘再重試。

-8 無法取得已註冊用戶端清單。資料庫中沒有已註冊的用戶端。

-9 伺服器未準備好處理要求。請過幾分鐘再重試。

-200 無法執行 SQL 命令。

-201 SQL 命令未傳回結果。

-205 無法執行 SQL 命令。請檢查連線，然後重試。

-206 無法在資料庫中大量插入資料。

附錄

附錄

A-1

附錄 A

自動化 API 參考

本節提供自動化 API 參數和狀態碼的參考資料表。


• 自動化 API 產品值第 A-2 頁

• 自動化 API 隔離狀態第 A-3 頁

• 自動化 API 處理行動/功能第 A-3 頁

• 自動化 API 結果碼第 A-3 頁


A-2

自動化 API 產品值

值說明

SLF_PRODUCT_OFFICESCAN_CE Apex One

SLF_PRODUCT_IMSS_NT InterScan Messaging Security Suite forWindows

SLF_PRODUCT_IMSS_UNIX InterScan Messaging Security Suite forUNIX

SLF_PRODUCT_SERVERPROTECT_WINNT

ServerProtect for Windows

SLF_PRODUCT_SERVERPROTECT_LINUX

ServerProtect for Linux

SLF_PRODUCT_IMSA InterScan Messaging Security Appliance

SLF_PRODUCT_IMSVA InterScan Messaging Security VirtualAppliance

SLF_PRODUCT_IS_WEB_SECURITY_SUITE_LINUX

InterScan Web Security Suite for Linux

SLF_PRODUCT_IS_WEB_SECURITY_SUITE_APPLIANCE

InterScan Web Security Suite for Appliance

SLF_PRODUCT_IS_WEB_SECURITY_SUITE_VIRTUAL_APPLIANCE

InterScan Web Security Virtual Appliance

SLF_PRODUCT_TMMS 企業版行動安全防護

SLF_PRODUCT_DEEP_DISCOVERY_EMAIL_INSPECTOR

Deep Discovery Email Inspector

SLF_PRODUCT_DEEP_DISCOVERY Deep Discovery Inspector

SLF_PRODUCT_TMDS Trend Micro Deep Security

自動化 API 參考

A-3

自動化 API 隔離狀態

值說明

正常用戶端的網路連線正常，並在適用的情況下，可以與網路隔離。

已隔離用戶端目前已與網路隔離

endpoint_isolation_pending

已發出用戶端隔離指令，且正在等待進行用戶端隔離

connection_restoration_pending

已發出用戶端恢復指令，且正在等待進行用戶端網路連線恢復

自動化 API 處理行動/功能

值說明

cmd_isolate_agent 隔離用戶端連線

cmd_restore_isolated_agent 恢復隔離的用戶端連線

cmd_relocate_agent 將用戶端重新定位到其他伺服器或目錄

cmd_uninstall_agent 解除安裝用戶端

自動化 API 結果碼

下表列出 Apex Central 自動化 API 結果碼和對應的說明：

結果碼說明

1 作業成功

-2 驗證未成功：未提供驗證 Token。


A-4

結果碼說明

-3 驗證未成功：驗證 Token 格式錯誤

-4 驗證未成功：驗證 Token 版本不受支援

-5 驗證未成功：應用程式 ID 無效

-6 驗證未成功：驗證 Token 已到期

-7 驗證未成功：驗證 Token 簽章無效

-8 驗證未成功：要求總和檢查碼無效

-9 驗證未成功：驗證 Token 簽章演算法不受支援

-21 輸入的參數無效

-22 處理行動無效

-50 HTTP 方法不受支援

-99 內部伺服器錯誤

-102 用戶端處理行動未成功：不支援多個相符項目

-103 用戶端處理行動未成功：無法隔離向另一部 Apex Central 伺服器報告的用戶端

-104 用戶端處理行動未成功：無法連線到遠端伺服器

-105 用戶端處理行動未成功：找不到目標伺服器

-106 用戶端處理行動未成功：目標伺服器由子 Apex Central 伺服器管理

-107 用戶端處理行動未成功：目標伺服器不支援指令



B-1

附錄 B

安全威脅調查 API 參考

本節包含有關安全威脅調查 API 參數和回應的參考資訊。


• 安全威脅調查 API 工作類型第 B-2 頁

• 安全威脅調查 API 過濾器值第 B-2 頁

• 安全威脅調查 API "selectAll" 類型和值第 B-3 頁

• 安全威脅調查 API 作業類型第 B-4 頁

• 安全威脅調查 API 節點類型第 B-6 頁

• 安全威脅調查 API 中繼資料類型第 B-6 頁

• 安全威脅調查 API 風險等級第 B-8 頁

• 安全威脅調查 API 評估條件類型第 B-8 頁

• 安全威脅調查 API 節點影像類型第 B-9 頁

• 安全威脅調查 API 中繼類別 ID 第 B-10 頁

• 安全威脅調查 API 用戶端狀態值第 B-10 頁

• 安全威脅調查 API 作業系統值第 B-11 頁


B-2

安全威脅調查 API 工作類型

值說明

1 UNKNOWN

2 INTERNAL

3 CM

4 CMEF

5 OSF_COMMAND

6 OSF_QUERY

7 OSF_NOTIFY

8 OSF_LOG

9 MDR_ATTACK_DISCOVERY

10 OSF_SYS_CALL

安全威脅調查 API 過濾器值

值說明

-1 未知

0 無

1 端點名稱

2 端點類型

4 端點 IP 位址

5 端點作業系統


B-3

值說明

6 端點使用者名稱

7 端點類型（部分字串比對）

8 端點 IP 位址（部分字串比對）

9 端點作業系統（部分字串比對）

安全威脅調查 API "selectAll" 類型和值

類型值範例說明

2：端點類型 • 1：桌上型電腦

• 2：伺服器

[{{"type": 2, "value":[1] }}]

選取「端點類型」等於「桌上型電腦」的所有用戶端

4：IP 位址範圍 "<Starting_IP_Address>"、"<Ending_IP_Address>"

[{{"type": 4, "value":["127.0.0.1","127.0.0.5"]}}]

選取 IP 位址在"127.0.0.1" 至"127.0.0.5" 範圍內的所有用戶端


B-4

類型值範例說明

5：作業系統 • 1：WIN_XP

• 2：WIN_VISTA

• 3：WIN_7

• 4：WIN_8

• 5：WIN_10

• 6：WIN_2000

• 7：WIN_2003

• 8：WIN_2008

• 9：WIN_2012

• 10：WIN_2016

• 11：IOS

• 12：MAC_OS

• 13：ANDROID

• 14：SYMBIAN

• 15：WIN_MOBILE

• 0：OTHERS

[{{"type": 5, "value":[8, 10] }}]

選取「作業系統」類型等於 "Windows2008" 或 "Windows2016" 的所有用戶端

安全威脅調查 API 作業類型

值中繼資料字串

0 UNKNOWN

1 CREATED

2 INJECTED


B-5

值中繼資料字串

3 MODIFIED

4 DELETED

5 COPIED

6 MOVED

7 QUERIED

8 ACCESSED

9 IMPERSONATED

10 CHANGEDPASSWORD

11 QUERIEDUSERINFO

12 CHANGEDGROUP

13 INUSE

14 SIGNATUE

15 WINNET

16 FILE_PROPAGATION

17 URLDOWNLODFILE

18 INTERNET

19 CONNECTED

20 EXTRACTA

21 LOADED

22 CREATEDTHREAD

101 ASSOCIATION


B-6

安全威脅調查 API 節點類型

值說明

0 UNKNOWN

1 檔案

2 程序

3 模組

6 IP

7 DNS

安全威脅調查 API 中繼資料類型

值說明

0 UNKNOWN

100 RATING

101 FILE_SHA1

102 FILE_MD5

103 USER

104 PATH

105 FILE_NAME

106 FILE_CREATION

107 SIGNER

108 PROCESS_PID


B-7

值說明

109 PROCESS_CMD

110 MODIFICATION

111 ACCESS

112 SIZE

113 SRC_PATH

114 SRC_FILENAME

115 DST_PATH

116 DST_FILENAME

117 FULLPATH

118 FILE_SHA2

200 SERVICE_NAME

300 USER_USER_NAME

302 SERVER_NAME

400 IP_PORT

401 IP_STATE

402 IP_IP

403 IP_DST

404 IP_SRC

405 IP_SRC_PORT

406 IP_DST_PORT

500 DOMAIN_DOMAIN

501 DOMAIN_IP

1200 REGISTRYROOT


B-8

值說明

1201 REGISTRYKEYHANDLE

1202 REGISTRY_VALUE

1203 REGISTRY_DATA

1204 REGISTRY_KEY

1205 REGISTRY_ALL

其他 RESERVE

安全威脅調查 API 風險等級

值說明

1 安全

2 低

3 中

4 高

安全威脅調查 API 評估條件類型

值說明

1 DNS

2 IP 位址

3 檔案名稱

4 檔案路徑


B-9

值說明

5 SHA-1

6 MD5

7 帳號

8 指令行

9 登錄機碼

10 登錄名稱

11 登錄資料

12 主機名稱

安全威脅調查 API 節點影像類型

值說明

0 未知

1 檔案

2 處理程序

3 模組

4 網路

5 登錄

100 多個程序

101 開機

200 電子郵件

201 瀏覽器


B-10

安全威脅調查 API 中繼類別 ID

值說明

1 SHA-1

2 SHA-2

3 MD5

4 簽署單位

6 路徑

7 完整路徑

8 檔案名稱

9 帳號

10 IP

11 DNS

12 REG_ALL

安全威脅調查 API 用戶端狀態值

值說明

0 NONE

1 PENDING

2 PROCESSING

3 成功

4 ABORT


B-11

值說明

5 TIMEOUT

6 CONNECTION_FAIL

7 FAILED

8 PROC_IS_CRITICAL

9 PROC_NOT_RUN

10 PROC_IN_WHITELIST

11 SRV_META_NOT_EXIST

12 SRV_SCOPE_SAFE

13 PROC_RE_CREATED

14 PROC_ACCESS_DENIED

9999 錯誤

安全威脅調查 API 作業系統值

值說明

WIN_XP Windows XP

WIN_VISTA Windows Vista

WIN_7 Windows 7

WIN_8 Windows 8

WIN_10 Windows 10

WIN_2000 Windows 2000



B-12

值說明




IOS iOS

MAC_OS Mac OS

ANDROID Android

SYMBIAN Symbian

WIN_MOBILE Windows Mobile

IN-1

索引四畫

文件, vi

十二畫

詞彙, vii

Item Code: APTM08637/190408

趨勢科技股份有限公司台北市敦化南路二段 198 號 8 樓

電話：(886) 2-23789666 傳真：(886) 2-23780993 [email protected]

版本：2019 自動化 api 手冊 · 及說明 apex central 概念和功能的 pdf 文件...

Documents