Pagsisimula
Kapag naproseso na ang iyong Halo order, kung pinili mong isama ang feature na File Reputation, magse-set up kami ng bagong ReversingLabs account para sa iyo.
Tandaan: maaari mo ring gamitin ang umiiral nang ReversingLabs account, basta mayroon kang mga kinakailangang credential.
Pakisunod ang mga hakbang sa ibaba upang i-configure ang Glasswall Halo gamit ang iyong ReversingLabs account.
Paunang kinakailangan
- Minimum na bersyon ng Halo: v2.4.15
I-configure ang Glasswall Halo gamit ang ReversingLabs
Sundin ang lahat ng hakbang sa seksyong deployment upang i-deploy ang Halo ayon sa iyong cloud provider. Kasama sa cdrplatform-engine ang configuration na kailangan upang kumonekta sa ReversingLabs. Dapat i-set up ang username at password gamit ang isang external secret manager.
Para sa anumang karagdagang pagbabago, sumangguni sa mga pagbabago sa configuration ng Halo. Makikita ang mga nauugnay na setting sa ilalim ng seksyong Engine:
ReversingLabs__EndpointReversingLabs__Timeout
Kunin ang threat intelligence data para sa iyong mga file
Mga iisang file
Sa Sync API
Sa halimbawang ito, pinoproseso namin ang isang file sa CDR-file endpoint sa Sync API.
-
Gumawa ng POST request na may isang file sa sync API, halimbawa sa CDR-file endpoint:
/api/v3/cdr-file. -
Obserbahan ang mga response header. Dapat naglalaman ang mga ito ng sumusunod:
| Header | Paglalarawan | Mga halaga |
|---|---|---|
x-filereputation-responsecode | HTTP response code mula sa serbisyo ng reputasyon ng file | 200 OK, 400 Bad Request, 401 Unauthorized, 403 Forbidden, 404 Not Found, 405 Method Not Allowed, 409 Conflict, 413 Request Too Large, 429 Too Many Requests, 500 Internal Server Error, 502 Bad Gateway, 503 Service Unavailable, UnknownError, Timeout |
x-filereputation-status | Katayuan ng presensya ng malware | unknown, known, suspicious, malicious |
x-filereputation-threatname | Natukoy na pangalan ng banta para sa hiniling na sample | Halimbawa: win32.trojan.nsis |
x-filereputation-threatlevel | Tindi ng banta na kinakalkula ng isang proprietary na algorithm ng ReversingLabs | Halaga mula 0 hanggang 5, kung saan ang 5 ay nagpapahiwatig ng pinakamataas na tindi |
x-filereputation-trustlevel | Antas ng kumpiyansa na ang isang kilalang sample ay goodware | Halaga mula 0 hanggang 5, kung saan ang 0 ay kumakatawan sa pinakamataas na kumpiyansa |
Mga Archive
Sa halimbawang ito, pinoproseso namin ang isang ZIP file sa CDR-file endpoint sa Sync API.
-
Gumawa ng POST request gamit ang isang sinusuportahang archive file sa Sync API, halimbawa ang CDR-file endpoint:
/api/v3/cdr-file. Tiyaking mabubuo ang isang analysis report. -
I-download ang composite archive result na naglalaman ng mga folder na
/cleanat/report. -
Buksan ang report archive file sa ilalim ng direktoryong
/report. -
Tingnan ang nilalaman ng file na
manifest.cdr-json. Dapat maglaman ang JSON ng bagong seksyongfileReputation:
{
"fileReputation": {
"response": "200",
"fileStatus": "SUSPICIOUS",
"threatName": "Win32.Trojan.Nsis",
"threatLevel": "4",
"trustLevel": "5"
}
}
Mga compressed file
Para sa mga compressed file (.bz2 at .gzip), ibinabalik ang data ng file reputation sa pamamagitan ng mga response header (katulad ng sa mga single file).
Tandaan: ang mga resulta ng file reputation ay para sa nakapailalim na file at hindi sa parent compressed type.