시작하기
Halo 주문이 처리되면, File Reputation 기능을 포함하도록 선택한 경우 새 ReversingLabs 계정을 설정해 드립니다.
참고: 필요한 자격 증명이 있다면 기존 ReversingLabs 계정을 사용할 수도 있습니다.
아래 단계에 따라 Glasswall Halo를 ReversingLabs 계정과 함께 구성하세요.
사전 요구 사항
- 최소 Halo 버전: v2.4.15
ReversingLabs와 함께 Glasswall Halo 구성
클라우드 제공업체에 따라 Halo를 배포하려면 deployment 섹션의 모든 단계를 따르세요. cdrplatform-engine에는 ReversingLabs에 연결하는 데 필요한 구성이 포함되어 있습니다. 사용자 이름과 비밀번호는 외부 시크릿 관리자에서 설정해야 합니다.
추가 수정이 필요한 경우 Halo configuration changes를 참조하세요. 관련 설정은 Engine 섹션에서 찾을 수 있습니다:
ReversingLabs__EndpointReversingLabs__Timeout
파일의 위협 인텔리전스 데이터 검색
단일 파일
Sync API에서
이 예에서는 Sync API의 CDR-file 엔드포인트에서 단일 파일을 처리합니다.
-
단일 파일로 sync API에 POST 요청을 보내세요. 예를 들어 CDR-file 엔드포인트는
/api/v3/cdr-file입니다. -
응답 헤더를 확인하세요. 다음 항목이 포함되어 있어야 합니다:
| 헤더 | 설명 | 값 |
|---|---|---|
x-filereputation-responsecode | 파일 평판 서비스의 HTTP 응답 코드 | 200 OK, 400 Bad Request, 401 Unauthorized, 403 Forbidden, 404 Not Found, 405 Method Not Allowed, 409 Conflict, 413 Request Too Large, 429 Too Many Requests, 500 Internal Server Error, 502 Bad Gateway, 503 Service Unavailable, UnknownError, Timeout |
x-filereputation-status | 멀웨어 존재 상태 | unknown, known, suspicious, malicious |
x-filereputation-threatname | 요청된 샘플에 대해 탐지된 위협 이름 | 예: win32.trojan.nsis |
x-filereputation-threatlevel | 독점적인 ReversingLabs 알고리즘으로 계산된 위협 심각도 | 0부터 5까지의 값이며, 5는 가장 높은 심각도를 나타냅니다 |
x-filereputation-trustlevel | 알려진 샘플이 정상 파일(goodware)일 것이라는 신뢰도 | 0부터 5까지의 값이며, 0은 가장 높은 신뢰도를 나타냅니다 |
아카이브
이 예제에서는 Sync API의 CDR-file 엔드포인트에서 ZIP 파일을 처리합니다.
-
지원되는 아카이브 파일로 Sync API에 POST 요청을 보내십시오. 예를 들어 CDR-file 엔드포인트인
/api/v3/cdr-file를 사용할 수 있습니다. 분석 보고서가 생성되도록 하십시오. -
/clean및/report폴더가 포함된 복합 아카이브 결과를 다운로드합니다. -
/report디렉터리 아래의 보고서 아카이브 파일을 엽니다. -
manifest.cdr-json파일의 내용을 확인합니다. JSON에는 새로운fileReputation섹션이 포함되어야 합니다:
{
"fileReputation": {
"response": "200",
"fileStatus": "SUSPICIOUS",
"threatName": "Win32.Trojan.Nsis",
"threatLevel": "4",
"trustLevel": "5"
}
}
압축 파일
압축 파일(.bz2And.gzip)의 경우, 파일 평판 데이터는 응답 헤더를 통해 반환됩니다(단일 파일과 유사).
참고: 파일 평판 결과는 상위 압축 형식이 아니라 내부 파일에 대한 것입니다.