Bắt đầu

Sau khi đơn hàng Halo của bạn được xử lý, nếu bạn chọn bao gồm tính năng File Reputation, chúng tôi sẽ thiết lập một tài khoản ReversingLabs mới cho bạn.

Lưu ý: bạn cũng có thể sử dụng tài khoản ReversingLabs hiện có, miễn là bạn có thông tin xác thực cần thiết.

Vui lòng làm theo các bước dưới đây để cấu hình Glasswall Halo với tài khoản ReversingLabs của bạn.

Điều kiện tiên quyết

Phiên bản Halo tối thiểu: v2.4.15

Cấu hình Glasswall Halo với ReversingLabs

Làm theo tất cả các bước trong phần triển khai để triển khai Halo theo nhà cung cấp đám mây của bạn. cdrplatform-engine bao gồm cấu hình cần thiết để kết nối với ReversingLabs. Tên người dùng và mật khẩu nên được thiết lập bằng trình quản lý bí mật bên ngoài.

Đối với mọi sửa đổi bổ sung, hãy tham khảo các thay đổi cấu hình Halo. Các cài đặt liên quan có thể được tìm thấy trong phần Engine:

ReversingLabs__Endpoint
ReversingLabs__Timeout

Truy xuất dữ liệu tình báo mối đe dọa cho các tệp của bạn

Tệp đơn

Trong Sync API

Trong ví dụ này, chúng tôi xử lý một tệp đơn trên endpoint CDR-file trong Sync API.

Thực hiện yêu cầu POST với một tệp đơn tới sync API, ví dụ endpoint CDR-file: /api/v3/cdr-file.
Quan sát các header phản hồi. Chúng phải chứa những mục sau:

Header	Mô tả	Giá trị
`x-filereputation-responsecode`	Mã phản hồi HTTP từ dịch vụ danh tiếng tệp	`200 OK`, `400 Bad Request`, `401 Unauthorized`, `403 Forbidden`, `404 Not Found`, `405 Method Not Allowed`, `409 Conflict`, `413 Request Too Large`, `429 Too Many Requests`, `500 Internal Server Error`, `502 Bad Gateway`, `503 Service Unavailable`, `UnknownError`, `Timeout`
`x-filereputation-status`	Trạng thái hiện diện của phần mềm độc hại	`unknown`, `known`, `suspicious`, `malicious`
`x-filereputation-threatname`	Tên mối đe dọa được phát hiện cho mẫu được yêu cầu	Ví dụ: `win32.trojan.nsis`
`x-filereputation-threatlevel`	Mức độ nghiêm trọng của mối đe dọa được tính bằng thuật toán độc quyền của ReversingLabs	Giá trị từ `0` đến `5`, trong đó `5` biểu thị mức độ nghiêm trọng cao nhất
`x-filereputation-trustlevel`	Mức độ tin cậy rằng một mẫu đã biết là goodware	Giá trị từ `0` đến `5`, trong đó `0` thể hiện mức độ tin cậy cao nhất

Lưu trữ

Trong ví dụ này, chúng tôi xử lý một tệp ZIP trên endpoint CDR-file của Sync API.

Thực hiện một yêu cầu POST với một tệp lưu trữ được hỗ trợ tới Sync API, ví dụ endpoint CDR-file: /api/v3/cdr-file. Đảm bảo rằng một báo cáo phân tích sẽ được tạo.
Tải xuống kết quả lưu trữ tổng hợp chứa các thư mục /clean và /report.
Mở tệp lưu trữ báo cáo trong thư mục /report.
Quan sát nội dung của tệp manifest.cdr-json. JSON phải chứa một phần fileReputation mới:

{
  "fileReputation": {
    "response": "200",
    "fileStatus": "SUSPICIOUS",
    "threatName": "Win32.Trojan.Nsis",
    "threatLevel": "4",
    "trustLevel": "5"
  }
}

Tệp nén

Đối với các tệp nén (.bz2And.gzip), dữ liệu danh tiếng tệp được trả về qua các header phản hồi (tương tự như tệp đơn lẻ).

Lưu ý: kết quả danh tiếng tệp áp dụng cho tệp cơ sở chứ không phải loại nén cha.

Điều kiện tiên quyết​

Cấu hình Glasswall Halo với ReversingLabs​

Truy xuất dữ liệu tình báo mối đe dọa cho các tệp của bạn​

Tệp đơn​

Trong Sync API​

Lưu trữ​

Tệp nén​