Получение полного отчета об анализе файлов

Kaspersky Threat Intelligence Portal предоставляет API для получения полных результатов анализа файла, отправленного на анализ в песочницу через веб-интерфейс.

Полный отчет доступен, если при отправке файла был установлен флажок Получить полный отчет динамического анализа. Флажок доступен после входа в учетную запись Kaspersky Account.

Вы можете использовать метод scan/file для получения хеша файла (MD5, SHA1, SHA256).

Запрос

Метод запроса: POST

Конечная точка: https://opentip.kaspersky.com/api/v1/getresult/file

Параметр запроса: request – хеш, для которого требуется получить результаты анализа.

Пример команды cURL:

curl --request POST 'https://opentip.kaspersky.com/api/v1/getresult/file?request=<file hash> --header 'x-api-key: <API token>'

Где:

<file hash> – хеш файла, для которого требуется получить результаты анализа.
<API token> – API-токен, запрошенный в веб-интерфейсе.

Ответы

200 OK

Запрос обработан успешно.

Конечная точка возвращает объект JSON, содержащий основную информацию о ранее проанализированном файле.

Параметры ответа 200 OK

Параметр	Тип	Описание
`Status`	строка	Статус анализа файла. Доступные значения: `in progress` – анализ файла все еще продолжается. `complete` – анализ файла успешно завершен. `not started` – файл не отправлялся на анализ.
`Zone`	строка	Цвет зоны, которой принадлежит файл. Доступные значения: `Red` (красный) – файл может быть классифицирован как Вредоносная программа. `Yellow` (желтый) – файл классифицируется как Рекламные и другие программы (рекламные программы, для взрослых или прочие программы). `Green` (зеленый) – файл имеет статус Безопасный объект или Угрозы не обнаружены. Статус Угрозы не обнаружены присваивается файлу, если он не классифицирован "Лабораторией Касперского", но ранее был проверен или проанализирован, и на момент выполнения анализа угрозы не были обнаружены. `Grey` (серый) – для классификации файла нет или недостаточно информации.
`FileGeneralInfo`	объект	Общая информация о запрошенном хеше.
`FileStatus`	строка	Статус отправленного файла (Вредоносная программа, Рекламные и другие программы, Безопасный объект, Угрозы не обнаружены или Не определено).
`Sha1`	строка	SHA1-хеш файла, запрашиваемого по хешу.
Md5	строка	MD5-хеш файла, запрашиваемого по хешу.
`Sha256`	строка	SHA256-хеш файла, запрашиваемого по хешу.
`FirstSeen`	строка <дата-время>	Дата и время, когда запрашиваемый хеш был в первый раз обнаружен экспертными системами "Лаборатории Касперского".
`LastSeen`	строка <дата-время>	Дата и время, когда запрашиваемый хеш был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
`Signer`	строка	Организация, подписавшая хеш.
`Packer`	строка	Название упаковщика (если применимо).
`Size`	целое число	Размер объекта, исследуемого по хешу (в байтах).
`Type`	строка	Тип объекта, исследуемого по хешу.
`HitsCount`	целое число	Количество обращений к хешу, обнаруженных экспертными системами "Лаборатории Касперского". Количество обращений округляется до ближайшего числа, являющегося степенью 10.
`DetectionsInfo`	массив объектов	Содержит следующую информацию об обнаруженных объектах:
`LastDetectDate`	строка <дата-время>	дата и время последнего обнаружения объекта экспертными системами "Лаборатории Касперского";
`DescriptionUrl`	строка	Ссылка на описание обнаруженного объекта на сайте "Лаборатории Касперского" об угрозах (если применимо).
`Zone`	строка	Цвет зоны, к которой относится обнаруженный объект.
`DetectionName`	строка	название обнаруженного объекта;
`DetectionMethod`	строка	Метод, используемый для обнаружения объекта.
`DynamicAnalisysResults`	объект	Информация о результатах динамического анализа.
`Detections`	массив объектов	Количество обнаруженных объектов со статусами Вредоносная программа (красный), Рекламные и другие программы (желтый). `Zone` – цвет зоны для обнаруженного объекта, Красный или Желтый. `Count` – количество объектов, принадлежащих определенной зоне.
`SuspiciousActivities`	массив объектов	Количество подозрительных действий со следующими уровнями: Высокий (красный), Средний (желтый) и Низкий (серый). `Zone` – цвет зоны для действия, Красный, Желтый или Серый. `Count` – количество действий, принадлежащих определенной зоне.
`ExtractedFiles`	массив объектов	Общее количество файлов, скачанных или сохраненных файлом в процессе исполнения, а также доля файлов со статусом Вредоносная программа (извлеченные файлы, которые могут быть классифицированы как вредоносные, отмечены красным), Рекламные и другие программы (извлеченные файлы, которые могут быть классифицированы как Not-a-virus, отмечены желтым), Безопасный объект (извлеченные файлы, которые могут быть классифицированы как не являющиеся вредоносными, отмечены зеленым) и Не определено (информация об извлеченных файлах недоступна, отмечены серым). `Zone` – цвет зоны для файла, Красный, Желтый, Зеленый или Серый. `Count` – количество файлов, принадлежащих определенной зоне.
`NetworkActivities`	массив объектов	Количество зарегистрированных сетевых взаимодействий, выполненных файлом в процессе исполнения, и доля сетевых взаимодействий со статусом Опасный объект (запросы к ресурсам со статусом Опасный объект, отмечены красным), Рекламные и другие программы (запросы к ресурсам со статусом Рекламные и другие программы, отмечены желтым), Безопасный (запросы к ресурсам со статусом Безопасный, отмечены зеленым) и Не определено (запросы к ресурсам со статусом Не определено, отмечены серым). `Zone` – цвет зоны для действия в сети, Красный, Желтый, Зеленый или Серый. `Count` – количество действий в сети, принадлежащих определенной зоне.
`DynamicDetections`	массив объектов	Обнаруженные объекты, связанные с анализируемым файлом. `Zone` – цвет зоны для обнаруженного объекта, Красный или Желтый. `Threat` – количество обнаруженных объектов, принадлежащих определенной зоне.
`TriggeredNetworkRules`	массив объектов	Правила SNORT и Suricata, сработавшие при анализе трафика из файла. `Zone` – цвет зоны для сработавшего правила, Красный или Желтый. `RuleName` – название сработавшего правила.