บทนำ
Athena NDR รองรับการเชื่อมต่อกับระบบภายนอกผ่าน RESTful API และ Syslog ทำให้สามารถ integrate กับ SIEM, SOAR, Ticketing System และ Data Lake ได้อย่างยืดหยุ่น บทความนี้อธิบายภาพรวมของ API ที่ให้บริการ, วิธีการ authentication และ ช่องทางการเข้าถึงเอกสาร API Reference อย่างเป็นทางการของ Sangfor
ข้อกำหนดเบื้องต้น
- Athena NDR v3.0.98 ขึ้นไป
- บัญชี Administrator สำหรับสร้าง API account และ credential
- ระบบปลายทางหรือเครื่องมือทดสอบ API (เช่น Postman, curl)
ภาพรวมของ API
- RESTful API: ใช้สำหรับดึงข้อมูล Security Incident, Security Alert, Asset, Weakness, Log ฯลฯ รวมถึงสั่งการ action บางอย่างของระบบ
- Syslog: ใช้ stream ข้อมูล log แบบ real-time ออกไปยัง SIEM รองรับ format SEF, CEF และ LEEF
- Custom Intelligence Import API: ใช้ push IOC ให้ Detection Engine เรียนรู้แบบอัตโนมัติ
การเข้าถึงเอกสาร API Reference
- ล็อกอิน Athena NDR Console
- ไปที่ More > API (หรือ System > Data Sharing ในบางเวอร์ชัน)
- ดาวน์โหลดเอกสารอ้างอิง
- Sangfor Cyber Command RESTful API to 3rd Party.pdf — เอกสารหลักสำหรับ REST API (endpoint, request/response format, error code)
- Syslog SEF Format Description — สำหรับ format SEF
- Syslog CEF Format Description — สำหรับ format CEF
- Syslog LEEF Format Description — สำหรับ format LEEF (รองรับ IBM QRadar)
การ Authentication
- RESTful API ของ Athena NDR ใช้ authentication แบบ Account + Password (Basic Auth หรือ Token-based ตามเวอร์ชัน)
- สร้าง API account โดยไปที่ System > System > Admin Account แล้วสร้าง user เฉพาะสำหรับการเรียก API (แนะนำให้ใช้ role ที่จำกัดสิทธิ์เท่าที่จำเป็น)
- ในการเรียก API ครั้งแรก client ต้องทำการ login เพื่อรับ token (session) จากนั้นใช้ token ประกอบ header ของ request ถัดไป
- Token มีอายุการใช้งานจำกัด ควรทำการ renew เมื่อใกล้หมดอายุ
การทดสอบ API ด้วย curl
- ทดสอบการเชื่อมต่อพื้นฐาน
curl -k -u "apiuser:password" https://<NDR_IP>/api/v1/incidents
- ตรวจสอบ HTTP status code 200 และ response body ใน JSON format
- หากได้รับ 401 ให้ตรวจ credential และสิทธิ์ของ account
- หากได้รับ 403 ให้ตรวจ role permission ของ API user
หมายเหตุ
- แนะนำให้เปิด API ผ่าน HTTPS เท่านั้น และจำกัด source IP ที่เรียก API ได้ผ่าน Access Control
- อัตราการเรียก API อาจมี rate limit ควรออกแบบ client ให้มี retry with backoff
- เวอร์ชันของ API อาจเปลี่ยนตามเวอร์ชันของ Athena NDR โปรดอ้างอิงเอกสาร API ที่ตรงกับเวอร์ชันที่ใช้งาน
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น