Guide de l'API REST Reveal (x) 360

Guide de l'API REST Reveal (x) 360

L'API REST Reveal (x) 360 vous permet d'automatiser les tâches de configuration et de récupérer des métriques, des paquets et des détections depuis Reveal (x) 360. Vous pouvez envoyer des demandes à l'API via une interface REST (Representational State Transfer), accessible via des URI de ressources et des méthodes HTTP standard.

Avant de pouvoir envoyer une demande d'API REST à Reveal (x) 360, vous devez activer le système pour l'accès à l' API REST et générer des informations dcredentidentification. Vous devez ensuite récupérer un jeton d'accès temporaire en envoyant l'ID et le secret de vos informations d'identification de l'API REST à Reveal (x) 360. Enfin, incluez le jeton d'accès dans l'en-tête de votre demande d'authentification. Les informations d'identification de l' API REST n'expirent pas automatiquement et doivent être supprimées manuellement avant de devenir invalides.

Remarque :Ce guide est destiné à un public ayant une connaissance de base du développement logiciel et du système ExtraHop.

Activer l'API REST pour Reveal (x) 360

Avant de pouvoir envoyer des demandes d'API REST à Reveal (x) 360, vous devez activer l' accès à l'API REST.

Before you begin

  • Vous devez disposer des privilèges OktaAdmin ou ApplianceAdmin.
  1. Connectez-vous à Reveal (x) 360.
  2. Cliquez sur l'icône des paramètres système en haut à droite de la page, puis cliquez sur Toute l'administration.
  3. Cliquez Accès à l'API.
  4. Dans le Gérer l'accès aux API section, cliquez Activer.
    Si vous désactivez puis réactivez l'API REST, celle-ci risque d'être indisponible pendant environ 15 minutes en raison de la propagation du DNS, même si la section Status indique que l'accès est activé. Nous vous recommandons de ne pas souvent désactiver et réactiver l'API REST.

Création des informations dcredentidentification de l'API REST

Ces informations d'identification sont nécessaires pour récupérer des jetons d'accès à l'API temporaires qui doivent être inclus dans les demandes adressées à l'API REST.

Remarque :Les informations d'identification de l'API REST n'expirent pas automatiquement. Les informations d'identification créées par un utilisateur ne sont pas supprimées lorsque celui-ci est retiré du système. Les informations dcredentialisation restent valides jusqu'à leur suppression. Tout administrateur peut supprimer n'importe quelle information d'identification, quel que soit l'utilisateur qui l'a créée.

L'API REST Reveal (x) 360 ne prend pas en charge le partage de ressources entre origines (CORS).

Before you begin

  • Vous devez disposer des privilèges OktaAdmin ou ApplianceAdmin.
  1. Connectez-vous à Reveal (x) 360.
  2. Cliquez sur l'icône des paramètres système en haut à droite de la page, puis cliquez sur Toute l'administration.
  3. Cliquez Accès à l'API.
  4. Cliquez Créer des informations d'identification.
  5. Dans le Nom dans ce champ, saisissez un nom pour les informations dac.identification.
  6. Dans le Privilèges champ, spécifiez un niveau de privilège pour les informations dac.identification.
    Le niveau de privilège détermine les actions qui peuvent être effectuées avec les informations d'identification. N'accordez pas plus de privilèges aux informations dÈRE de l'API REST que ce qui est nécessaire, car cela peut créer un risque de sécurité. Par exemple, les applications qui récupèrent uniquement des métriques ne doivent pas recevoir d'informations d'identification octroyant des privilèges administratifs. Pour plus d'informations sur chaque niveau de privilège, voir Privilèges utilisateur.
    Remarque :Les privilèges d'administration du système et des accès sont similaires aux privilèges d'écriture complets et permettent aux informations dcredentiatives de connecter des capteurs autogérés et des appliances Trace à Reveal (x) 360.
  7. Dans le Accès aux paquets champ, spécifiez si vous pouvez récupérer les paquets et les clés de session avec les informations dac.identification.
  8. Cliquez Enregistrer.
    Le Copier les informations d'identification de l'API REST le volet apparaît.
  9. Sous IDENTIFIANT, cliquez Copier dans le presse-papiers et enregistrez l'identifiant sur votre ordinateur local.
  10. Sous Secret, cliquez Copier dans le presse-papiers et enregistrez le secret sur votre machine locale.
    Important :Le secret ne peut pas être consulté ou récupéré ultérieurement.
  11. Cliquez Terminé.

Génération d'un jeton d'API REST

Un jeton d'accès à l'API temporaire doit être inclus dans toutes les demandes d'API REST adressées à Reveal (x) 360. Après avoir créé les informations d'identification de l'API REST, vous pouvez écrire des scripts qui génèrent des jetons d'accès à l'API temporaires avec ces informations d'identification. Les scripts peuvent ensuite authentifier les demandes d'API REST adressées à Reveal (x) 360 à l'aide des jetons. Les jetons sont valides pendant 10 minutes après avoir été générés.

La demande de jeton HTTPS doit répondre aux exigences suivantes :

  • Le jeton est envoyé dans une requête POST au point de terminaison du jeton d'API, qui est affiché sur Accès à l'API page sous Point de terminaison API dans Reveal (x) 360.
  • Incluez les en-têtes suivants :
    • Authorization: Basic <auth>

      <auth> est une chaîne codée en base64 contenant l'identifiant et le secret joints par deux points.

    • Content-Type: application/x-www-form-urlencoded
  • Incluez la charge utile suivante :
    grant_type=client_credentials
Remarque :Les jetons d'accès à l'API temporaires créés par les exemples de scripts ne sont valides que pendant 10 minutes. Si l'exécution d'un script prend plus de 10 minutes, il doit générer un nouveau jeton toutes les 10 minutes pour s'assurer qu'il n'envoie pas de jeton expiré. Si un script envoie un jeton expiré, le système répond avec un code d'erreur HTTP 401 et le message d'erreur suivant :
 The incoming token has expired

Que faire ensuite

Après avoir généré un jeton, vous pouvez l'inclure en tant que jeton porteur dans l'en-tête d'autorisation HTTP pour authentifier les demandes. Par exemple, si votre jeton est »abcdefghijklmnop0123456789«, incluez la chaîne suivante dans l' en-tête :
"Authorization": "Bearer abcdefghijklmnop0123456789"

Récupérez et exécutez l'exemple de script Python

Le référentiel GitHub ExtraHop contient un exemple de script Python qui génère un jeton d'accès à l'API temporaire, puis authentifie deux requêtes simples avec le jeton qui récupère les appareils et les groupes d'équipements depuis Reveal (x) 360.

  1. Accédez au Référentiel GitHub d'exemples de code ExtraHop et téléchargez le py_rx360_auth/py_rx360_auth.py fichier sur votre machine locale.
  2. Dans un éditeur de texte, ouvrez le py_rx360_auth.py archivez et remplacez les variables de configuration suivantes par des informations provenant de votre environnement :

    HÔTE: Le nom d'hôte de l'API Reveal (x) 360. Ce nom d'hôte est affiché dans le Reveal (x) 360 Accès à l'API page sous Point de terminaison API. Le nom d'hôte n'inclut pas /oauth/token.

    IDENTIFIANT: L'ID des informations dac.identification de l'API REST.

    SECRET: Le secret des informations dcredentiation de l'API REST.

Exécutez la commande suivante :
python3 py_rx360_auth.py

Exemple de Bash et cURL

Le référentiel GitHub ExtraHop contient un exemple de script Bash qui génère un jeton d' API REST avec la commande cURL, puis authentifie deux requêtes simples avec le jeton qui récupère les appareils et les groupes d'équipements depuis l'API REST Reveal (x) 360.

Before you begin

  • L'outil cURL doit être installé sur votre machine.
  • L'analyseur jq doit être installé sur votre machine. Pour plus d'informations, voir https://stedolan.github.io/jq/.
  1. Accédez au Référentiel GitHub d'exemples de code ExtraHop et téléchargez le bash_rx360_auth/bash_rx360_auth.sh fichier sur votre machine locale.
  2. Dans un éditeur de texte, ouvrez le bash_rx360_auth.sh archivez et remplacez les variables de configuration suivantes par des informations provenant de votre environnement :

    HÔTE: Le nom d'hôte de l'API Reveal (x) 360. Ce nom d'hôte est affiché dans le Reveal (x) 360 Accès à l'API page sous Point de terminaison API. Le nom d'hôte n'inclut pas /oauth/token.

    IDENTIFIANT: L'ID des informations dac.identification de l'API REST.

    SECRET: Le secret des informations dcredentiation de l'API REST.

  3. Exécutez la commande suivante :
    ./bash_auth.sh

Reveal (x) 360 ressources

Vous pouvez effectuer des opérations sur les ressources suivantes via l' API REST Reveal (x) 360. Vous pouvez également consulter des informations plus détaillées sur ces ressources, telles que disponibles HTTP méthodes, paramètres de requête et propriétés des objets.

Remarque :Les points de terminaison de l'API sont situés à <host>/api/v1/<endpoint>, où host est le nom d'hôte de l'API Reveal (x) 360. Par exemple, si le nom d'hôte de l'API est https://example.com, le point de terminaison des cartes d'activité serait l'URL suivante :

https://example.com/api/v1/activitymaps

Vous pouvez dériver le nom d'hôte du point de terminaison du jeton d'API en supprimant /oauth/token à partir de la chaîne du point de terminaison, qui apparaît sur la page d'accès à l'API Reveal (x) 360 sous Point de terminaison API.

Carte des activités

Une carte dactivity est une représentation visuelle dynamique de l'activité du protocole L4-L7 entre les appareils de votre réseau. Créez un schéma 2D ou 3D des connexions des équipements en temps réel pour en savoir plus sur le flux de trafic et les relations entre les appareils.

Voici quelques points importants à prendre en compte au sujet des cartes d'activités :

  • Vous ne pouvez créer des cartes d'activité pour les appareils que dans l'analyse standard et l'analyse avancée. Les appareils en mode découverte ne sont pas inclus dans les cartes d'activités. Pour plus d'informations, voir Niveaux d'analyse.
  • Si vous créez une carte d'activités pour un équipement, un groupe d'activités ou un groupe d'équipements sans aucune activité de protocole pendant l'intervalle de temps sélectionné, la carte apparaît sans aucune donnée. Modifiez l'intervalle de temps ou votre sélection d'origine et réessayez.
  • Vous pouvez créer une carte dactivitiés dans un console pour visualiser les connexions des équipements entre tous vos capteurs.

Pour en savoir plus sur la configuration et la navigation dans les cartes d'activité, voir Cartes d'activités.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
OBTENIR /activitymaps Récupérez toutes les cartes d'activités.
POST/Activitymaps Créez une nouvelle carte dactivitiés.
POST /activitymaps/query Exécutez une requête de topologie du réseau, qui renvoie les données de la carte dactivités sous forme de fichier plat.
SUPPRIMER /activitymaps/ {id} Supprimez une carte dactivitiés spécifique.
OBTENEZ /activitymaps/ {id} Récupérez une carte dactivitiés spécifique.
PATCH /activitymaps/ {id} Mettez à jour une carte dactivitiés spécifique.
POST /activitymaps/ {id} /requête Exécutez une requête topologique pour une carte d'activités spécifique, qui renvoie les données de la carte d'activités sous forme de fichier plat.
GET /activitymaps/ {id} /partage Récupérez les utilisateurs et leurs autorisations de partage pour une carte dactivitiés spécifique.
PATCH /activitymaps/ {id} /partage Mettez à jour les utilisateurs et leurs autorisations de partage pour une carte dactivitiés spécifique.
PUT /activitymaps/ {id} /partage Remplacez les utilisateurs et leurs autorisations de partage pour une carte dactivitiés spécifique.

Détails de l'opération

POST /activitymaps

Spécifiez les paramètres suivants.

body: Objet
Les propriétés de la carte dactivities.
name: Corde
Nom convivial de la carte dactivités.
short_code: Corde
(Facultatif) Le code abrégé unique qui est global à toutes les cartes d'activités.
description: Corde
Description de la carte dactivitiés.
weighting: Corde
(Facultatif) La valeur métrique qui détermine la pondération de l'activité entre les appareils. Les valeurs d'élément prises en charge sont « bytes », « connections » et « turns ».
mode: Corde
(Facultatif) La mise en page de la carte dactivités. Les valeurs prises en charge sont « 2dforce » et « 3dforce ».
show_alert_status: Booléen
(Facultatif) Indique s'il faut afficher l'état d'alerte des appareils sur la carte dactivités. Si cette option est activée, la couleur de chaque équipement sur la carte représente le niveau d'alerte le plus grave associé à l'équipement.
walks: Tableau d'objets
La liste d'un ou de plusieurs objets de promenade. Une promenade est le chemin de circulation composé d'une ou de plusieurs marches. Chaque étape commence par un ou plusieurs appareils d'origine et s'étend aux connexions aux appareils homologues basées sur l'activité du protocole. Chaque extension depuis l'origine est une étape. Le contenu de l'objet est défini dans la section « promenade » ci-dessous.
origins: Tableau d'objets
La liste d'un ou de plusieurs appareils d'origine de la première étape de la promenade. Le contenu de l'objet est défini dans la section « source_object » ci-dessous.
object_type: Corde
Type de source métrique.

Les valeurs suivantes sont valides :

  • device
  • device_group
object_id: Numéro
Identifiant unique de l'objet source.
steps: Tableau d'objets
La liste d'une ou de plusieurs étapes de la promenade. Chaque étape est définie par l'activité du protocole entre les appareils de l'étape précédente et un nouvel ensemble de périphériques homologues. Le contenu de l'objet est défini dans la section « étape » ci-dessous.
relationships: Tableau d'objets
(Facultatif) Liste d'un ou de plusieurs filtres qui définissent la relation entre deux appareils. Les filtres spécifient les rôles et les protocoles à rechercher lors de la localisation des appareils homologues au cours de l'étape. Les relations sont représentées sous forme d'arête sur la carte dactivités. Le contenu de l'objet est défini dans la section « relation » ci-dessous. Si aucune valeur n'est spécifiée, l'opération localisera tous les homologues.
protocol: Corde
(Facultatif) Le protocole métrique associé à la relation, tel que « HTTP » ou « DNS ». L'opération localise uniquement les connexions entre les appareils via le protocole spécifié.
role: Corde
(Facultatif) Rôle d'équipement associé au protocole métrique de la relation. L'opération localise uniquement les connexions entre les appareils via le protocole associé dans le rôle spécifié. Les valeurs de rôle prises en charge sont « client », « serveur » ou « quelconque ». Définissez sur « any » pour localiser toutes les relations client, serveur et équipement homologue associées au protocole spécifié.
peer_in: Tableau d'objets
(Facultatif) Liste d'un ou de plusieurs objets d'équipement homologues à inclure dans la carte dactivités. Seules les relations avec les homologues de l'objet source spécifié sont incluses. Le contenu de l'objet est défini dans la section « source_object » ci-dessous.
object_type: Corde
Type de source métrique.

Les valeurs suivantes sont valides :

  • device
  • device_group
object_id: Numéro
Identifiant unique de l'objet source.
peer_not_in: Tableau d'objets
(Facultatif) Liste d'un ou de plusieurs objets d'équipement homologues à exclure de la carte dactivités. Les relations avec les homologues de l'objet source spécifié sont exclues. Le contenu de l'objet est défini dans la section « source_object » ci-dessous.
object_type: Corde
Type de source métrique.

Les valeurs suivantes sont valides :

  • device
  • device_group
object_id: Numéro
Identifiant unique de l'objet source.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "mode": "string",
    "name": "string",
    "short_code": "string",
    "show_alert_status": true,
    "walks": {
        "origins": {
            "object_type": "string",
            "object_id": 0
        },
        "steps": {
            "relationships": {
                "protocol": "string",
                "role": "string"
            },
            "peer_in": {
                "object_type": "string",
                "object_id": 0
            },
            "peer_not_in": {
                "object_type": "string",
                "object_id": 0
            }
        }
    },
    "weighting": "string"
}
POST /activitymaps/query

Spécifiez les paramètres suivants.

body: Objet
Les propriétés de la requête topologique.
from: Numéro
L'horodateur de début de la plage temporelle recherchée par la requête, exprimé en millisecondes depuis l'époque.
until: Numéro
(Facultatif) L'horodateur de fin de la plage de temps recherchée par la requête, exprimé en millisecondes depuis l'époque. Si aucune valeur n'est définie, la fin de la requête est par défaut « maintenant ».
weighting: Corde
(Facultatif) La valeur métrique qui détermine la pondération de l'activité entre les appareils.

Les valeurs suivantes sont valides :

  • bytes
  • connections
  • turns
edge_annotations: Tableau de chaînes
(Facultatif) La liste d'une ou plusieurs annotations de bord à inclure dans la requête topologique.

Les valeurs suivantes sont valides :

  • protocols
  • appearances
walks: Tableau d'objets
Liste d'un ou de plusieurs objets de promenade à inclure dans la requête topologique. Une promenade est le chemin de circulation composé d'une ou de plusieurs marches. Chaque étape commence par un ou plusieurs appareils d'origine et s'étend aux connexions aux appareils homologues basées sur l'activité du protocole. Chaque extension depuis l'origine est une étape. Le contenu de l'objet est défini dans la section « topology_walk » ci-dessous.
origins: Tableau d'objets
La liste d'un ou de plusieurs appareils d'origine de la première étape de la promenade. Le contenu de l'objet est défini dans la section « topology_source » ci-dessous.
object_type: Corde
Type d'objet source.

Les valeurs suivantes sont valides :

  • all_devices
  • device_group
  • device
object_id: Numéro
Identifiant unique de l'objet source. Défini sur 0 si la valeur du paramètre « object_type » est « all_devices ».
steps: Tableau d'objets
La liste d'une ou de plusieurs étapes de la promenade. Chaque étape est définie par l'activité du protocole entre les appareils de l'étape précédente et un nouvel ensemble de périphériques homologues. Le contenu de l'objet est défini dans la section « topology_step » ci-dessous.
relationships: Tableau d'objets
(Facultatif) Liste d'un ou de plusieurs filtres qui définissent la relation entre deux appareils. Les filtres spécifient les rôles et les protocoles à rechercher lors de la localisation des appareils homologues au cours de l'étape. Les relations sont représentées sous forme d'arête sur la carte dactivités. Si aucune valeur n'est définie, l'opération inclut tous les homologues. Le contenu de l'objet est défini dans la section « topology_relationship » ci-dessous.
role: Corde
(Facultatif) Le rôle de l'équipement homologue par rapport à l'équipement d'origine.

Les valeurs suivantes sont valides :

  • client
  • server
  • any
protocol: Corde
(Facultatif) Le protocole par lequel l'équipement d'origine communique, tel que « HTTP ». Si aucune valeur n'est définie, l'objet inclut un protocole.
peer_in: Tableau d'objets
(Facultatif) La liste d'un ou de plusieurs appareils homologues à inclure dans le graphe topologique. Seules les relations avec les homologues de l'objet source spécifié sont incluses. Le contenu de l'objet est défini dans la section « topology_source » ci-dessous.
object_type: Corde
Type d'objet source.

Les valeurs suivantes sont valides :

  • all_devices
  • device_group
  • device
object_id: Numéro
Identifiant unique de l'objet source. Défini sur 0 si la valeur du paramètre « object_type » est « all_devices ».
peer_not_in: Tableau d'objets
(Facultatif) La liste d'un ou de plusieurs appareils homologues à exclure du graphe topologique. Les relations avec les appareils homologues de l'objet source spécifié sont exclues. Le contenu de l'objet est défini dans la section « topology_source » ci-dessous.
object_type: Corde
Type d'objet source.

Les valeurs suivantes sont valides :

  • all_devices
  • device_group
  • device
object_id: Numéro
Identifiant unique de l'objet source. Défini sur 0 si la valeur du paramètre « object_type » est « all_devices ».

Spécifiez le paramètre body au format JSON suivant.

{
    "edge_annotations": [],
    "from": 0,
    "until": 0,
    "walks": {
        "origins": {
            "object_type": "string",
            "object_id": 0
        },
        "steps": {
            "relationships": {
                "role": "string",
                "protocol": "string"
            },
            "peer_in": {
                "object_type": "string",
                "object_id": 0
            },
            "peer_not_in": {
                "object_type": "string",
                "object_id": 0
            }
        }
    },
    "weighting": "string"
}
GET /activitymaps

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "id": 0,
    "mod_time": 0,
    "mode": "string",
    "name": "string",
    "owner": "string",
    "rights": [
        "string"
    ],
    "short_code": "string",
    "show_alert_status": true,
    "walks": [],
    "weighting": "string"
}
GET /activitymaps/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la carte dactivités.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "id": 0,
    "mod_time": 0,
    "mode": "string",
    "name": "string",
    "owner": "string",
    "rights": [
        "string"
    ],
    "short_code": "string",
    "show_alert_status": true,
    "walks": [],
    "weighting": "string"
}
POST /activitymaps/{id}/query

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la carte dactivités.
body: Objet
Les propriétés de la requête topologique.
from: Numéro
L'horodateur de début de la plage temporelle recherchée par la requête, exprimé en millisecondes depuis l'époque.
until: Numéro
(Facultatif) L'horodateur de fin de la plage de temps recherchée par la requête, exprimé en millisecondes depuis l'époque. Si aucune valeur n'est définie, la fin de la requête est par défaut « maintenant ».
edge_annotations: Tableau de chaînes
(Facultatif) La liste d'une ou plusieurs annotations de bord à inclure dans la requête topologique.

Les valeurs suivantes sont valides :

  • protocols
  • appearances

Spécifiez le paramètre body au format JSON suivant.

{
    "edge_annotations": [],
    "from": 0,
    "until": 0
}
DELETE /activitymaps/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la carte dactivités.
PATCH /activitymaps/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la carte dactivités.
body: Objet
Les propriétés de la carte dactivités à mettre à jour.
GET /activitymaps/{id}/sharing

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la carte dactivités.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "anyone": "string",
    "groups": {},
    "users": {}
}
PUT /activitymaps/{id}/sharing

Spécifiez les paramètres suivants.

body: Objet
Les utilisateurs et leurs niveaux d'autorisation.
id: Numéro
Identifiant unique de la carte dactivités.
PATCH /activitymaps/{id}/sharing

Spécifiez les paramètres suivants.

body: Objet
Les utilisateurs et leurs niveaux d'autorisation.
id: Numéro
Identifiant unique de la carte dactivités.

Alerte

Les alertes sont des notifications du système qui sont générées selon des critères d'alerte spécifiés. Les alertes par défaut sont disponibles dans le système, ou vous pouvez créer une alerte personnalisée.

Les détections et les seuils d'alerte peuvent être définis pour vous avertir si une métrique dépasse la valeur définie dans la configuration des alertes. Les alertes de tendance ne peuvent pas être configurées via l'API REST. Pour plus d' informations, voir Alertes.
Remarque :Les détections par apprentissage automatique nécessitent un connexion aux services cloud ExtraHop.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer avec cette ressource :

Fonctionnement Descriptif
GET /alertes Récupérez toutes les alertes.
POST /alertes Créez une nouvelle alerte avec des valeurs spécifiées.
SUPPRIMER /alerts/ {id} Supprimez une alerte spécifique.
OBTENIR /alerts/ {id} Récupérez une alerte spécifique.
PATCH /alerts/ {id} Appliquez les mises à jour à une alerte spécifique.
GET /alerts/ {id} /applications Récupérez toutes les applications auxquelles une alerte spécifique a été attribuée.
POST /alerts/ {id} /applications Attribuez et annulez l'attribution d'une alerte spécifique aux applications.
SUPPRIMER /alerts/ {id} /applications/ {child-id} Annuler l'attribution d'une application à une alerte spécifique.
POST /alerts/ {id} /applications/ {child id} Assignez une application à une alerte spécifique.
GET /alerts/ {id} /devicegroups Tout récupérer groupes d'équipements auxquels une alerte spécifique est attribuée.
POST /alerts/ {id} /devicegroups Attribuez et annulez l'attribution d'une alerte spécifique à des groupes d'équipements.
SUPPRIMER /alerts/ {id} /devicegroups/ {child-id} Annuler l'attribution d'un groupe déquipements à une alerte spécifique.
POST /alerts/ {id} /devicegroups/ {child id} Assignez un groupe déquipements à une alerte spécifique.
GET /alerts/ {id} /appareils Récupérez tous les appareils auxquels une alerte spécifique a été attribuée.
POST /alerts/ {id} /appareils Attribuez et annulez l'attribution d'une alerte spécifique aux appareils.
SUPPRIMER /alerts/ {id} /appareils/ {child id} Annuler l'attribution d'un équipement à une alerte spécifique.
POST /alerts/ {id} /appareils/ {child id} Assignez un équipement à une alerte spécifique.
GET /alerts/ {id} /emailgroups Récupérez tous les groupes d'e-mails auxquels une alerte spécifique est attribuée.
POST /alerts/ {id} /emailgroups Attribuez et annulez l'attribution d'une alerte spécifique à des groupes de messagerie.
SUPPRIMER /alerts/ {id} /emailgroups/ {child-id} Annuler l'attribution d'un groupe d'e-mails à une alerte spécifique.
POST /alerts/ {id} /emailgroups/ {child id} Attribuez un groupe d'e-mails à une alerte spécifique.
GET /alerts/ {id} /intervalles d'exclusion Récupérez tous les intervalles d'exclusion auxquels une alerte spécifique est attribuée.
POST /alerts/ {id} /intervalles d'exclusion Attribuez et annulez l'attribution d'une alerte spécifique à des intervalles d'exclusion.
SUPPRIMER /alerts/ {id} /exclusionintervals/ {child-id} Annulez l'attribution d'un intervalle d'exclusion à une alerte spécifique.
POST /alerts/ {id} /exclusionintervals/ {child id} Attribuez un intervalle d'exclusion à une alerte spécifique.
GET /alerts/ {id} /réseaux Récupérez tous les réseaux auxquels une alerte spécifique est attribuée.
POST /alerts/ {id} /réseaux Attribuez et annulez l'attribution d'une alerte spécifique aux réseaux.
SUPPRIMER /alerts/ {id} /networks/ {child-id} Annuler l'attribution d'un réseau à une alerte spécifique.
POST /alerts/ {id} /réseaux/ {child id} Assignez un réseau à une alerte spécifique.
OBTENIR /alerts/ {id} /statistiques Récupérez toutes les statistiques supplémentaires relatives à une alerte spécifique.

Détails de l'opération

GET /alerts

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "apply_all": true,
    "author": "string",
    "categories": [
        "string"
    ],
    "cc": [],
    "description": "string",
    "disabled": true,
    "field_name": "string",
    "field_name2": "string",
    "field_op": "string",
    "id": 0,
    "interval_length": 0,
    "mod_time": 0,
    "name": "string",
    "notify_snmp": true,
    "object_type": "string",
    "operand": "string",
    "operator": "string",
    "param": {},
    "param2": {},
    "protocols": [
        "string"
    ],
    "refire_interval": 0,
    "severity": 0,
    "stat_name": "string",
    "type": "string",
    "units": "string"
}
POST /alerts

Spécifiez les paramètres suivants.

body: Objet
Appliquez les valeurs de propriétés spécifiées à la nouvelle alerte.
description: Corde
Description facultative de l'alerte.
notify_snmp: Booléen
(Facultatif) Indique s'il faut envoyer une interruption SNMP lorsqu'une alerte est générée.
field_op: Corde
Type de comparaison entre les champs field_name et field_name2 lors de l'application d'un ratio. Applicable uniquement aux alertes par seuil.

Les valeurs suivantes sont valides :

  • /
  • null
stat_name: Corde
Nom de la statistique de l'alerte. Applicable uniquement aux alertes par seuil.
disabled: Booléen
(Facultatif) Indique si l'alerte est désactivée.
operator: Corde
Opérateur logique appliqué lors de la comparaison de la valeur du champ d'opérande aux conditions d'alerte. Applicable uniquement aux alertes par seuil.

Les valeurs suivantes sont valides :

  • ==
  • >
  • <
  • >=
  • <=
operand: Corde
La valeur à comparer aux conditions d'alerte. La méthode de comparaison est spécifiée par la valeur du champ opérateur. Applicable uniquement aux alertes par seuil.
field_name: Corde
Nom de la métrique surveillée. Applicable uniquement aux alertes par seuil.
name: Corde
Le nom unique et convivial de l'alerte.
cc: Tableau de chaînes
Liste des adresses e-mail, non incluses dans un groupe de messagerie, pour recevoir des notifications.
apply_all: Booléen
Indique si l'alerte est attribuée à toutes les sources de données disponibles.
severity: Numéro
(Facultatif) Le niveau de gravité de l'alerte, qui est affiché dans l'historique des alertes, les notifications par e-mail et les pièges SNMP. Les niveaux de gravité de 0 à 2 nécessitent une attention immédiate. Les niveaux de gravité sont décrits dans le Guide de l'API REST.
author: Corde
Nom de l'utilisateur qui a créé l'alerte.
param: Objet
Le premier paramètre d'alerte, qui est soit un modèle clé, soit un point de données. Applicable uniquement aux alertes par seuil.
interval_length: Numéro
Durée de l'intervalle d'alerte, exprimée en secondes. Applicable uniquement aux alertes par seuil.

Les valeurs suivantes sont valides :

  • 30
  • 60
  • 120
  • 300
  • 600
  • 900
  • 1200
  • 1800
param2: Objet
Le deuxième paramètre d'alerte, qui est soit un modèle clé, soit un point de données. Applicable uniquement aux alertes par seuil.
units: Corde
Intervalle dans lequel évaluer la condition d'alerte. Applicable uniquement aux alertes par seuil.

Les valeurs suivantes sont valides :

  • none
  • period
  • 1 sec
  • 1 min
  • 1 hr
field_name2: Corde
La deuxième métrique surveillée lors de l'application d'un ratio. Applicable uniquement aux alertes par seuil.
refire_interval: Numéro
(Facultatif) Intervalle de temps pendant lequel les conditions d'alerte sont surveillées, exprimé en secondes.

Les valeurs suivantes sont valides :

  • 300
  • 600
  • 900
  • 1800
  • 3600
  • 7200
  • 14400
type: Corde
Type d'alerte.

Les valeurs suivantes sont valides :

  • threshold
object_type: Corde
Type de source métrique surveillée par la configuration d'alerte. Applicable uniquement aux alertes de détection.

Les valeurs suivantes sont valides :

  • application
  • device
protocols: Tableau de chaînes
(Facultatif) La liste des protocoles surveillés. Applicable uniquement aux alertes de détection.
categories: Tableau de chaînes
(Facultatif) La liste d'une ou plusieurs catégories de détection. Une alerte est générée uniquement si une détection est identifiée dans les catégories spécifiées. Applicable uniquement aux alertes de détection.

Spécifiez le paramètre body au format JSON suivant.

{
    "apply_all": true,
    "author": "string",
    "categories": [
        "string"
    ],
    "cc": [],
    "description": "string",
    "disabled": true,
    "field_name": "string",
    "field_name2": "string",
    "field_op": "string",
    "interval_length": 0,
    "name": "string",
    "notify_snmp": true,
    "object_type": "string",
    "operand": "string",
    "operator": "string",
    "param": {},
    "param2": {},
    "protocols": [
        "string"
    ],
    "refire_interval": 0,
    "severity": 0,
    "stat_name": "string",
    "type": "string",
    "units": "string"
}
GET /alerts/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "apply_all": true,
    "author": "string",
    "categories": [
        "string"
    ],
    "cc": [],
    "description": "string",
    "disabled": true,
    "field_name": "string",
    "field_name2": "string",
    "field_op": "string",
    "id": 0,
    "interval_length": 0,
    "mod_time": 0,
    "name": "string",
    "notify_snmp": true,
    "object_type": "string",
    "operand": "string",
    "operator": "string",
    "param": {},
    "param2": {},
    "protocols": [
        "string"
    ],
    "refire_interval": 0,
    "severity": 0,
    "stat_name": "string",
    "type": "string",
    "units": "string"
}
DELETE /alerts/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
PATCH /alerts/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées à l'alerte.
id: Numéro
Identifiant unique de l'alerte.
GET /alerts/{id}/stats

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "alert_id": 0,
    "field_name": "string",
    "id": 0,
    "param": "string",
    "stat_name": "string"
}
GET /alerts/{id}/devicegroups

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/devicegroups

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les groupes d'équipements assignés ou non à l'alerte.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/devicegroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe déquipements.
id: Numéro
Identifiant unique de l'alerte.
DELETE /alerts/{id}/devicegroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe déquipements.
id: Numéro
Identifiant unique de l'alerte.
GET /alerts/{id}/emailgroups

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/emailgroups

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les groupes d'e-mails attribués et non affectés à l'alerte.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/emailgroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe de messagerie.
id: Numéro
Identifiant unique de l'alerte.
DELETE /alerts/{id}/emailgroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe de messagerie.
id: Numéro
Identifiant unique de l'alerte.
GET /alerts/{id}/exclusionintervals

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/exclusionintervals

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les intervalles d'exclusion attribués et non attribués à l'alerte.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/exclusionintervals/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'intervalle d'exclusion.
id: Numéro
Identifiant unique de l'alerte.
DELETE /alerts/{id}/exclusionintervals/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'intervalle d'exclusion.
id: Numéro
Identifiant unique de l'alerte.
GET /alerts/{id}/devices

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/devices

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les appareils assignés et non affectés à l'alerte.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'équipement.
id: Numéro
Identifiant unique de l'alerte.
DELETE /alerts/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'équipement.
id: Numéro
Identifiant unique de l'alerte.
GET /alerts/{id}/networks

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/networks

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les réseaux assignés et non affectés à l'alerte.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/networks/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du réseau.
id: Numéro
Identifiant unique de l'alerte.
DELETE /alerts/{id}/networks/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du réseau.
id: Numéro
Identifiant unique de l'alerte.
GET /alerts/{id}/applications

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/applications

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les applications attribuées et non attribuées à l'alerte.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de l'alerte.
POST /alerts/{id}/applications/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'application.
id: Numéro
Identifiant unique de l'alerte.
DELETE /alerts/{id}/applications/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'application.
id: Numéro
Identifiant unique de l'alerte.

Priorité d'analyse

Le système ExtraHop analyse et classe le trafic pour chaque équipement découvert. Votre licence réserve la capacité au système ExtraHop de collecter des métriques pour les appareils de grande valeur. Cette capacité est associée à deux niveaux d'analyse : Analyse avancée et Analyse standard.

Vous pouvez spécifier quels appareils reçoivent les niveaux d'analyse avancée et d'analyse standard en configurant règles de priorité d'analyse. Les priorités d'analyse aident le système ExtraHop à savoir quels appareils sont importants dans votre environnement. Un troisième niveau d' analyse, le mode de découverte, est disponible pour les appareils qui ne sont pas en mode d' analyse avancée ou standard.

Remarque :Par défaut, chaque sonde gère ses propres priorités d'analyse. Si la sonde est connectée à une console, vous pouvez les gérer de manière centralisée paramètres système partagés depuis la console.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /analysispriority/config/ {sensor_id} Récupérez les règles de priorité d'analyse pour une analyse spécifique sonde.
PUT /analysispriority/config/ {sensor_id} Remplacer les règles de priorité d'analyse pour une analyse spécifique sonde.
GET /analysispriority/ {sensor_id} /manager Récupérez le système configuré pour gérer les règles de priorité d'analyse pour sonde.
PATCH /analysispriority/ {sensor_id} /manager Mettre à jour le système qui gère les règles de priorité d'analyse pour un domaine spécifique sonde.

Détails de l'opération

GET /analysispriority/{appliance_id}/manager

Spécifiez les paramètres suivants.

appliance_id: Numéro
Identifiant de la sonde locale. Cette valeur doit être définie sur 0.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "manager": {}
}
GET /analysispriority/config/{appliance_id}

Spécifiez les paramètres suivants.

appliance_id: Numéro
Identifiant d'une sonde. Définissez cette valeur sur 0 si vous faites appel à une sonde.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "advanced_rules": [],
    "autofill_advanced": true,
    "autofill_standard": true,
    "is_in_effect": true,
    "standard_rules": []
}
PUT /analysispriority/config/{appliance_id}

Spécifiez les paramètres suivants.

body: Objet
Propriétés des règles d'analyse des priorités.
autofill_advanced: Booléen
Indique s'il faut placer automatiquement les appareils dans Analyse avancée jusqu'à ce que leur capacité soit atteinte. Les appareils de la liste advanced_rules sont priorisés, suivis des appareils de la liste standard_rules, puis de l'heure de découverte de l'équipement. La capacité d'Analyse avancée est déterminée par la licence du système ExtraHop.
advanced_rules: Tableau d'objets
(Facultatif) Les règles de priorité de l'Analyse avancée pour un groupe de déquipements.
type: Corde
Type de groupe auquel les règles de priorité d'analyse s'appliquent.

Les valeurs suivantes sont valides :

  • device_group
object_id: Numéro
Identifiant unique du groupe.
description: Corde
(Facultatif) Description des règles de priorité d'analyse.
autofill_standard: Booléen
Indique s'il faut placer automatiquement les appareils dans l'analyse standard jusqu'à ce que leur capacité totale soit atteinte. Les appareils de la liste standard_rules sont priorisés, suivis de l'heure de découverte de l'équipement. La capacité totale est déterminée par la licence du système ExtraHop.
standard_rules: Tableau d'objets
(Facultatif) Les règles de priorité d'analyse standard pour un groupe déquipements.
type: Corde
Type de groupe auquel les règles de priorité d'analyse s'appliquent.

Les valeurs suivantes sont valides :

  • device_group
object_id: Numéro
Identifiant unique du groupe.
description: Corde
(Facultatif) Description des règles de priorité d'analyse.

Spécifiez le paramètre body au format JSON suivant.

{
    "advanced_rules": {
        "type": "string",
        "object_id": 0,
        "description": "string"
    },
    "autofill_advanced": true,
    "autofill_standard": true,
    "standard_rules": {
        "type": "string",
        "object_id": 0,
        "description": "string"
    }
}
appliance_id: Numéro
Identifiant d'une sonde. Définissez cette valeur sur 0 si vous faites appel à une sonde.
PATCH /analysispriority/{appliance_id}/manager

Spécifiez les paramètres suivants.

body: Objet
ID du capteur ou de la console qui gérera les règles de priorité d'analyse pour le capteur local. Définissez cette valeur sur 0 pour rétablir la gestion sur la sonde locale.
manager: Numéro
Identifiant unique de la sonde ou de la console de gestion.

Spécifiez le paramètre body au format JSON suivant.

{
    "manager": 0
}
appliance_id: Numéro
Identifiant de la sonde locale. Cette valeur doit être définie sur 0.

Appareil

Le système ExtraHop consiste en un réseau d'appareils connectés qui exécutent des tâches telles que la surveillance du trafic, l'analyse des données, le stockage des données et l'identification des détections.

Vous pouvez récupérer des informations sur les appareils ExtraHop connectés à l'appareil local et établir de nouvelles connexions avec des appareils ExtraHop distants.

Remarque :Vous ne pouvez établir une connexion qu'à une appliance ExtraHop distante dont la licence est identique à celle de l'appliance ExtraHop locale.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /appareils Récupérez tous les appareils ExtraHop distants connectés à l'appareil local.
OBTENEZ /appliances/ {id} Récupérez une appliance ExtraHop distante spécifique connectée à l'appliance locale.
GET /appareils/firmware/next Récupérez les versions du microprogramme vers lesquelles les systèmes ExtraHop distants peuvent être mis à niveau.
POST /appareils/firmware/mise à niveau Mettez à jour le microprogramme sur les systèmes ExtraHop distants connectés au système local. Les images du firmware sont téléchargées depuis ExtraHop Cloud Services.

Détails de l'opération

GET /appliances

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "add_time": 0,
    "advanced_analysis_capacity": 0,
    "analysis_levels_managed": true,
    "connection_type": "string",
    "data_access": true,
    "display_name": "string",
    "fingerprint": "string",
    "firmware_version": "string",
    "hostname": "string",
    "id": 0,
    "license_platform": "string",
    "license_status": "string",
    "licensed_features": {},
    "licensed_modules": [
        "string"
    ],
    "managed_by_local": true,
    "manages_local": true,
    "nickname": "string",
    "platform": "string",
    "status_message": "string",
    "sync_time": 0,
    "total_capacity": 0,
    "uuid": "string"
}
GET /appliances/{id}

Spécifiez les paramètres suivants.

id: Numéro
Spécifiez l'identifiant unique de l'appliance distante.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "add_time": 0,
    "advanced_analysis_capacity": 0,
    "analysis_levels_managed": true,
    "connection_type": "string",
    "data_access": true,
    "display_name": "string",
    "fingerprint": "string",
    "firmware_version": "string",
    "hostname": "string",
    "id": 0,
    "license_platform": "string",
    "license_status": "string",
    "licensed_features": {},
    "licensed_modules": [
        "string"
    ],
    "managed_by_local": true,
    "manages_local": true,
    "nickname": "string",
    "platform": "string",
    "status_message": "string",
    "sync_time": 0,
    "total_capacity": 0,
    "uuid": "string"
}
GET /appliances/{ids_id}/association

Spécifiez les paramètres suivants.

ids_id: Numéro
Spécifiez l'ID de la sonde IDS.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "associated_sensor_id": 0
}
POST /appliances/{ids_id}/association

Spécifiez les paramètres suivants.

ids_id: Numéro
Spécifiez l'ID de la sonde IDS.
body: Objet
Spécifiez l'ID de la sonde de réseau danalyse de paquets.
associated_sensor_id: Numéro
ID de la sonde réseau danalyse de paquets.

Spécifiez le paramètre body au format JSON suivant.

{
    "associated_sensor_id": 0
}
GET /appliances/firmware/next

Spécifiez les paramètres suivants.

ids: Corde
(Facultatif) Une liste CSV d'identifiants uniques pour les appareils distants. Si ce paramètre est spécifié, l'opération renvoie les versions du microprogramme vers lesquelles tous les dispositifs distants spécifiés peuvent être mis à niveau. Si ce paramètre n'est pas spécifié, l'opération renvoie les versions du microprogramme vers lesquelles n'importe quel appareil distant peut être mis à niveau.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "release": "string",
    "versions": []
}
POST /appliances/firmware/upgrade

Spécifiez les paramètres suivants.

body: Objet
Les options de mise à niveau du microprogramme.
version: Corde
Version du microprogramme vers laquelle mettre à niveau les appareils. Vous pouvez récupérer une liste des versions valides avec l'opération GET /api/v1/appliances/firmware/next.
system_ids: Tableau de nombres
Une liste d'identifiants uniques pour les appareils distants. Vous pouvez récupérer les identifiants des appareils à l'aide de l'opération GET /api/v1/appliances ; les identifiants des appareils sont renvoyés dans les champs d'identification de la réponse.

Spécifiez le paramètre body au format JSON suivant.

{
    "system_ids": [],
    "version": "string"
}

Demande

Les applications sont des groupes définis par l'utilisateur qui collectent des métriques identifiées par le biais de déclencheurs pour plusieurs types de trafic. L'application All Activity par défaut contient toutes les métriques collectées.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur la ressource de l'application :

Fonctionnement Descriptif
OBTENIR /applications Récupérez toutes les applications qui étaient actives au cours d'une période donnée.
POST/applications Créez une nouvelle application.
OBTENEZ /applications/ {id} Récupérez une application spécifique.
CORRECTIF /applications/ {id} Mettez à jour une application spécifique.
GET /applications/ {id} /activité Récupérez toutes les activités d'une application spécifique.
GET /applications/ {id} /alertes Tout récupérer alertes qui sont affectés à une application spécifique.
POST /applications/ {id} /alertes Attribuez et annulez l'attribution d'alertes à une application spécifique.
SUPPRIMER /applications/ {id} /alerts/ {child-id} Annuler l'attribution d'une alerte à une application spécifique.
POST /applications/ {id} /alerts/ {child id} Attribuez une alerte à une application spécifique.
GET /applications/ {id} /tableaux de bord Récupérez tous les tableaux de bord relatifs à une application spécifique.

Détails de l'opération

GET /applications/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'application.
include_criteria: Booléen
(Facultatif) Indique s'il faut inclure les critères associés à l'application dans la réponse.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "criteria": [],
    "description": "string",
    "discovery_id": "string",
    "display_name": "string",
    "extrahop_id": "string",
    "id": 0,
    "mod_time": 0,
    "node_id": 0,
    "user_mod_time": 0
}
POST /applications

Spécifiez les paramètres suivants.

body: Objet
Les propriétés de l'application.
node_id: Numéro
(Facultatif) L'identifiant unique de la sonde à laquelle cette application est associée. L'identifiant peut être récupéré via l'opération GET /appliances. Ce champ n'est valide que sur une console.
discovery_id: Corde
L'identifiant unique de l'application, qui est affiché sur la page de l'application dans le système ExtraHop.
display_name: Corde
Nom convivial de l'application.
description: Corde
(Facultatif) Description facultative de l'application.
criteria: Tableau d'objets
(Facultatif) Tableau de critères de protocole et de source associés à l'application. Le contenu de ce tableau est défini dans la section « critères » ci-dessous.
protocol_default: Corde
Protocoles par défaut surveillés par l'application. Les valeurs prises en charge sont « any » et « none ».
sources: Tableau d'objets
Tableau contenant une ou plusieurs sources métriques associées à l'application. L'application collecte uniquement les métriques provenant des sources spécifiées. Le contenu de ce tableau est défini dans la section « source » ci-dessous.
type: Corde
Type de source métrique associée à l'application. Les valeurs de type source prises en charge sont « device » et « device_group ».
id: Numéro
Identifiant unique de l'équipement ou du groupe d'équipements associé à l'application.
protocols: Objet
(Facultatif) Liste d'un ou de plusieurs mappages de protocoles et de rôles associés à l'application. L'application collecte uniquement des métriques à partir des protocoles spécifiés. Le format de chaque protocole est {'protocol' : 'role'}. Exemple : {'http' : 'serveur'}. Les valeurs de rôle prises en charge sont « client », « serveur », « any » ou « none ».

Spécifiez le paramètre body au format JSON suivant.

{
    "criteria": {
        "protocol_default": "string",
        "sources": {
            "type": "string",
            "id": 0
        },
        "protocols": {}
    },
    "description": "string",
    "discovery_id": "string",
    "display_name": "string",
    "node_id": 0
}
PATCH /applications/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour de propriétés spécifiées à l'application.
id: Numéro
Identifiant unique de l'application.
GET /applications

Spécifiez les paramètres suivants.

active_from: Numéro
(Facultatif) Renvoie uniquement les applications actives après la durée spécifiée. Les valeurs positives indiquent le temps en millisecondes écoulé depuis l'époque. Les valeurs négatives indiquent l'heure en millisecondes avant l'heure actuelle.
active_until: Numéro
(Facultatif) Renvoie uniquement les applications actives avant l'heure spécifiée. Les valeurs positives indiquent le temps en millisecondes écoulé depuis l'époque. Les valeurs négatives indiquent l'heure en millisecondes avant l'heure actuelle.
limit: Numéro
(Facultatif) Limitez le nombre de demandes renvoyées au nombre maximum spécifié.
offset: Numéro
(Facultatif) Ignorez les n premiers résultats de l'application. Ce paramètre est souvent associé au paramètre limite.
search_type: Corde
Type d'objet à rechercher.

Les valeurs suivantes sont valides :

  • any
  • name
  • node
  • discovery_id
  • extrahop-id
value: Corde
(Facultatif) Les critères de recherche. Ajoutez une barre oblique avant et après les critères pour appliquer la correspondance RegEx.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "criteria": [],
    "description": "string",
    "discovery_id": "string",
    "display_name": "string",
    "extrahop_id": "string",
    "id": 0,
    "mod_time": 0,
    "node_id": 0,
    "user_mod_time": 0
}
GET /applications/{id}/activity

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'application.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "application_id": 0,
    "from_time": 0,
    "id": 0,
    "mod_time": 0,
    "stat_name": "string",
    "until_time": 0
}
GET /applications/{id}/alerts

Spécifiez les paramètres suivants.

id: Numéro
Récupérez l'identifiant unique de l'application.
direct_assignments_only: Booléen
(Facultatif) Indique si les résultats sont limités aux alertes directement attribuées à l'application.
POST /applications/{id}/alerts

Spécifiez les paramètres suivants.

body: Objet
Attribuez ou annulez l'attribution de la liste spécifiée d'identifiants uniques pour les alertes.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Fournissez un identifiant unique pour l'application.
POST /applications/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
Identifiant unique de l'application.
DELETE /applications/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
Identifiant unique de l'application.
GET /applications/{id}/dashboards

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'application.

Journal d'audit

Le journal d'audit affiche un enregistrement de toutes les activités d'administration et de configuration du système enregistrées, telles que l'heure de l'activité, l'utilisateur qui a effectué l'activité, l'opération, les détails de l'opération et les composants du système.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
OBTENIR /auditlog Récupérez tous les messages du journal dÈRE d'audit.

Détails de l'opération

GET /auditlog

Spécifiez les paramètres suivants.

limit: Numéro
(Facultatif) Nombre maximal de messages de journal à renvoyer.
offset: Numéro
(Facultatif) Nombre de messages de journal à ignorer dans les résultats. Renvoie les messages du journal à partir de la valeur de décalage.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "body": {},
    "id": 0,
    "occur_time": 0,
    "time": 0
}

Bundle

Les ensembles sont des documents au format JSON qui contiennent des informations sur la configuration système sélectionnée, telles que les déclencheurs, tableaux de bord, des applications, ou alertes.

Vous pouvez créer un bundle, puis transférer ces configurations vers un autre système ExtraHop, ou enregistrer le bundle en tant que sauvegarde. Les packs peuvent également être téléchargés sur Offres groupées de solutions ExtraHop et appliquées via l'API REST. Pour plus d'informations, voir Bundles.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /bundles Récupérez les métadonnées de tous les bundles du système ExtraHop.
POST/bundles Téléchargez un nouveau bundle sur le système ExtraHop.
SUPPRIMER /bundles/ {id} Supprimez un bundle spécifique.
OBTENEZ /bundles/ {id} Récupérez une exportation de bundle spécifique.
POST /bundles/ {id} /appliquer Appliquez un bundle enregistré au système ExtraHop.

Détails de l'opération

GET /bundles

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "built_in": true,
    "created_time": 0,
    "description": "string",
    "id": 0,
    "mod_time": 0,
    "name": "string"
}
POST /bundles

Spécifiez les paramètres suivants.

body: Corde
Une exportation de bundle au format JSON.
name: Corde
Le nom convivial du bundle.
description: Corde
(Facultatif) Description facultative du bundle.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "name": "string"
}
GET /bundles/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du bundle.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "built_in": true,
    "created_time": 0,
    "description": "string",
    "id": 0,
    "mod_time": 0,
    "name": "string"
}
DELETE /bundles/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du bundle.
POST /bundles/{id}/apply

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du bundle.
body: Objet
Les options de configuration pour appliquer le bundle.
policy: Corde
Indique si les objets en conflit doivent être remplacés ou ignorés.

Les valeurs suivantes sont valides :

  • overwrite
  • skip
include_assignments: Booléen
Indique si les assignations d'objets doivent être restaurées avec le bundle.
node_ids: Tableau de nombres
Une liste d'identifiants uniques pour les capteurs sur lesquels appliquer le bundle. Ce champ n'est valide que sur une console.

Spécifiez le paramètre body au format JSON suivant.

{
    "include_assignments": true,
    "node_ids": [],
    "policy": "string"
}

Tableaux de bord

Les tableaux de bord sont des vues intégrées ou personnalisées des informations de vos métriques ExtraHop. Pour plus d' informations, voir Tableaux de bord.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Opération Description
GET/Tableaux de bord Récupérez tous les tableaux de bord.
SUPPRIMER /dashboards/ {id} Supprimez un tableau de bord spécifique.
GET /dashboards/ {id} Récupérez un tableau de bord spécifique.
PATCH /tableaux de bords/ {id} Mettez à jour la propriété d'un tableau de bord spécifique.
GET /dashboards/ {id} /rapports Récupérez les rapports de tableau de bord contenant un tableau de bord spécifique.
Remarque :Cette opération n'est disponible que depuis une console.
GET /dashboards/ {id} /partage Récupérez les utilisateurs et leurs autorisations de partage pour un tableau de bord spécifique.
PATCH /dashboards/ {id} /partage Mettez à jour les utilisateurs et leurs autorisations de partage pour un tableau de bord spécifique.
PUT /dashboards/ {id} /partage Remplacez les utilisateurs et leurs autorisations de partage pour un tableau de bord spécifique.

Détails de l'opération

GET /dashboards

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "author": "string",
    "comment": "string",
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "owner": "string",
    "rights": [
        "string"
    ],
    "short_code": "string",
    "type": "string"
}
GET /dashboards/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du tableau de bord.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "author": "string",
    "comment": "string",
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "owner": "string",
    "rights": [
        "string"
    ],
    "short_code": "string",
    "type": "string"
}
DELETE /dashboards/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du tableau de bord.
PATCH /dashboards/{id}

Spécifiez les paramètres suivants.

body: Objet
Le nom d'utilisateur du propriétaire du tableau de bord.
id: Numéro
Identifiant unique du tableau de bord.
GET /dashboards/{id}/sharing

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du tableau de bord.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "anyone": "string",
    "groups": {},
    "users": {}
}
PUT /dashboards/{id}/sharing

Spécifiez les paramètres suivants.

body: Objet
Les utilisateurs et leurs niveaux d'autorisation.
id: Numéro
Identifiant unique du tableau de bord.
PATCH /dashboards/{id}/sharing

Spécifiez les paramètres suivants.

body: Objet
Les utilisateurs et leurs niveaux d'autorisation.
id: Numéro
Identifiant unique du tableau de bord.
GET /dashboards/{id}/reports

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du tableau de bord.

Détections

La classe Detections vous permet de récupérer les détections qui ont été identifiées par le système ExtraHop.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Opération Description
GET /détections Récupérez toutes les détections.
GET /détections/formats Récupérez tous les types de détection.
POST /détections/formats Créez un nouveau type de détection personnalisé.
SUPPRIMER /détections/formats/ {id} Supprimez un type de détection personnalisé spécifique.
PATCH /détections/formats/ {id} Mettez à jour un type de détection personnalisé spécifique.
GET /détections/règles/masquage Récupérez toutes les règles de réglage.
POST /détections/règles/masquage Créez une règle de réglage.
SUPPRIMER /détections/règles/masquer/ {id} Supprimez une règle de réglage.
PATCH /détections/règles/masquage/ {id} Mettez à jour une règle de réglage.
POST /détections/recherche Récupérez les détections qui correspondent aux critères de recherche spécifiés.
PATCH /détections/tickets Mettez à jour un ticket associé aux détections.
GET /détections/ {id} Récupérez une détection spécifique.
PATCH /détections/ {id} Mettez à jour une détection.
SUPPRIMER /détections/ {id} /notes Supprimez les notes relatives à une détection donnée.
GET /détections/ {id} /notes Récupérez les notes relatives à une détection donnée.
PUT /détections/ {id} /notes Créez ou remplacez des notes pour une détection donnée.
GET /detections/ {id} /related Récupérez toutes les détections liées à une détection spécifique.

Détails de l'opération

GET /detections/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour la détection.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "appliance_id": 0,
    "assignee": "string",
    "categories": [
        "string"
    ],
    "description": "string",
    "end_time": 0,
    "id": 0,
    "is_user_created": true,
    "mitre_tactics": [],
    "mitre_techniques": [],
    "mod_time": 0,
    "participants": [],
    "properties": {},
    "recommended": true,
    "recommended_factors": [],
    "resolution": "string",
    "risk_score": 0,
    "start_time": 0,
    "status": "string",
    "ticket_id": "string",
    "ticket_url": "string",
    "title": "string",
    "type": "string",
    "update_time": 0
}
GET /detections

Spécifiez les paramètres suivants.

limit: Numéro
(Facultatif) Limitez le nombre de détections renvoyées au nombre maximum spécifié. Une sélection aléatoire de détections est renvoyée.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "appliance_id": 0,
    "assignee": "string",
    "categories": [
        "string"
    ],
    "description": "string",
    "end_time": 0,
    "id": 0,
    "is_user_created": true,
    "mitre_tactics": [],
    "mitre_techniques": [],
    "mod_time": 0,
    "participants": [],
    "properties": {},
    "recommended": true,
    "recommended_factors": [],
    "resolution": "string",
    "risk_score": 0,
    "start_time": 0,
    "status": "string",
    "ticket_id": "string",
    "ticket_url": "string",
    "title": "string",
    "type": "string",
    "update_time": 0
}
POST /detections/search

Spécifiez les paramètres suivants.

body: Objet
Les paramètres de recherche par détection.
filter: Objet
Filtres spécifiques à la détection.
category: Corde
Obsolète. Remplacé par le champ des catégories.
categories: Tableau de chaînes
Renvoie les détections issues des catégories spécifiées.
assignee: Tableau de chaînes
Renvoie les détections attribuées à l'utilisateur spécifié. Spécifiez « .none » pour rechercher les détections non attribuées ou spécifiez « .me » pour rechercher les détections attribuées à l'utilisateur authentifié.
ticket_id: Tableau de chaînes
Renvoie les détections associées aux tickets spécifiés. Spécifiez « .none » pour rechercher les détections qui ne sont pas associées aux tickets.
status: Tableau de chaînes
Renvoie les détections pour les tickets ayant le statut spécifié. Spécifiez « .none » pour rechercher les détections sans statut de ticket.

Les valeurs suivantes sont valides :

  • new
  • in_progress
  • closed
  • acknowledged
resolution: Tableau de chaînes
Renvoie les détections pour les tickets avec la résolution spécifiée. Spécifiez « .none » pour rechercher les détections sans résolution.

Les valeurs suivantes sont valides :

  • action_taken
  • no_action_taken
types: Tableau de chaînes
Renvoie les détections avec les types spécifiés.
risk_score_min: Numéro
Renvoie les détections dont les scores de risque sont supérieurs ou égaux à la valeur spécifiée.
recommended: Booléen
Renvoie les détections recommandées pour le triage. Ce champ n'est valide que sur une console.
from: Numéro
Renvoie les détections survenues après la date spécifiée, exprimées en millisecondes depuis l'époque. Les détections qui ont débuté avant la date spécifiée sont renvoyées si la détection était en cours à ce moment-là.
limit: Numéro
Ne renvoie pas plus que le nombre de détections spécifié.
offset: Numéro
Le nombre de détections à ignorer pour la pagination.
sort: Tableau d'objets
Trie les détections renvoyées en fonction des champs spécifiés. Par défaut, les détections sont triées par date de dernière mise à jour, puis par ID par ordre croissant.
direction: Corde
Ordre dans lequel les détections renvoyées sont triées.

Les valeurs suivantes sont valides :

  • asc
  • desc
field: Corde
Le champ par lequel trier les détections.
until: Numéro
Renvoie les détections qui ont pris fin avant la date spécifiée, exprimées en millisecondes depuis l'époque.
update_time: Numéro
Renvoie les détections liées à des événements survenus après la date spécifiée, exprimées en millisecondes depuis l'époque. Notez que les services d'apprentissage automatique ExtraHop analysent les données historiques pour générer des détections. Il existe donc un délai entre le moment où les événements à l'origine de ces détections se produisent et le moment où les détections sont générées. Si vous recherchez plusieurs fois des détections dans la même fenêtre update_time, la recherche ultérieure peut renvoyer des détections qui n'ont pas été renvoyées par la recherche précédente.
mod_time: Numéro
Renvoie les détections mises à jour après la date spécifiée, exprimées en millisecondes depuis l'époque.
id_only: Booléen
(Facultatif) Renvoie uniquement les identifiants des détections.

Spécifiez le paramètre body au format JSON suivant.

{
    "filter": {
        "category": "string",
        "categories": [],
        "assignee": [],
        "ticket_id": [],
        "status": [],
        "resolution": [],
        "types": [],
        "risk_score_min": 0,
        "recommended": true
    },
    "from": 0,
    "id_only": true,
    "limit": 0,
    "mod_time": 0,
    "offset": 0,
    "sort": {
        "direction": "string",
        "field": "string"
    },
    "until": 0,
    "update_time": 0
}
PATCH /detections/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour la détection.
body: Objet
Les paramètres de détection à mettre à jour.
ticket_id: Corde
ID du ticket associé à la détection.
assignee: Corde
Le destinataire de la détection ou le ticket associé à la détection.
status: Corde
État de la détection ou du ticket associé à la détection.

Les valeurs suivantes sont valides :

  • new
  • in_progress
  • closed
  • acknowledged
resolution: Corde
Résolution de la détection ou du ticket associé à la détection.

Les valeurs suivantes sont valides :

  • action_taken
  • no_action_taken
participants: Tableau d'objets
Liste des appareils et applications associés à la détection. Vous pouvez modifier des champs spécifiques pour un participant, mais vous ne pouvez pas ajouter de nouveaux participants à une détection.
id: Numéro
L'identifiant du participant associé à la détection.
usernames: Tableau de chaînes
Les noms d'utilisateur associés au participant via l'API REST.
origins: Tableau de chaînes
Les adresses IP d'origine associées au participant via l'API REST.

Spécifiez le paramètre body au format JSON suivant.

{
    "assignee": "string",
    "participants": {
        "id": 0,
        "usernames": [],
        "origins": []
    },
    "resolution": "string",
    "status": "string",
    "ticket_id": "string"
}
PATCH /detections/tickets

Spécifiez les paramètres suivants.

body: Objet
Les valeurs des tickets de détection à mettre à jour.
ticket_id: Corde
ID du ticket associé à la détection.
assignee: Corde
Destinataire du ticket associé à la détection.
status: Corde
État du ticket associé à la détection.

Les valeurs suivantes sont valides :

  • new
  • in_progress
  • closed
  • acknowledged
resolution: Corde
Résolution du ticket associé à la détection.

Les valeurs suivantes sont valides :

  • action_taken
  • no_action_taken

Spécifiez le paramètre body au format JSON suivant.

{
    "assignee": "string",
    "resolution": "string",
    "status": "string",
    "ticket_id": "string"
}
GET /detections/{id}/related

Spécifiez les paramètres suivants.

id: Numéro
ID de la détection pour laquelle il faut récupérer les détections associées.
from: Numéro
Renvoie les détections survenues après la date spécifiée, exprimées en millisecondes depuis l'époque. Les détections qui ont débuté avant la date spécifiée sont renvoyées si la détection était en cours à ce moment-là.
until: Numéro
Renvoie les détections qui ont pris fin avant la date spécifiée, exprimées en millisecondes depuis l'époque.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "appliance_id": 0,
    "assignee": "string",
    "categories": [
        "string"
    ],
    "description": "string",
    "end_time": 0,
    "id": 0,
    "is_user_created": true,
    "mitre_tactics": [],
    "mitre_techniques": [],
    "mod_time": 0,
    "participants": [],
    "properties": {},
    "recommended": true,
    "recommended_factors": [],
    "resolution": "string",
    "risk_score": 0,
    "start_time": 0,
    "status": "string",
    "ticket_id": "string",
    "ticket_url": "string",
    "title": "string",
    "type": "string",
    "update_time": 0
}
GET /detections/formats

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "author": "string",
    "categories": [],
    "display_name": "string",
    "is_user_created": true,
    "mitre_categories": [],
    "properties": {},
    "type": "string"
}
POST /detections/formats

Spécifiez les paramètres suivants.

body: Objet
Les paramètres du format de détection.
type: Corde
Identifiant de chaîne pour le type de détection. La chaîne ne peut contenir que des lettres, des chiffres et des traits de soulignement. Bien que les types de détection soient uniques selon les formats intégrés et que les types de détection soient uniques selon les formats personnalisés, un format intégré et personnalisé peut partager le même type de détection.
display_name: Corde
Le nom d'affichage du type de détection qui apparaît sur la page Détections du système ExtraHop.
mitre_categories: Tableau de chaînes
(Facultatif) Les identifiants des techniques MITRE associées à la détection.
author: Corde
(Facultatif) Auteur du format de détection.
categories: Tableau de chaînes
(Facultatif) La liste des catégories auxquelles appartient la détection. Pour les opérations POST et PATCH, spécifiez une liste contenant une seule chaîne. Vous ne pouvez pas spécifier plus d'une catégorie pour les formats de détection personnalisés. La catégorie « perf » ou « sec » est automatiquement ajoutée à tous les formats de détection.

Spécifiez le paramètre body au format JSON suivant.

{
    "author": "string",
    "categories": [],
    "display_name": "string",
    "mitre_categories": [],
    "type": "string"
}
DELETE /detections/formats/{id}

Spécifiez les paramètres suivants.

id: Corde
Identifiant de chaîne du format de détection.
PATCH /detections/formats/{id}

Spécifiez les paramètres suivants.

id: Corde
Identifiant de chaîne du format de détection.
body: Objet
Les paramètres du format de détection.
GET /detections/rules/hiding

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "author": "string",
    "create_time": 0,
    "description": "string",
    "detection_type": "string",
    "detections_hidden": 0,
    "enabled": true,
    "expiration": 0,
    "hide_past_detections": true,
    "id": 0,
    "offender": {},
    "participants_hidden": 0,
    "properties": [],
    "victim": {}
}
POST /detections/rules/hiding

Spécifiez les paramètres suivants.

body: Objet
Les paramètres de la règle de réglage.
offender: Objet
Le délinquant auquel s'applique cette règle de réglage. Spécifiez un objet detection_hiding_participant pour appliquer la règle à une victime spécifique, ou spécifiez « Any » pour appliquer la règle à n'importe quel délinquant.
object_type: Corde
Le type de participant.

Les valeurs suivantes sont valides :

  • device
  • device_group
  • ipaddr
  • locality_type
  • network_locality
  • scanner_service
object_id: Numéro
ID de l'équipement, du groupe d'équipements ou de la localité du réseau. Cette option n'est valide que si le type_objet est « équipement », « device_group » ou « network_locality ».
object_value: Tableau ou chaîne
L'adresse IP ou le bloc CIDR du participant. Vous pouvez spécifier une adresse ou un bloc unique dans une chaîne ou plusieurs adresses ou blocs dans un tableau. Cette option n'est valide que si le type_objet est « ipaddr ».
object_locality: Corde
Type de localité du réseau du participant. Spécifiez « externe » ou « interne ». Cette option n'est valide que si le type_objet est « locality_type ».

Les valeurs suivantes sont valides :

  • internal
  • external
object_scanner: Tableau ou chaîne
Nom d'un service de numérisation externe. Vous pouvez spécifier un seul service dans une chaîne ou plusieurs valeurs dans un tableau. Vous pouvez également spécifier « N'importe quel » pour sélectionner n'importe quel service de numérisation. Cette option n'est valide que si le type_objet est « scanner_service ».
victim: Objet
La victime à laquelle cette règle de réglage s'applique. Spécifiez un objet detection_hiding_participant pour appliquer la règle à une victime spécifique, ou spécifiez « Any » pour appliquer la règle à n'importe quelle victime.
object_type: Corde
Le type de participant.

Les valeurs suivantes sont valides :

  • device
  • device_group
  • ipaddr
  • locality_type
  • network_locality
  • scanner_service
object_id: Numéro
ID de l'équipement, du groupe d'équipements ou de la localité du réseau. Cette option n'est valide que si le type_objet est « équipement », « device_group » ou « network_locality ».
object_value: Tableau ou chaîne
L'adresse IP ou le bloc CIDR du participant. Vous pouvez spécifier une adresse ou un bloc unique dans une chaîne ou plusieurs adresses ou blocs dans un tableau. Cette option n'est valide que si le type_objet est « ipaddr ».
object_locality: Corde
Type de localité du réseau du participant. Spécifiez « externe » ou « interne ». Cette option n'est valide que si le type_objet est « locality_type ».

Les valeurs suivantes sont valides :

  • internal
  • external
object_scanner: Tableau ou chaîne
Nom d'un service de numérisation externe. Vous pouvez spécifier un seul service dans une chaîne ou plusieurs valeurs dans un tableau. Vous pouvez également spécifier « N'importe quel » pour sélectionner n'importe quel service de numérisation. Cette option n'est valide que si le type_objet est « scanner_service ».
expiration: Numéro
Durée d'expiration de la règle de réglage, exprimée en millisecondes depuis l'époque. Une valeur nulle ou 0 indique que la règle n'expire pas.
description: Corde
(Facultatif) Description de la règle de réglage.
detection_type: Corde
Type de détection auquel s'applique cette règle de réglage. Affichez la liste des champs valides pour « type » en exécutant l'opération GET /detections/formats. Spécifiez « all_performance » ou « all_security » pour appliquer la règle à toutes les performances ou à toutes les détections de sécurité.
properties: Tableau d'objets
(Facultatif) Les critères de filtre pour les propriétés de détection.
property: Corde
Nom de la propriété à filtrer.
operator: Corde
Méthode de comparaison appliquée lors de la mise en correspondance de la valeur de l'opérande avec la valeur de la propriété de détection.

Les valeurs suivantes sont valides :

  • =
  • !=
  • ~
  • !~
  • in
operand: Chaîne, nombre ou objet
La valeur que le filtre tente de faire correspondre. Le filtre compare la valeur de l'opérande à la valeur de la propriété de détection et applique la méthode de comparaison spécifiée par le paramètre de l'opérateur. Vous pouvez spécifier l'opérande sous la forme d'une chaîne, d'un entier ou d'un objet. Pour plus d'informations, consultez le Guide de l'API REST.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "detection_type": "string",
    "expiration": 0,
    "offender": {
        "object_type": "string",
        "object_id": 0,
        "object_value": "array",
        "object_locality": "string",
        "object_scanner": "array"
    },
    "properties": {
        "property": "string",
        "operator": "string",
        "operand": "string"
    },
    "victim": {
        "object_type": "string",
        "object_id": 0,
        "object_value": "array",
        "object_locality": "string",
        "object_scanner": "array"
    }
}
PATCH /detections/rules/hiding/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la règle de réglage.
body: Objet
Les champs de règles de réglage à mettre à jour.
enabled: Booléen
Indique si la règle de réglage est activée.
expiration: Numéro
Durée d'expiration de la règle de réglage, exprimée en millisecondes depuis l'époque. Une valeur nulle ou 0 indique que la règle n'expire pas.
description: Corde
Description de la règle de réglage.
offender: Objet
Le délinquant auquel s'applique cette règle de réglage. Spécifiez un objet detection_hiding_participant pour appliquer la règle à une victime spécifique, ou spécifiez « Any » pour appliquer la règle à n'importe quel délinquant.
object_type: Corde
Le type de participant.

Les valeurs suivantes sont valides :

  • device
  • device_group
  • ipaddr
  • locality_type
  • network_locality
  • scanner_service
object_id: Numéro
ID de l'équipement, du groupe d'équipements ou de la localité du réseau. Cette option n'est valide que si le type_objet est « équipement », « device_group » ou « network_locality ».
object_value: Tableau ou chaîne
L'adresse IP ou le bloc CIDR du participant. Vous pouvez spécifier une adresse ou un bloc unique dans une chaîne ou plusieurs adresses ou blocs dans un tableau. Cette option n'est valide que si le type_objet est « ipaddr ».
object_locality: Corde
Type de localité du réseau du participant. Spécifiez « externe » ou « interne ». Cette option n'est valide que si le type_objet est « locality_type ».

Les valeurs suivantes sont valides :

  • internal
  • external
object_scanner: Tableau ou chaîne
Nom d'un service de numérisation externe. Vous pouvez spécifier un seul service dans une chaîne ou plusieurs valeurs dans un tableau. Vous pouvez également spécifier « N'importe quel » pour sélectionner n'importe quel service de numérisation. Cette option n'est valide que si le type_objet est « scanner_service ».
victim: Objet
La victime à laquelle cette règle de réglage s'applique. Spécifiez un objet detection_hiding_participant pour appliquer la règle à une victime spécifique, ou spécifiez « Any » pour appliquer la règle à n'importe quelle victime.
object_type: Corde
Le type de participant.

Les valeurs suivantes sont valides :

  • device
  • device_group
  • ipaddr
  • locality_type
  • network_locality
  • scanner_service
object_id: Numéro
ID de l'équipement, du groupe d'équipements ou de la localité du réseau. Cette option n'est valide que si le type_objet est « équipement », « device_group » ou « network_locality ».
object_value: Tableau ou chaîne
L'adresse IP ou le bloc CIDR du participant. Vous pouvez spécifier une adresse ou un bloc unique dans une chaîne ou plusieurs adresses ou blocs dans un tableau. Cette option n'est valide que si le type_objet est « ipaddr ».
object_locality: Corde
Type de localité du réseau du participant. Spécifiez « externe » ou « interne ». Cette option n'est valide que si le type_objet est « locality_type ».

Les valeurs suivantes sont valides :

  • internal
  • external
object_scanner: Tableau ou chaîne
Nom d'un service de numérisation externe. Vous pouvez spécifier un seul service dans une chaîne ou plusieurs valeurs dans un tableau. Vous pouvez également spécifier « N'importe quel » pour sélectionner n'importe quel service de numérisation. Cette option n'est valide que si le type_objet est « scanner_service ».
properties: Tableau d'objets
Les critères de filtrage pour les propriétés de détection.
property: Corde
Nom de la propriété à filtrer.
operator: Corde
Méthode de comparaison appliquée lors de la mise en correspondance de la valeur de l'opérande avec la valeur de la propriété de détection.

Les valeurs suivantes sont valides :

  • =
  • !=
  • ~
  • !~
  • in
operand: Chaîne, nombre ou objet
La valeur que le filtre tente de faire correspondre. Le filtre compare la valeur de l'opérande à la valeur de la propriété de détection et applique la méthode de comparaison spécifiée par le paramètre de l'opérateur. Vous pouvez spécifier l'opérande sous la forme d'une chaîne, d'un entier ou d'un objet. Pour plus d'informations, consultez le Guide de l'API REST.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "enabled": true,
    "expiration": 0,
    "offender": {
        "object_type": "string",
        "object_id": 0,
        "object_value": "array",
        "object_locality": "string",
        "object_scanner": "array"
    },
    "properties": {
        "property": "string",
        "operator": "string",
        "operand": "string"
    },
    "victim": {
        "object_type": "string",
        "object_id": 0,
        "object_value": "array",
        "object_locality": "string",
        "object_scanner": "array"
    }
}
DELETE /detections/rules/hiding/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la règle de réglage.
GET /detections/{id}/notes

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour la détection.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "author": "string",
    "note": "string",
    "update_time": 0
}
DELETE /detections/{id}/notes

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour la détection.
PUT /detections/{id}/notes

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour la détection.
body: Objet
Les paramètres de la note de détection.

Groupe d'appareils

Groupes d'appareils peut être statique ou dynamique.

Un groupe de dispositifs statique est défini par l'utilisateur ; vous créez un groupe de dispositifs, puis vous identifiez et attribuez manuellement chaque équipement à ce groupe. Un groupe dequipment dynamique est défini et géré automatiquement par un ensemble de règles configurées.

Par exemple, vous pouvez créer un groupe d'équipements, puis définir une règle pour classer tous les appareils appartenant à une certaine plage d'adresses IP à ajouter automatiquement à ce groupe. Pour plus d'informations, voir Groupes d'appareils.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /devicegroups Récupérez tous les groupes d'équipements actifs au cours d'une période donnée.
POST/groupes d'appareils Créez un nouveau groupe d'équipements.
SUPPRIMER /devicegroups/ {id} Supprimez un groupe déquipements.
OBTENEZ /devicegroups/ {id} Récupérez un groupe déquipements spécifique.
PATCH /devicegroups/ {id} Mettez à jour un groupe d'équipements spécifique.
GET /devicegroups/ {id} /alertes Tout récupérer alertes qui sont affectés à un groupe d'équipements spécifique.
POST /devicegroups/ {id} /alertes Attribuez et annulez l'attribution d'un groupe déquipements spécifique aux alertes.
SUPPRIMER /devicegroups/ {id} /alerts/ {child-id} Annuler l'attribution d'une alerte à un groupe déquipements spécifique.
POST /devicegroups/ {id} /alerts/ {child id} Attribuez une alerte à un groupe déquipements spécifique.
GET /devicegroups/ {id} /tableaux de bord Récupérez tous les tableaux de bord associés à un groupe déquipements spécifique.
GET /devicegroups/ {id} /appareils Récupérez tous les appareils du groupe déquipements actifs au cours d'une période donnée.
Remarque :Un équipement est considéré comme inactif après cinq minutes sans envoi ni réception de paquets. Toutefois, si un équipement recommence à envoyer ou à recevoir des paquets après une période d' inactivité inférieure à cinq jours, l'équipement est considéré comme actif en permanence, y compris pendant la période d'inactivité.
POST /devicegroups/ {id} /appareils Attribuez et annulez l'attribution d'appareils à un groupe de dispositifs statique spécifique.
SUPPRIMER /devicegroups/ {id} /devices/ {child-id} Annulation de l'attribution d'un équipement à un groupe de dispositifs statique spécifique.
POST /devicegroups/ {id} /appareils/ {child id} Assignez un équipement à un groupe de dispositifs statique spécifique.
GET /devicegroups/ {id} /déclencheurs Récupérez tous les déclencheurs assignés à un groupe déquipements spécifique.
POST /devicegroups/ {id} /déclencheurs Attribuez et annulez l'attribution d'un groupe déquipements spécifique aux déclencheurs.
SUPPRIMER /devicegroups/ {id} /triggers/ {child-id} Annulez l'attribution d'un déclencheur à un groupe déquipements spécifique.
POST /devicegroups/ {id} /triggers/ {child id} Assignez un déclencheur à un groupe déquipements spécifique.

Détails de l'opération

GET /devicegroups

Spécifiez les paramètres suivants.

since: Numéro
(Facultatif) Renvoie uniquement les groupes d'équipements modifiés après cette période, exprimés en millisecondes depuis l'époque.
all: Booléen
(Facultatif) Obsolète. Remplacé par le paramètre type.
name: Corde
(Facultatif) La valeur de recherche Regex pour filtrer les groupes d'équipements par nom.
type: Corde
(Facultatif) Renvoie uniquement les groupes d'équipements du type spécifié.

Les valeurs suivantes sont valides :

  • user_created
  • built_in
  • all

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "built_in": true,
    "description": "string",
    "dynamic": true,
    "editors": [],
    "field": "string",
    "filter": {},
    "id": 0,
    "include_custom_devices": true,
    "mod_time": 0,
    "name": "string",
    "value": "string"
}
GET /devicegroups/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du groupe déquipements.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "built_in": true,
    "description": "string",
    "dynamic": true,
    "editors": [],
    "field": "string",
    "filter": {},
    "id": 0,
    "include_custom_devices": true,
    "mod_time": 0,
    "name": "string",
    "value": "string"
}
POST /devicegroups

Spécifiez les paramètres suivants.

body: Objet
Appliquez les valeurs de propriétés spécifiées au nouveau groupe déquipements.
description: Corde
Description facultative du groupe déquipements.
name: Corde
Nom convivial du groupe déquipements.
include_custom_devices: Booléen
(Facultatif) Obsolète. Remplacé par le paramètre de filtre.
dynamic: Booléen
(Facultatif) Indique si le groupe déquipements est dynamique.
field: Corde
Obsolète. Remplacé par le paramètre de filtre.

Les valeurs suivantes sont valides :

  • any
  • name
  • ip address
  • mac address
  • vendor
  • type
  • tag
  • vlan
  • activity
  • node
  • discover time
value: Objet
(Facultatif) Obsolète. Remplacé par le paramètre de filtre.
filter: Objet
(Facultatif) Spécifiez les critères de filtre pour les résultats de recherche.
field: Corde
Nom du champ sur lequel filtrer les résultats. La recherche compare le contenu du paramètre de champ à la valeur du paramètre d'opérande.

Les valeurs suivantes sont valides :

  • name
  • ipaddr
  • macaddr
  • vendor
  • tag
  • activity
  • node
  • vlan
  • discover_time
  • role
  • dns_name
  • dhcp_name
  • netbios_name
  • cdp_name
  • custom_name
  • software
  • model
  • is_critical
  • instance_id
  • instance_name
  • instance_type
  • cloud_account
  • vpc_id
  • subnet_id
  • is_active
  • network_locality_type
  • network_locality_id
  • id
operator: Corde
Méthode de comparaison appliquée lors de la mise en correspondance de la valeur de l'opérande avec le contenu du champ. Tous les objets filtrants nécessitent un opérateur.

Les valeurs suivantes sont valides :

  • >
  • <
  • <=
  • >=
  • =
  • !=
  • startswith
  • and
  • or
  • not
  • exists
  • not_exists
  • ~
  • !~
operand: Chaîne, nombre ou objet
Valeur à laquelle la requête tente de faire correspondre. La requête compare la valeur de l'opérande au contenu du paramètre de champ et applique la méthode de comparaison spécifiée par le paramètre d'opérateur. Vous pouvez spécifier l'opérande sous la forme d'une chaîne, d'un entier ou d'un objet. Pour plus d'informations sur les valeurs des objets, consultez le Guide de l'API REST.
rules: Tableau d'objets
Tableau d'un ou de plusieurs objets de filtre, qui peuvent être incorporés de manière récursive. Seuls les opérateurs « et », « ou » et « non » sont autorisés pour ce paramètre.
editors: Tableau de chaînes
(Facultatif) Liste des utilisateurs autorisés à modifier le groupe déquipements.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "dynamic": true,
    "editors": [],
    "field": "string",
    "filter": {
        "field": "string",
        "operator": "string",
        "operand": "string",
        "rules": []
    },
    "include_custom_devices": true,
    "name": "string",
    "value": "string"
}
DELETE /devicegroups/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du groupe déquipements.
PATCH /devicegroups/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées à un groupe déquipements spécifique.
description: Corde
Description facultative du groupe déquipements.
name: Corde
Nom convivial du groupe déquipements.
include_custom_devices: Booléen
(Facultatif) Obsolète. Remplacé par le paramètre de filtre.
field: Corde
Obsolète. Remplacé par le paramètre de filtre.

Les valeurs suivantes sont valides :

  • any
  • name
  • ip address
  • mac address
  • vendor
  • type
  • tag
  • vlan
  • activity
  • node
  • discover time
value: Objet
(Facultatif) Obsolète. Remplacé par le paramètre de filtre.
filter: Objet
(Facultatif) Spécifiez les critères de filtre pour les résultats de recherche.
editors: Tableau de chaînes
(Facultatif) Liste des utilisateurs autorisés à modifier le groupe déquipements.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "editors": [],
    "field": "string",
    "filter": {},
    "include_custom_devices": true,
    "name": "string",
    "value": "string"
}
id: Numéro
Identifiant unique du groupe déquipements.
GET /devicegroups/{id}/alerts

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du groupe déquipements.
direct_assignments_only: Booléen
(Facultatif) Limitez les résultats aux seules alertes directement attribuées au groupe dequipment.
POST /devicegroups/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
Identifiant unique du groupe déquipements.
DELETE /devicegroups/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
Identifiant unique du groupe déquipements.
POST /devicegroups/{id}/alerts

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les alertes assignés et non assignés au groupe déquipements.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique du groupe déquipements.
GET /devicegroups/{id}/triggers

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du groupe déquipements.
direct_assignments_only: Booléen
(Facultatif) Limitez les résultats aux seuls déclencheurs directement affectés au groupe dequipment.
POST /devicegroups/{id}/triggers/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du déclencheur.
id: Numéro
Identifiant unique du groupe déquipements.
DELETE /devicegroups/{id}/triggers/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du déclencheur.
id: Numéro
Identifiant unique du groupe déquipements.
POST /devicegroups/{id}/triggers

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les déclencheurs assignés ou non au groupe déquipements.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique du groupe déquipements.
POST /devicegroups/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique d'un équipement.
id: Numéro
Identifiant unique du groupe déquipements.
DELETE /devicegroups/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique d'un équipement.
id: Numéro
Identifiant unique du groupe déquipements.
POST /devicegroups/{id}/devices

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les appareils assignés et non assignés au groupe d'équipements.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique du groupe déquipements.
GET /devicegroups/{id}/devices

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du groupe déquipements.
active_from: Numéro
(Facultatif) L'horodateur de début de la demande. Renvoie uniquement les appareils actifs après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
active_until: Numéro
(Facultatif) L'horodateur de fin de la demande. Renvoie uniquement l'équipement actif avant cette heure. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre active_from.
limit: Numéro
(Facultatif) Limitez le nombre d'appareils renvoyés.
offset: Numéro
(Facultatif) Ignorez les premiers résultats de l'équipement. Ce paramètre est souvent associé au paramètre limite.
GET /devicegroups/{id}/dashboards

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du groupe déquipements.

Appareil

Les appareils sont des objets de votre réseau qui ont été identifiés et classés par votre système ExtraHop. Pour plus d'informations, voir Appareils.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /appareils Récupérez tous les appareils actifs au cours d'une période donnée. Pour plus d' informations, voir Extrayez la liste des équipements via l'API REST.
Remarque :Un équipement est considéré comme inactif après cinq minutes sans envoi ni réception de paquets. Toutefois, si un équipement recommence à envoyer ou à recevoir des paquets après une période d' inactivité inférieure à cinq jours, l'équipement est considéré comme actif en permanence, y compris pendant la période d'inactivité.
POST /appareils/recherche Récupérez tous les appareils qui répondent à des critères spécifiques. Pour plus d'informations, voir Rechercher un équipement via l'API REST.
Remarque :Un équipement est considéré comme inactif après cinq minutes sans envoi ni réception de paquets. Toutefois, si un équipement recommence à envoyer ou à recevoir des paquets après une période d' inactivité inférieure à cinq jours, l'équipement est considéré comme actif en permanence, y compris pendant la période d'inactivité.
OBTENIR /appareils/ {id} Récupérez un équipement spécifique.
PATCH /appareils/ {id} Mettez à jour un équipement spécifique.
GET /devices/ {id} /activité Récupérez toutes les activités d'un équipement.
GET /devices/ {id} /alertes Tout récupérer alertes qui sont assignés à un équipement spécifique.
POST /devices/ {id} /alertes Attribuez et annulez l'attribution d'un équipement spécifique aux alertes.
SUPPRIMER /devices/ {id} /alerts/ {child-id} Annuler l'attribution d'une alerte à un équipement spécifique.
POST /appareils/ {id} /alerts/ {child id} Attribuez une alerte à un équipement spécifique.
GET /devices/ {id} /tableaux de bord Récupérez tous les tableaux de bord relatifs à un équipement spécifique.
GET /appareils/ {id} /groupes de périphériques Tout récupérer groupes d'équipements qui sont assignés à un équipement spécifique.
POST /appareils/ {id} /devicegroups Attribuez et annulez l'attribution d'un équipement spécifique à des groupes d'équipements.
SUPPRIMER /devices/ {id} /devicegroups/ {child-id} Annuler l'attribution d'un groupe déquipements à un équipement spécifique.
POST /appareils/ {id} /devicegroups/ {child id} Assignez un groupe déquipements à un équipement spécifique.
GET /devices/ {id} /dnsnames Récupérez tous les noms DNS associés à un équipement spécifique.
GET /appareils/ {id} /ipaddrs Récupérez toutes les adresses IP associées à un équipement spécifique au cours d'une période donnée.
GET /devices/ {id} /software Récupérez la liste des logiciels exécutés sur l'équipement spécifié.
GET /devices/ {id} /tags Récupérez toutes les balises attribuées à un équipement spécifique.
POST /appareils/ {id} /tags Attribuez et annulez l'attribution d'un équipement spécifique aux tags.
SUPPRIMER /devices/ {id} /tags/ {child-id} Annuler l'attribution d'un tag à un équipement spécifique.
POST /appareils/ {id} /tags/ {child id} Attribuez une étiquette à un équipement spécifique.
GET /appareils/ {id} /déclencheurs Récupérez tous les déclencheurs assignés à un équipement spécifique.
POST /appareils/ {id} /déclencheurs Attribuez et annulez l'attribution d'un équipement spécifique aux déclencheurs.
SUPPRIMER /devices/ {id} /triggers/ {child-id} Annuler l'attribution d'un déclencheur à un équipement spécifique.
POST /appareils/ {id} /triggers/ {child id} Assignez un déclencheur à un équipement spécifique.

Détails de l'opération

GET /devices

Spécifiez les paramètres suivants.

active_from: Numéro
(Facultatif) L'horodateur de début de la demande. Renvoie uniquement les appareils actifs après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
active_until: Numéro
(Facultatif) L'horodateur de fin de la demande. Renvoie uniquement l'équipement actif avant cette heure. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre active_from.
limit: Numéro
(Facultatif) Limitez le nombre d'appareils renvoyés au nombre maximum spécifié.
offset: Numéro
(Facultatif) Ignorez les premiers résultats de l'équipement. Ce paramètre est souvent associé au paramètre limite.
search_type: Corde
Indique le champ à rechercher.

Les valeurs suivantes sont valides :

  • any
  • name
  • discovery_id
  • ip address
  • mac address
  • vendor
  • type
  • tag
  • activity
  • node
  • vlan
  • discover time
value: Corde
(Facultatif) Spécifie les critères de recherche.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "activity": [],
    "analysis": "string",
    "analysis_level": 0,
    "auto_role": "string",
    "cdp_name": "string",
    "cloud_account": "string",
    "cloud_instance_description": "string",
    "cloud_instance_id": "string",
    "cloud_instance_name": "string",
    "cloud_instance_type": "string",
    "critical": true,
    "custom_criticality": "string",
    "custom_make": "string",
    "custom_model": "string",
    "custom_name": "string",
    "custom_type": "string",
    "default_name": "string",
    "description": "string",
    "device_class": "string",
    "dhcp_name": "string",
    "discover_time": 0,
    "discovery_id": "string",
    "display_name": "string",
    "dns_name": "string",
    "extrahop_id": "string",
    "id": 0,
    "ipaddr4": "string",
    "ipaddr6": "string",
    "is_l3": true,
    "last_seen_time": 0,
    "macaddr": "string",
    "mod_time": 0,
    "model": "string",
    "model_override": "string",
    "netbios_name": "string",
    "node_id": 0,
    "on_watchlist": true,
    "parent_id": 0,
    "role": "string",
    "subnet_id": "string",
    "user_mod_time": 0,
    "vendor": "string",
    "vlanid": 0,
    "vpc_id": "string"
}
POST /devices/search

Spécifiez les paramètres suivants.

body: Objet
Les critères de l'équipement.
active_from: Numéro
(Facultatif) L'horodateur de début de la demande. Renvoie uniquement les appareils actifs après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
active_until: Numéro
(Facultatif) L'horodateur de fin de la demande. Renvoie uniquement les appareils actifs avant cette heure. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre active_from.
limit: Numéro
(Facultatif) Limitez le nombre d'appareils renvoyés au nombre maximum spécifié.
offset: Numéro
(Facultatif) Ignorez le nombre d'appareils spécifié. Ce paramètre est souvent associé au paramètre limit pour paginer les ensembles de résultats.
filter: Objet
(Facultatif) Spécifiez les critères de filtre pour les résultats de recherche.
field: Corde
Nom du champ sur lequel filtrer les résultats. La recherche compare le contenu du paramètre de champ à la valeur du paramètre d'opérande.

Les valeurs suivantes sont valides :

  • name
  • discovery_id
  • ipaddr
  • macaddr
  • vendor
  • tag
  • activity
  • node
  • vlan
  • discover_time
  • role
  • dns_name
  • dhcp_name
  • netbios_name
  • cdp_name
  • custom_name
  • software
  • model
  • is_critical
  • instance_id
  • instance_name
  • instance_type
  • cloud_account
  • vpc_id
  • subnet_id
  • is_active
  • analysis
  • network_locality_type
  • network_locality_id
  • id
operator: Corde
Méthode de comparaison appliquée lors de la mise en correspondance de la valeur de l'opérande avec le contenu du champ. Tous les objets filtrants nécessitent un opérateur.

Les valeurs suivantes sont valides :

  • >
  • <
  • <=
  • >=
  • =
  • !=
  • startswith
  • and
  • or
  • not
  • exists
  • not_exists
  • ~
  • !~
  • in
  • not_in
operand: Chaîne ou nombre ou objet ou tableau
Valeur à laquelle la requête tente de faire correspondre. La requête compare la valeur de l'opérande au contenu du paramètre de champ et applique la méthode de comparaison spécifiée par le paramètre d'opérateur. Vous pouvez spécifier l'opérande sous la forme d'une chaîne, d'un entier ou d'un objet. Pour plus d'informations sur les valeurs des objets, consultez le Guide de l'API REST.
rules: Tableau d'objets
Tableau d'un ou de plusieurs objets de filtre, qui peuvent être incorporés de manière récursive. Seuls les opérateurs « et », « ou » et « non » sont autorisés pour ce paramètre.
result_fields: Tableau de chaînes
(Facultatif) Renvoie les champs spécifiés et l'identifiant de l'équipement. Si cette option n'est pas spécifiée, tous les champs sont renvoyés.

Les valeurs suivantes sont valides :

  • mod_time
  • node_id
  • id
  • extrahop_id
  • discovery_id
  • display_name
  • description
  • user_mod_time
  • discover_time
  • vlanid
  • parent_id
  • macaddr
  • vendor
  • is_l3
  • ipaddr4
  • ipaddr6
  • device_class
  • default_name
  • custom_name
  • cdp_name
  • dhcp_name
  • netbios_name
  • dns_name
  • custom_type
  • auto_role
  • analysis_level
  • analysis
  • role
  • on_watchlist
  • last_seen_time
  • activity
  • model
  • model_override
  • custom_make
  • custom_model
  • critical
  • custom_criticality
  • cloud_instance_id
  • cloud_instance_type
  • cloud_instance_description
  • cloud_instance_name
  • cloud_account
  • vpc_id
  • subnet_id

Spécifiez le paramètre body au format JSON suivant.

{
    "active_from": 0,
    "active_until": 0,
    "filter": {
        "field": "string",
        "operator": "string",
        "operand": "string",
        "rules": []
    },
    "limit": 0,
    "offset": 0,
    "result_fields": []
}
GET /devices/{id}

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "activity": [],
    "analysis": "string",
    "analysis_level": 0,
    "auto_role": "string",
    "cdp_name": "string",
    "cloud_account": "string",
    "cloud_instance_description": "string",
    "cloud_instance_id": "string",
    "cloud_instance_name": "string",
    "cloud_instance_type": "string",
    "critical": true,
    "custom_criticality": "string",
    "custom_make": "string",
    "custom_model": "string",
    "custom_name": "string",
    "custom_type": "string",
    "default_name": "string",
    "description": "string",
    "device_class": "string",
    "dhcp_name": "string",
    "discover_time": 0,
    "discovery_id": "string",
    "display_name": "string",
    "dns_name": "string",
    "extrahop_id": "string",
    "id": 0,
    "ipaddr4": "string",
    "ipaddr6": "string",
    "is_l3": true,
    "last_seen_time": 0,
    "macaddr": "string",
    "mod_time": 0,
    "model": "string",
    "model_override": "string",
    "netbios_name": "string",
    "node_id": 0,
    "on_watchlist": true,
    "parent_id": 0,
    "role": "string",
    "subnet_id": "string",
    "user_mod_time": 0,
    "vendor": "string",
    "vlanid": 0,
    "vpc_id": "string"
}
PATCH /devices/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées à l'équipement.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
GET /devices/{id}/activity

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "device_id": 0,
    "from_time": 0,
    "id": 0,
    "mod_time": 0,
    "stat_name": "string",
    "until_time": 0
}
GET /devices/{id}/ipaddrs

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
from: Numéro
(Facultatif) Récupère les adresses IP associées à l'équipement après la date spécifiée, exprimées en millisecondes depuis l'époque.
until: Numéro
(Facultatif) Récupère les adresses IP associées à l'équipement avant la date spécifiée, exprimées en millisecondes depuis l'époque.
GET /devices/{id}/dnsnames

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
from: Numéro
(Facultatif) Récupère les noms DNS associés à l'équipement après la date spécifiée, exprimés en millisecondes depuis l'époque.
until: Numéro
(Facultatif) Récupère les noms DNS associés à l'équipement avant la date spécifiée, exprimés en millisecondes depuis l'époque.
GET /devices/{id}/triggers

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
direct_assignments_only: Booléen
(Facultatif) Limitez les résultats aux seuls déclencheurs directement affectés à l'équipement.
POST /devices/{id}/triggers

Spécifiez les paramètres suivants.

body: Objet
Liste d'identifiants uniques pour les déclencheurs assignés ou non à l'équipement.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
POST /devices/{id}/triggers/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du déclencheur.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
DELETE /devices/{id}/triggers/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du déclencheur.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
GET /devices/{id}/dashboards

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
GET /devices/{id}/devicegroups

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'équipement.
active_from: Numéro
(Facultatif) L'horodateur de début de la demande. Renvoie uniquement les groupes d'équipements dynamiques auxquels l'équipement appartenait après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
active_until: Numéro
(Facultatif) L'horodateur de fin de la demande. Renvoie uniquement les groupes d'équipements dynamiques auxquels l'équipement appartenait avant cette date. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre active_from.
POST /devices/{id}/devicegroups

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les groupes d'équipements assignés ou non à l'équipement.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
POST /devices/{id}/devicegroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe déquipements.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
DELETE /devices/{id}/devicegroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe déquipements.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
GET /devices/{id}/tags

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
POST /devices/{id}/tags

Spécifiez les paramètres suivants.

body: Objet
Liste d'identifiants uniques pour les balises attribuées et non attribuées à l'équipement.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
POST /devices/{id}/tags/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de la balise.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
DELETE /devices/{id}/tags/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de la balise.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
GET /devices/{id}/alerts

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
direct_assignments_only: Booléen
(Facultatif) Limitez les résultats aux seules alertes directement attribuées à l'équipement.
POST /devices/{id}/alerts

Spécifiez les paramètres suivants.

body: Objet
Liste des identifiants uniques pour les alertes attribuées et non attribuées à l'équipement.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
POST /devices/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
DELETE /devices/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
GET /devices/{id}/software

Spécifiez les paramètres suivants.

id: Numéro
L'identifiant unique de l'équipement, qui est affiché sous forme d'ID d'API sur la page de l'équipement dans le système ExtraHop.
from: Numéro
(Facultatif) Renvoie le logiciel observé sur l'équipement après la date spécifiée, exprimée en millisecondes depuis l'époque.
until: Numéro
(Facultatif) Renvoie le logiciel observé sur l'équipement avant la date spécifiée, exprimé en millisecondes depuis l'époque.

Intervalles d'exclusion

Un intervalle d'exclusion peut être créé pour définir une période de suppression d'un alerte.

Par exemple, si vous ne souhaitez pas être informé des alertes en dehors des heures de bureau ou le week-end, un intervalle d' exclusion peut créer une règle pour supprimer l'alerte pendant cette période. Pour plus d' informations, voir Alertes.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /intervalles d'exclusion Récupérez tous les intervalles d'exclusion.
Intervalles POST /exclusion Créez un nouvel intervalle d'exclusion.
SUPPRIMER /exclusioninterval/{id} Supprimez un intervalle d'exclusion spécifique.
OBTENEZ /exclusioninterval/{id} Récupérez un intervalle d'exclusion spécifique.
PATCH /exclusionintervals/ {id} Appliquez les mises à jour à un intervalle d'exclusion spécifique.

Détails de l'opération

GET /exclusionintervals

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "alert_apply_all": true,
    "author": "string",
    "description": "string",
    "end": 0,
    "id": 0,
    "interval_type": "string",
    "mod_time": 0,
    "name": "string",
    "start": 0,
    "trend_apply_all": true
}
POST /exclusionintervals

Spécifiez les paramètres suivants.

body: Objet
Définissez les valeurs de propriétés spécifiées sur le nouvel intervalle d'exclusion.
name: Corde
Nom convivial de l'intervalle d'exclusion.
author: Corde
(Facultatif) Le nom du créateur de l'intervalle d'exclusion.
description: Corde
(Facultatif) Description facultative de l'intervalle d'exclusion.
interval_type: Corde
La fenêtre temporelle pendant laquelle l'intervalle d'exclusion a été évalué.

Les valeurs suivantes sont valides :

  • onetime
  • weekly
  • daily
start: Numéro
Début de la plage de temps de l'intervalle d'exclusion, exprimé en secondes. Cette valeur est relative à l'époque pour les exclusions ponctuelles, par rapport à minuit pour les exclusions quotidiennes et par rapport au lundi à minuit pour les exclusions hebdomadaires.
end: Numéro
Fin de la plage de temps de l'intervalle d'exclusion, exprimée en secondes. Cette valeur est relative à l'époque pour les exclusions ponctuelles, par rapport à minuit pour les exclusions quotidiennes et par rapport au lundi à minuit pour les exclusions hebdomadaires.
alert_apply_all: Booléen
Indique si cet intervalle d'exclusion doit être appliqué à toutes les alertes.
trend_apply_all: Booléen
Indique si cet intervalle d'exclusion doit être appliqué à toutes les tendances.

Spécifiez le paramètre body au format JSON suivant.

{
    "alert_apply_all": true,
    "author": "string",
    "description": "string",
    "end": 0,
    "interval_type": "string",
    "name": "string",
    "start": 0,
    "trend_apply_all": true
}
GET /exclusionintervals/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'intervalle d'exclusion.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "alert_apply_all": true,
    "author": "string",
    "description": "string",
    "end": 0,
    "id": 0,
    "interval_type": "string",
    "mod_time": 0,
    "name": "string",
    "start": 0,
    "trend_apply_all": true
}
DELETE /exclusionintervals/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'intervalle d'exclusion.
PATCH /exclusionintervals/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées à l'intervalle d'exclusion.
id: Numéro
Identifiant unique de l'intervalle d'exclusion.

Métriques

Des informations métriques sont collectées sur chaque objet identifié par le système ExtraHop.

Notez que les métriques sont récupérées via la méthode POST, qui crée une requête pour collecter les informations demandées via l'API. Pour plus d'informations, voir Extraire des métriques via l'API REST.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
POST /métriques Effectuez une requête métrique.
GET /metrics/next/ {xid} Si une requête métrique précédente demandait des métriques de groupe d'activités à un console, l'opération GET /metrics/next/ {xid} récupère les métriques du groupe d'activités sur une sonde connectée. Chaque fois qu'une demande est envoyée à GET /metrics/next/ {xid}, l'opération renvoie des métriques provenant d'une autre sonde. Une fois que toutes les métriques ont été récupérées, l'opération renvoie la valeur null.
POST /métriques/total Effectuez une requête métrique pour connaître les valeurs totales.
POST /metrics/totalbyobject Effectuez une requête métrique pour connaître les valeurs totales regroupées par objet.

Par exemple, si vous souhaitez voir toutes les réponses HTTP survenues sur le réseau au cours des 30 dernières minutes, entrez le schéma de demande suivant dans le POST /metrics opération :

{
  "cycle": "auto",
  "from": -1800000,
  "metric_category": "http",
  "metric_specs": [
    {
      "name": "rsp"
    }
  ],
  "object_ids": [
    0
  ],
  "object_type": "application",
  "until": 0
}

Le corps de la réponse renvoie une liste de réponses HTTP et l'heure de chaque événement, comme dans le résultat suivant :

{   
  "stats": [     
    {       
      "oid": 0,
      "time": 1494539640000,
      "duration": 30000,
      "values": [
        354
      ]
    },
    {       
      "oid": 0,
      "time": 1494539640000,
      "duration": 30000,
      "values": [
        354
      ]
    },

    {       
      "oid": 0,
      "time": 1494539640000,
      "duration": 30000,
      "values": [
        354
      ]
    },
  ],
  "cycle": "30sec", 
  "node_id": 0,
  "clock": 1494541440000, 
  "from": 1494539640000,
  "until": 1494541440000 
}

Entrez le même schéma de demande dans POST /metrics/total opération pour récupérer le décompte de toutes les réponses HTTP survenues sur le réseau au cours des 30 dernières secondes. Le corps de la réponse est similaire à la sortie suivante :

{   
  "stats": [
    {
      "oid": -1,
      "time": 1494541380000,
      "duration": 1800000,
      "values": [
        33357
      ]
    }
  ],
  "cycle": "30sec", 
  "node_id": 0,
  "clock": 1494541440000, 
  "from": 1494539640000,
  "until": 1494541440000 
}

Détails de l'opération

POST /metrics

Spécifiez les paramètres suivants.

body: Objet
Description de la demande métrique.
from: Numéro
L'horodateur de début de la demande. Renvoie uniquement les statistiques collectées après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
until: Numéro
L'horodateur de fin de la demande. Renvoie uniquement les statistiques collectées avant cette date. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre from.
cycle: Corde
Période d'agrégation des métriques.

Les valeurs suivantes sont valides :

  • auto
  • 1sec
  • 30sec
  • 5min
  • 1hr
  • 24hr
object_type: Corde
Indique le type d'objet des identifiants uniques spécifiés dans la propriété object_ids.

Les valeurs suivantes sont valides :

  • network
  • device
  • application
  • vlan
  • device_group
  • system
object_ids: Tableau de nombres
La liste des valeurs numériques qui représentent des identifiants uniques. Les identifiants uniques peuvent être récupérés via les ressources /networks, /devices, /applications, /vlans, /devicegroups, /activitygroups et /appliances. Pour les indicateurs de santé du système, spécifiez l'ID de la sonde ou de la console et définissez le paramètre object_type sur « system ».
metric_category: Corde
Groupe de mesures consultables dans le catalogue de métriques.
metric_specs: Tableau d'objets
Tableau d'objets de spécification métrique.
name: Corde
Le nom du champ pour la métrique. Lors du filtrage dans le catalogue de métriques sur une metric_category, chaque résultat est un nom de metric_spec potentiel. Lorsqu'un résultat est sélectionné dans le catalogue, la valeur du champ « Métrique » est une option valide pour ce champ.
key1: Corde
(Facultatif) Filtrez les mesures détaillées. Les métriques détaillées décomposent les données à l'aide de clés, qui sont des chaînes ou des adresses IP. Par exemple, la métrique « Demandes HTTP par méthode » accepte une valeur key1 de « GET ». Les clés peuvent également être des expressions régulières délimitées par des barres obliques (« /GET/ »).
key2: Corde
(Facultatif) Activez un filtrage supplémentaire sur les mesures détaillées.
calc_type: Corde
(Facultatif) Type de calcul à effectuer.

Les valeurs suivantes sont valides :

  • mean
  • percentiles
percentiles: Tableau de nombres
(Facultatif) La liste des percentiles, triée par ordre croissant, qui doit être renvoyée. Ce paramètre n'est obligatoire que si le paramètre calc_type est défini sur « percentiles ». Si le paramètre calc_type est défini sur mean, la propriété percentiles ne peut pas être définie.

Spécifiez le paramètre body au format JSON suivant.

{
    "cycle": "string",
    "from": 0,
    "metric_category": "string",
    "metric_specs": {
        "name": "string",
        "key1": "string",
        "key2": "string",
        "calc_type": "string",
        "percentiles": []
    },
    "object_ids": [],
    "object_type": "string",
    "until": 0
}
POST /metrics/total

Spécifiez les paramètres suivants.

body: Objet
Description de la demande métrique.
from: Numéro
L'horodateur de début de la demande. Renvoie uniquement les statistiques collectées après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
until: Numéro
L'horodateur de fin de la demande. Renvoie uniquement les statistiques collectées avant cette date. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre from.
cycle: Corde
Période d'agrégation des métriques.

Les valeurs suivantes sont valides :

  • auto
  • 1sec
  • 30sec
  • 5min
  • 1hr
  • 24hr
object_type: Corde
Indique le type d'objet des identifiants uniques spécifiés dans la propriété object_ids.

Les valeurs suivantes sont valides :

  • network
  • device
  • application
  • vlan
  • device_group
  • system
object_ids: Tableau de nombres
La liste des valeurs numériques qui représentent des identifiants uniques. Les identifiants uniques peuvent être récupérés via les ressources /networks, /devices, /applications, /vlans, /devicegroups, /activitygroups et /appliances. Pour les indicateurs de santé du système, spécifiez l'ID de la sonde ou de la console et définissez le paramètre object_type sur « system ».
metric_category: Corde
Groupe de mesures consultables dans le catalogue de métriques.
metric_specs: Tableau d'objets
Tableau d'objets de spécification métrique.
name: Corde
Le nom du champ pour la métrique. Lors du filtrage dans le catalogue de métriques sur une metric_category, chaque résultat est un nom de metric_spec potentiel. Lorsqu'un résultat est sélectionné dans le catalogue, la valeur du champ « Métrique » est une option valide pour ce champ.
key1: Corde
(Facultatif) Filtrez les mesures détaillées. Les métriques détaillées décomposent les données à l'aide de clés, qui sont des chaînes ou des adresses IP. Par exemple, la métrique « Demandes HTTP par méthode » accepte une valeur key1 de « GET ». Les clés peuvent également être des expressions régulières délimitées par des barres obliques (« /GET/ »).
key2: Corde
(Facultatif) Activez un filtrage supplémentaire sur les mesures détaillées.
calc_type: Corde
(Facultatif) Type de calcul à effectuer.

Les valeurs suivantes sont valides :

  • mean
  • percentiles
percentiles: Tableau de nombres
(Facultatif) La liste des percentiles, triée par ordre croissant, qui doit être renvoyée. Ce paramètre n'est obligatoire que si le paramètre calc_type est défini sur « percentiles ». Si le paramètre calc_type est défini sur mean, la propriété percentiles ne peut pas être définie.

Spécifiez le paramètre body au format JSON suivant.

{
    "cycle": "string",
    "from": 0,
    "metric_category": "string",
    "metric_specs": {
        "name": "string",
        "key1": "string",
        "key2": "string",
        "calc_type": "string",
        "percentiles": []
    },
    "object_ids": [],
    "object_type": "string",
    "until": 0
}
POST /metrics/totalbyobject

Spécifiez les paramètres suivants.

body: Objet
Description de la demande métrique.
from: Numéro
L'horodateur de début de la demande. Renvoie uniquement les statistiques collectées après cette période. Le temps est exprimé en millisecondes depuis l'époque. 0 indique l'heure de la demande. Une valeur négative est évaluée par rapport à l'heure actuelle. L'unité par défaut pour une valeur négative est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
until: Numéro
L'horodateur de fin de la demande. Renvoie uniquement les statistiques collectées avant cette date. Suit les mêmes directives relatives aux valeurs temporelles que le paramètre from.
cycle: Corde
Période d'agrégation des métriques.

Les valeurs suivantes sont valides :

  • auto
  • 1sec
  • 30sec
  • 5min
  • 1hr
  • 24hr
object_type: Corde
Indique le type d'objet des identifiants uniques spécifiés dans la propriété object_ids.

Les valeurs suivantes sont valides :

  • network
  • device
  • application
  • vlan
  • device_group
  • system
object_ids: Tableau de nombres
La liste des valeurs numériques qui représentent des identifiants uniques. Les identifiants uniques peuvent être récupérés via les ressources /networks, /devices, /applications, /vlans, /devicegroups, /activitygroups et /appliances. Pour les indicateurs de santé du système, spécifiez l'ID de la sonde ou de la console et définissez le paramètre object_type sur « system ».
metric_category: Corde
Groupe de mesures consultables dans le catalogue de métriques.
metric_specs: Tableau d'objets
Tableau d'objets de spécification métrique.
name: Corde
Le nom du champ pour la métrique. Lors du filtrage dans le catalogue de métriques sur une metric_category, chaque résultat est un nom de metric_spec potentiel. Lorsqu'un résultat est sélectionné dans le catalogue, la valeur du champ « Métrique » est une option valide pour ce champ.
key1: Corde
(Facultatif) Filtrez les mesures détaillées. Les métriques détaillées décomposent les données à l'aide de clés, qui sont des chaînes ou des adresses IP. Par exemple, la métrique « Demandes HTTP par méthode » accepte une valeur key1 de « GET ». Les clés peuvent également être des expressions régulières délimitées par des barres obliques (« /GET/ »).
key2: Corde
(Facultatif) Activez un filtrage supplémentaire sur les mesures détaillées.
calc_type: Corde
(Facultatif) Type de calcul à effectuer.

Les valeurs suivantes sont valides :

  • mean
  • percentiles
percentiles: Tableau de nombres
(Facultatif) La liste des percentiles, triée par ordre croissant, qui doit être renvoyée. Ce paramètre n'est obligatoire que si le paramètre calc_type est défini sur « percentiles ». Si le paramètre calc_type est défini sur mean, la propriété percentiles ne peut pas être définie.

Spécifiez le paramètre body au format JSON suivant.

{
    "cycle": "string",
    "from": 0,
    "metric_category": "string",
    "metric_specs": {
        "name": "string",
        "key1": "string",
        "key2": "string",
        "calc_type": "string",
        "percentiles": []
    },
    "object_ids": [],
    "object_type": "string",
    "until": 0
}
GET /metrics/next/{xid}

Spécifiez les paramètres suivants.

xid: Numéro
Identifiant unique renvoyé par une requête métrique.

Entrée de localité sur le réseau

Vous pouvez gérer une liste qui indique la localité des adresses IP sur le réseau.

Par exemple, vous pouvez créer une entrée dans la liste des localités du réseau qui indique qu'une adresse IP ou un bloc CIDR est interne ou externe.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET/networklocalities Récupérez toutes les entrées de localité du réseau.
POST/networklocalities Créez une entrée de localité du réseau.
SUPPRIMER /networklocalities/ {id} Supprimez une entrée de localité du réseau.
GET /networklocalities/ {id} Récupérez une entrée de localité de réseau spécifique.
PATCH /networklocalities/ {id} Appliquez les mises à jour à une entrée de localité du réseau spécifique.

Détails de l'opération

GET /networklocalities

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "external": true,
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "network": "string",
    "networks": []
}
POST /networklocalities

Spécifiez les paramètres suivants.

body: Objet
Appliquez les valeurs de propriété spécifiées à la nouvelle entrée de localité du réseau.
name: Corde
(Facultatif) Le nom de la localité du réseau. Si ce champ n'est pas spécifié, la localité du réseau est nommée au format suivant : « Locality_ID », où ID est l'identifiant unique de la localité du réseau.
network: Corde
(Facultatif) Obsolète. Spécifiez les blocs CIDR ou les adresses IP dans le champ réseaux.
networks: Tableau de chaînes
(Facultatif) Tableau de blocs CIDR ou d'adresses IP qui définissent la localité du réseau.
external: Booléen
Indique si le réseau est interne ou externe.
description: Corde
(Facultatif) Description facultative de l'entrée de localité du réseau.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "external": true,
    "name": "string",
    "network": "string",
    "networks": []
}
GET /networklocalities/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour l'entrée de localité du réseau.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "external": true,
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "network": "string",
    "networks": []
}
DELETE /networklocalities/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique pour l'entrée de localité du réseau.
PATCH /networklocalities/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées à l'entrée de localité du réseau.
network: Corde
(Facultatif) Obsolète. Spécifiez les blocs CIDR ou les adresses IP dans le champ réseaux.
networks: Tableau de chaînes
(Facultatif) Tableau de blocs CIDR ou d'adresses IP qui définissent la localité du réseau.
name: Corde
(Facultatif) Le nom de la localité du réseau.
external: Booléen
(Facultatif) Indique si le réseau est interne ou externe.
description: Corde
(Facultatif) Description facultative de l'entrée de localité du réseau.

Spécifiez le paramètre body au format JSON suivant.

{
    "description": "string",
    "external": true,
    "name": "string",
    "network": "string",
    "networks": []
}
id: Numéro
Identifiant unique pour l'entrée de localité du réseau.

Réseau

Les réseaux sont corrélés à la carte d'interface réseau qui reçoit les entrées de tous les objets identifiés par le système ExtraHop.

Sur un console, chaque sonde connectée est identifiée comme une capture réseau. Pour plus d'informations, voir Réseaux.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Opération Descriptif
GET /réseaux Récupérez tous les réseaux.
GET /networks/ {id} Récupérez un réseau spécifique par identifiant.
PATCH /networks/ {id} Mettez à jour un réseau spécifique par identifiant.
GET /networks/ {id} /alertes Tout récupérer alertes qui sont affectés à un réseau spécifique.
POST /networks/ {id} /alertes Attribuez et annulez les alertes à un réseau spécifique.
SUPPRIMER /networks/ {id} /alerts/ {child-id} Annuler l'attribution d'une alerte à un réseau spécifique.
POST /networks/ {id} /alerts/ {child id} Attribuez une alerte à un réseau spécifique.
GET /networks/ {id} /vlan Récupérez tous les VLAN assignés à un réseau spécifique.

Détails de l'opération

GET /networks

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "appliance_uuid": "string",
    "description": "string",
    "id": 0,
    "idle": true,
    "mod_time": 0,
    "name": "string",
    "node_id": 0
}
PATCH /networks/{id}

Spécifiez les paramètres suivants.

body: Objet
Mises à jour de la valeur des propriétés à appliquer au réseau.
id: Numéro
Identifiant unique du réseau.
GET /networks/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du réseau.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "appliance_uuid": "string",
    "description": "string",
    "id": 0,
    "idle": true,
    "mod_time": 0,
    "name": "string",
    "node_id": 0
}
GET /networks/{id}/alerts

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du réseau.
direct_assignments_only: Booléen
(Facultatif) Limitez les résultats aux seules alertes directement attribuées au réseau.
POST /networks/{id}/alerts

Spécifiez les paramètres suivants.

body: Objet
Listes d'identifiants d'alerte à attribuer et/ou à annuler.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique du réseau.
POST /networks/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
Identifiant unique du réseau.
DELETE /networks/{id}/alerts/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'alerte.
id: Numéro
Identifiant unique du réseau.
GET /networks/{id}/vlans

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du réseau.

Observations

Une observation associe l'adresse IP d'un équipement du système ExtraHop à une adresse IP extérieure à votre réseau. Par exemple, vous pouvez suivre l'activité d'un utilisateur VPN en associant l'adresse IP du client VPN sur votre réseau interne à l' adresse IP externe attribuée à l'utilisateur sur l'Internet public.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
POST /observations/associatedipaddrs Ajoutez une observation pour créer une association entre les adresses IP des équipements.

Détails de l'opération

POST /observations/associatedipaddrs

Spécifiez les paramètres suivants.

body: Objet
Les paramètres d'observation.
observations: Tableau d'objets
Une série d'observations.
ipaddr: Corde
L'adresse IP de l'équipement observée par la sonde ou la console.
associated_ipaddr: Corde
L'adresse IP associée.
timestamp: Numéro
Heure à laquelle l'observation a été créée par la source, exprimée en millisecondes depuis l'époque.
source: Corde
La source des observations.

Spécifiez le paramètre body au format JSON suivant.

{
    "observations": {
        "ipaddr": "string",
        "associated_ipaddr": "string",
        "timestamp": 0
    },
    "source": "string"
}

Recherche de paquets

Vous pouvez rechercher et télécharger des paquets stockés sur le système ExtraHop. Les paquets téléchargés peuvent ensuite être analysés par le biais d'un outil tiers, tel que Wireshark.

Remarque :Cette ressource ne peut récupérer des paquets que depuis des magasins de paquets. Pour récupérer des paquets à partir d'une sonde danalysis de paquets, consultez la ressource Packet Capture.

Pour plus d'informations sur les paquets, voir Paquets.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /packets/search Recherchez des paquets en spécifiant des paramètres dans une URL.
POST /packets/search Recherchez des paquets en spécifiant des paramètres dans une chaîne JSON.

Détails de l'opération

GET /packets/search

Spécifiez les paramètres suivants.

output: Corde
(Facultatif) Le format de sortie. * `pcap` - Un fichier PCAP contenant des paquets. * `keylog_txt` - Un fichier texte keylog contenant des secrets à déchiffrer. * `pcapng` - Un fichier PCAPNG qui peut contenir à la fois des paquets et des secrets pour le déchiffrement. * `zip` - Un fichier ZIP contenant à la fois un fichier texte PCAP et un fichier texte keylog.

Les valeurs suivantes sont valides :

  • pcap
  • keylog_txt
  • pcapng
  • zip
include_secrets: Booléen
(Facultatif) Spécifie s'il faut inclure des secrets dans le fichier PCAPNG. Cette option n'est valide que si `output` est défini sur `pcapng`.
limit_bytes: Corde
(Facultatif) Nombre maximal approximatif d'octets à renvoyer. Une fois que le système ExtraHop a trouvé des paquets correspondant à la taille spécifiée dans les critères de recherche, le système arrête de rechercher des paquets supplémentaires. Toutefois, étant donné que le système analyse plusieurs paquets à la fois, la taille totale des paquets renvoyés peut être supérieure à la taille spécifiée. L'unité par défaut est l'octet, mais vous pouvez spécifier d'autres unités avec un suffixe d'unité. La valeur par défaut est « 100 Mo ».
limit_search_duration: Corde
(Facultatif) Durée maximale approximative pour effectuer la recherche de paquets. Une fois le délai spécifié écoulé, le système ExtraHop arrête de rechercher des paquets supplémentaires. Cependant, le système dépassera le délai spécifié pour terminer l'analyse des paquets recherchés avant l'expiration du délai, et le système analyse plusieurs paquets à la fois. Par conséquent, la recherche peut durer plus longtemps que la durée spécifiée. L'unité par défaut est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge. La valeur par défaut est « 5 m ».
always_return_body: Booléen
(Facultatif) Si vous définissez ce paramètre sur true et que la recherche ne correspond à aucun paquet, le système renvoie un fichier de capture de paquets vide et un statut HTTP de 200. Si vous définissez ce paramètre sur false et que la recherche ne correspond à aucun paquet, le système ne renvoie aucun fichier de capture de paquets et un statut HTTP de 204.
from: Corde
L'horodateur de début de la plage de temps que la recherche inclura, exprimé en millisecondes depuis l'époque. Une valeur négative indique que la recherche débutera par des paquets capturés dans le passé. Par exemple, spécifiez -10 m pour commencer la recherche avec les paquets capturés 10 minutes avant l'heure de la demande. Les valeurs négatives peuvent être spécifiées avec une unité de temps autre que les millisecondes, telle que les secondes ou les heures. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
until: Corde
(Facultatif) L'horodateur de fin de la plage de temps que la recherche inclura, exprimé en millisecondes depuis l'époque. Une valeur 0 indique que la recherche se terminera par des paquets capturés au moment de la recherche. Une valeur négative indique que la recherche se terminera par des paquets capturés dans le passé. Par exemple, spécifiez -5m pour terminer la recherche avec des paquets capturés 5 minutes avant l'heure de la demande. Les valeurs négatives peuvent être spécifiées avec une unité de temps autre que les millisecondes, telle que les secondes ou les heures. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
bpf: Corde
(Facultatif) Syntaxe du filtre de paquets Berkeley (BPF) pour la recherche de paquets. Pour plus d'informations sur la syntaxe BPF, consultez le Guide de l'API REST.
ip1: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus par l'adresse IP spécifiée.
port1: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus sur le port spécifié.
ip2: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus par l'adresse IP spécifiée.
port2: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus sur le port spécifié.
POST /packets/search

Spécifiez les paramètres suivants.

body: Objet
Les paramètres de la recherche de paquets.
output: Corde
(Facultatif) Le format de sortie.

Les valeurs suivantes sont valides :

  • pcap
  • keylog_txt
  • pcapng
  • zip
include_secrets: Booléen
(Facultatif) S'il faut ou non inclure les secrets TLS avec les données des paquets dans les fichiers .pcapng. Valable uniquement si « output » est « pcapng ».
limit_bytes: Corde
(Facultatif) Nombre maximal approximatif d'octets à renvoyer. Une fois que le système ExtraHop a trouvé des paquets correspondant à la taille spécifiée dans les critères de recherche, le système arrête de rechercher des paquets supplémentaires. Toutefois, étant donné que le système analyse plusieurs paquets à la fois, la taille totale des paquets renvoyés peut être supérieure à la taille spécifiée. L'unité par défaut est l'octet, mais vous pouvez spécifier d'autres unités avec un suffixe d'unité. La valeur par défaut est « 100 Mo ».
limit_search_duration: Corde
(Facultatif) Durée maximale approximative pour effectuer la recherche de paquets. Une fois le délai spécifié écoulé, le système ExtraHop arrête de rechercher des paquets supplémentaires. Cependant, le système dépassera le délai spécifié pour terminer l'analyse des paquets recherchés avant l'expiration du délai, et le système analyse plusieurs paquets à la fois. Par conséquent, la recherche peut durer plus longtemps que la durée spécifiée. L'unité par défaut est la milliseconde, mais d'autres unités peuvent être spécifiées avec un suffixe d'unité. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge. La valeur par défaut est « 5 m ».
always_return_body: Booléen
(Facultatif) Si vous définissez ce paramètre sur true et que la recherche ne correspond à aucun paquet, le système renvoie un fichier de capture de paquets vide et un statut HTTP de 200. Si vous définissez ce paramètre sur false et que la recherche ne correspond à aucun paquet, le système ne renvoie aucun fichier de capture de paquets et un statut HTTP de 204.
from: Corde
L'horodateur de début de la plage de temps que la recherche inclura, exprimé en millisecondes depuis l'époque. Une valeur négative indique que la recherche débutera par des paquets capturés dans le passé. Par exemple, spécifiez -10 m pour commencer la recherche avec les paquets capturés 10 minutes avant l'heure de la demande. Les valeurs négatives peuvent être spécifiées avec une unité de temps autre que les millisecondes, telle que les secondes ou les heures. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
until: Corde
(Facultatif) L'horodateur de fin de la plage de temps que la recherche inclura, exprimé en millisecondes depuis l'époque. Une valeur 0 indique que la recherche se terminera par des paquets capturés au moment de la recherche. Une valeur négative indique que la recherche se terminera par des paquets capturés dans le passé. Par exemple, spécifiez -5m pour terminer la recherche avec des paquets capturés 5 minutes avant l'heure de la demande. Les valeurs négatives peuvent être spécifiées avec une unité de temps autre que les millisecondes, telle que les secondes ou les heures. Voir le Guide de l'API REST pour les unités de temps et les suffixes pris en charge.
bpf: Corde
(Facultatif) Syntaxe du filtre de paquets Berkeley (BPF) pour la recherche de paquets. Pour plus d'informations sur la syntaxe BPF, voir Filtrer les paquets avec la syntaxe du filtre de paquets Berkeley.
ip1: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus par l'adresse IP spécifiée.
port1: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus sur le port spécifié.
ip2: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus par l'adresse IP spécifiée.
port2: Corde
(Facultatif) Renvoie les paquets envoyés ou reçus sur le port spécifié.

Spécifiez le paramètre body au format JSON suivant.

{
    "always_return_body": true,
    "bpf": "string",
    "from": "string",
    "include_secrets": true,
    "ip1": "string",
    "ip2": "string",
    "limit_bytes": "string",
    "limit_search_duration": "string",
    "output": "string",
    "port1": "string",
    "port2": "string",
    "until": "string"
}

Couplage

Cette ressource vous permet de générer un jeton nécessaire pour connecter un sonde à un console.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
POST/appariement/jeton Générez un jeton requis pour connecter le sonde à un console.

Détails de l'opération

POST /pairing/token

Il n'existe aucun paramètre pour cette opération.

Rapport

Un rapport est un fichier PDF d'un tableau de bord que vous pouvez planifier pour la livraison par e-mail à un ou plusieurs destinataires. Vous pouvez spécifier la fréquence à laquelle l'e-mail du rapport est envoyé et l'intervalle de temps pour les données du tableau de bord incluses dans le fichier PDF.

Important :Vous ne pouvez planifier des rapports qu'à partir d'une machine virtuelle ECA.

Voici quelques points importants à prendre en compte à propos des rapports de tableau de bord :

  • Vous ne pouvez créer un rapport que pour les tableaux de bord dont vous êtes propriétaire ou qui ont été partagés avec vous. Votre capacité à créer un rapport dépend de vos privilèges d'utilisateur. Contactez votre administrateur ExtraHop pour obtenir de l'aide.
  • Chaque rapport ne peut être lié qu'à un seul tableau de bord.
  • Si vous avez créé un rapport pour un tableau de bord qui a ensuite été supprimé ou est devenu inaccessible, l'e-mail planifié continuera d'être envoyé aux destinataires. Toutefois, l'e-mail n'inclura pas le fichier PDF et informera les destinataires que le tableau de bord n'est pas disponible pour le propriétaire du rapport.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /rapports Récupérez tous les rapports.
POST /rapports Créez un rapport.
SUPPRIMER /reports/ {id} Supprimez un rapport spécifique.
GET /rapports/ {id} Récupérez un rapport spécifique.
PATCH /rapports/ {id} Mettez à jour un rapport spécifique.
GET /reports/ {id} /contenu Récupérez le contenu d'un rapport spécifique.
PUT /reports/ {id} /contenu Remplacez le contenu d'un rapport spécifique.
GET /reports/ {id} /télécharger Récupérez le PDF d'un rapport.
POST /reports/ {id} /file d'attente Générez et envoyez immédiatement un rapport spécifique.

Détails de l'opération

GET /reports

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "cc": [],
    "description": "string",
    "email_message": "string",
    "email_subject": "string",
    "enabled": true,
    "from": "string",
    "id": 0,
    "include_links": "string",
    "name": "string",
    "output": {},
    "owner": "string",
    "schedule": {},
    "until": "string"
}
POST /reports

Spécifiez les paramètres suivants.

body: Objet
Le contenu du rapport.
name: Corde
Le nom du rapport.
description: Corde
(Facultatif) Description du rapport.
owner: Corde
Le nom d'utilisateur du propriétaire du rapport.
cc: Tableau de chaînes
Liste des adresses e-mail, non incluses dans un groupe de messagerie, pour recevoir les rapports.
enabled: Booléen
(Facultatif) Indique si le rapport est activé.
from: Corde
L'horodateur de début de l'intervalle de temps pour le contenu du rapport, par rapport à l'heure actuelle et exprimé en millisecondes.
until: Corde
(Facultatif) L'horodateur de fin de l'intervalle de temps pour le contenu du rapport, par rapport à l'heure actuelle et exprimé en millisecondes.
email_subject: Corde
(Facultatif) Le contenu de la ligne d'objet de l'e-mail de rapport.
schedule: Objet
(Facultatif) Objet contenant les paramètres qui spécifient la plage horaire planifiée pour générer et envoyer le rapport. Les paramètres sont définis dans la section schedule_type ci-dessous.
type: Corde
Type de calendrier de livraison du rapport.

Les valeurs suivantes sont valides :

  • hourly
  • daily
  • weekly
at: Tableau d'objets
(Facultatif) Liste des objets qui spécifient les paramètres de livraison du rapport. Les paramètres sont définis dans la section at_type ci-dessous.
by_day: Tableau de chaînes
(Facultatif) Les jours de la semaine pour envoyer le rapport.

Les valeurs suivantes sont valides :

  • mo
  • tu
  • we
  • th
  • fr
  • sa
  • su
tz: Corde
(Facultatif) Fuseau horaire dans lequel le rapport doit être envoyé.
hour: Numéro
(Facultatif) Heure à laquelle le rapport doit être envoyé.
minute: Numéro
(Facultatif) Minute à laquelle le rapport doit être envoyé.
output: Objet
Objet contenant les paramètres qui spécifient le format de sortie du rapport. Les paramètres sont définis dans la section format_type ci-dessous.
type: Corde
Format de sortie du rapport.

Les valeurs suivantes sont valides :

  • pdf
width: Corde
(Facultatif) Option de largeur pour la sortie du rapport.

Les valeurs suivantes sont valides :

  • narrow
  • medium
  • wide
pagination: Corde
(Facultatif) Schéma de pagination pour la sortie du rapport.

Les valeurs suivantes sont valides :

  • per_region
theme: Corde
(Facultatif) Thème d'affichage de la sortie du rapport.

Les valeurs suivantes sont valides :

  • light
  • dark
  • space
  • contrast

Spécifiez le paramètre body au format JSON suivant.

{
    "cc": [],
    "description": "string",
    "email_subject": "string",
    "enabled": true,
    "from": "string",
    "name": "string",
    "output": {
        "type": "string",
        "width": "string",
        "pagination": "string",
        "theme": "string"
    },
    "owner": "string",
    "schedule": {
        "type": "string",
        "at": {
            "by_day": [],
            "tz": "string",
            "hour": 0,
            "minute": 0
        }
    },
    "until": "string"
}
POST /reports/{id}/queue

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.
PATCH /reports/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.
body: Objet
Le contenu du rapport.
name: Corde
Le nom du rapport.
description: Corde
(Facultatif) Description du rapport.
owner: Corde
Le nom d'utilisateur du propriétaire du rapport.
cc: Tableau de chaînes
Liste des adresses e-mail, non incluses dans un groupe de messagerie, pour recevoir les rapports.
enabled: Booléen
(Facultatif) Indique si le rapport est activé.
from: Corde
L'horodateur de début de l'intervalle de temps pour le contenu du rapport, par rapport à l'heure actuelle et exprimé en millisecondes.
until: Corde
(Facultatif) L'horodateur de fin de l'intervalle de temps pour le contenu du rapport, par rapport à l'heure actuelle et exprimé en millisecondes.
email_subject: Corde
(Facultatif) Le contenu de la ligne d'objet de l'e-mail de rapport.
schedule: Objet
(Facultatif) Objet contenant les paramètres qui spécifient la plage horaire planifiée pour générer et envoyer le rapport. Les paramètres sont définis dans la section schedule_type ci-dessous.
type: Corde
Type de calendrier de livraison du rapport.

Les valeurs suivantes sont valides :

  • hourly
  • daily
  • weekly
at: Tableau d'objets
(Facultatif) Liste des objets qui spécifient les paramètres de livraison du rapport. Les paramètres sont définis dans la section at_type ci-dessous.
by_day: Tableau de chaînes
(Facultatif) Les jours de la semaine pour envoyer le rapport.

Les valeurs suivantes sont valides :

  • mo
  • tu
  • we
  • th
  • fr
  • sa
  • su
tz: Corde
(Facultatif) Fuseau horaire dans lequel le rapport doit être envoyé.
hour: Numéro
(Facultatif) Heure à laquelle le rapport doit être envoyé.
minute: Numéro
(Facultatif) Minute à laquelle le rapport doit être envoyé.
output: Objet
Objet contenant les paramètres qui spécifient le format de sortie du rapport. Les paramètres sont définis dans la section format_type ci-dessous.
type: Corde
Format de sortie du rapport.

Les valeurs suivantes sont valides :

  • pdf
width: Corde
(Facultatif) Option de largeur pour la sortie du rapport.

Les valeurs suivantes sont valides :

  • narrow
  • medium
  • wide
pagination: Corde
(Facultatif) Schéma de pagination pour la sortie du rapport.

Les valeurs suivantes sont valides :

  • per_region
theme: Corde
(Facultatif) Thème d'affichage de la sortie du rapport.

Les valeurs suivantes sont valides :

  • light
  • dark
  • space
  • contrast

Spécifiez le paramètre body au format JSON suivant.

{
    "cc": [],
    "description": "string",
    "email_subject": "string",
    "enabled": true,
    "from": "string",
    "name": "string",
    "output": {
        "type": "string",
        "width": "string",
        "pagination": "string",
        "theme": "string"
    },
    "owner": "string",
    "schedule": {
        "type": "string",
        "at": {
            "by_day": [],
            "tz": "string",
            "hour": 0,
            "minute": 0
        }
    },
    "until": "string"
}
GET /reports/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "cc": [],
    "description": "string",
    "email_message": "string",
    "email_subject": "string",
    "enabled": true,
    "from": "string",
    "id": 0,
    "include_links": "string",
    "name": "string",
    "output": {},
    "owner": "string",
    "schedule": {},
    "until": "string"
}
GET /reports/{id}/download

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "cc": [],
    "description": "string",
    "email_message": "string",
    "email_subject": "string",
    "enabled": true,
    "from": "string",
    "id": 0,
    "include_links": "string",
    "name": "string",
    "output": {},
    "owner": "string",
    "schedule": {},
    "until": "string"
}
DELETE /reports/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.
GET /reports/{id}/contents

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "dashboard_id": 0,
    "params": {},
    "type": "string"
}
PUT /reports/{id}/contents

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du rapport.
body: Objet
Le contenu du rapport.

Logiciel

Vous pouvez consulter la liste des logiciels que le système ExtraHop a observés sur votre réseau.

Fonctionnement Descriptif
GET /logiciel Récupérez le logiciel observé par le système ExtraHop.
GET /software/ {id} Récupérez les logiciels observés par le système ExtraHop par identifiant.

Détails de l'opération

GET /software

Spécifiez les paramètres suivants.

software_type: Corde
(Facultatif) Type de logiciel.
name: Corde
(Facultatif) Le nom du logiciel.
version: Corde
(Facultatif) Version du logiciel.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "id": "string",
    "name": "string",
    "software_type": "string",
    "version": "string"
}
GET /software/{id}

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du logiciel.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "id": "string",
    "name": "string",
    "software_type": "string",
    "version": "string"
}

Tag

Les balises d'appareil vous permettent d'associer un équipement ou un groupe d'appareils en fonction de certaines caractéristiques.

Par exemple, vous pouvez étiqueter tous vos HTTP serveurs ou balisez tous les appareils qui se trouvent dans un sous-réseau commun. Pour plus d'informations, voir Marquer un équipement via l'API REST.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
OBTENIR /tags Récupérez tous les tags.
POSTER /tags Créez un nouveau tag.
SUPPRIMER /tags/ {id} Supprimez un tag spécifique.
OBTENEZ /tags/ {id} Récupérez un tag spécifique.
PATCH /tags/ {id} Appliquez les mises à jour à une balise spécifique.
GET /tags/ {id} /appareils Récupérez tous les appareils associés à une étiquette spécifique.
POST /tags/ {id} /appareils Attribuez et annulez l'attribution d'une balise spécifique aux appareils.
SUPPRIMER /tags/ {id} /devices/ {child-id} Annuler l'attribution à un équipement d'une balise spécifique.
POST /tags/ {id} /appareils/ {child id} Attribuez un tag spécifique à un équipement.

Détails de l'opération

GET /tags

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "id": 0,
    "mod_time": 0,
    "name": "string"
}
POST /tags

Spécifiez les paramètres suivants.

body: Objet
Appliquez les valeurs de propriété spécifiées à la nouvelle balise.
name: Corde
La valeur de chaîne de la balise.

Spécifiez le paramètre body au format JSON suivant.

{
    "name": "string"
}
GET /tags/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la balise.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "id": 0,
    "mod_time": 0,
    "name": "string"
}
DELETE /tags/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la balise.
PATCH /tags/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées à la balise.
id: Numéro
Identifiant unique de la balise.
GET /tags/{id}/devices

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de la balise.
POST /tags/{id}/devices

Spécifiez les paramètres suivants.

body: Objet
Listes d'identifiants uniques que l'équipement doit attribuer ou non.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique de la balise.
POST /tags/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'équipement.
id: Numéro
l'identifiant unique du tag.
DELETE /tags/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'équipement.
id: Numéro
Identifiant unique de la balise.

Collecte des menaces

La ressource Threat Collection vous permet de télécharger gratuitement et à des fins commerciales collections de menaces proposé par la communauté de sécurité à votre système Reveal (x).
  • Vous devez télécharger les collections de menaces individuellement sur votre appliance Command ou Reveal (x) 360, et sur toutes les personnes connectées capteurs.
  • Les collections de menaces personnalisées doivent être formatées dans le format STIX (Structured Threat Information Expression) sous forme de fichiers TAR.GZ. Reveal (x) prend actuellement en charge les versions 1.0 à 1.2 de STIX.
  • Vous pouvez directement télécharger des collections de menaces vers les systèmes Reveal (x) 360 pour une gestion autonome capteurs. Contactez le support ExtraHop pour télécharger une collecte des menaces sur ExtraHop Managed capteurs.
  • Le nombre maximum d'observables qu'une collecte des menaces peut contenir dépend de votre plate-forme et de votre licence. Contactez votre représentant ExtraHop pour plus d'informations.
Remarque :Cette rubrique s'applique uniquement à ExtraHop Reveal (x) Premium et Ultra.

Pour plus d'informations sur le téléchargement de fichiers STIX via le système ExtraHop, voir Téléchargez des fichiers STIX via l'API REST.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET/collections de menaces Récupérez toutes les collections de menaces.
POST /collections de menaces Créez une nouvelle collecte des menaces.
SUPPRIMER /threatcollections/ {id} Supprimez une collecte des menaces.
PUT /threatcollections/ {id} Téléchargez une nouvelle collecte des menaces. ExtraHop supporte actuellement les versions STIX 1.0 à 1.2.
Remarque :Si une collecte de menaces portant le même nom existe déjà sur le système ExtraHop, la collecte de menaces existante est remplacée.
OBTENEZ /threatcollections/ {id} /observables Récupérez le nombre d'observables STIX chargés à partir d'une collecte des menaces, tels que l' adresse IP, le nom d'hôte ou l'URI.

Détails de l'opération

GET /threatcollections

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "id": 0,
    "last_updated": 0,
    "name": "string",
    "observables": 0,
    "user_key": "string"
}
POST /threatcollections

Spécifiez les paramètres suivants.

user_key: Corde
(Facultatif) Identifiant fourni par l'utilisateur pour la collecte des menaces. Si ce paramètre n'est pas spécifié, le nom de la collecte des menaces est défini pour cette valeur, sans espaces ni ponctuation.
name: Corde
Nom de la collecte des menaces.
file: Nom du fichier
Le nom de fichier de la collecte des menaces.
PUT /threatcollections/~{userKey}

Spécifiez les paramètres suivants.

userKey: Corde
Identifiant fourni par l'utilisateur pour la collecte des menaces.
name: Corde
(Facultatif) Nom de la collecte des menaces.
file: Nom du fichier
(Facultatif) Nom du fichier pour la collecte des menaces.
DELETE /threatcollections/{id}

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique pour la collecte des menaces.
GET /threatcollections/{id}/observables

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique pour la collecte des menaces.

Gâchette

Les déclencheurs sont des scripts personnalisés qui exécutent une action sur un événement prédéfini.

Par exemple, vous pouvez écrire un déclencheur pour enregistrer une métrique personnalisée chaque fois qu'un HTTP une demande se produit ou classifie le trafic d'un serveur particulier en tant que serveur d'applications. Pour plus d'informations, consultez le Référence de l'API Trigger. Pour des notes de mise en œuvre supplémentaires concernant les options avancées, voir Options de déclencheur avancées.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /déclencheurs Récupérez tous les déclencheurs.
POST /déclencheurs Créez un nouveau déclencheur.
POST /déclencheurs/données externes Envoie des données à l'API Trigger en exécutant l'événement EXTERNAL_DATA. Vous pouvez accéder aux données par le biais du ExternalData classe de déclencheur.
Remarque :Cette opération n'est pas disponible pour les appareils Command ou Reveal (x) 360.
SUPPRIMER /triggers/ {id} Supprimez un identifiant spécifique.
OBTENIR /triggers/ {id} Récupérez un déclencheur spécifique par identifiant unique.
PATCH /triggers/ {id} Mettez à jour un déclencheur existant.
GET /triggers/ {id} /devicegroups Tout récupérer groupes d'équipements qui sont affectés à un déclencheur spécifique.
POST /triggers/ {id} /devicegroups Attribuez et annulez l'attribution d'un déclencheur spécifique à des groupes d'équipements.
SUPPRIMER /triggers/ {id} /devicegroups/ {child-id} Annuler l'attribution d'un groupe déquipements à un déclencheur spécifique.
POST /triggers/ {id} /devicegroups/ {child id} Assignez un groupe déquipements à un déclencheur spécifique.
GET /triggers/ {id} /appareils Récupérez tous les appareils assignés à un déclencheur spécifique.
POST /triggers/ {id} /appareils Attribuez et annulez l'attribution d'un déclencheur spécifique aux appareils.
SUPPRIMER /triggers/ {id} /devices/ {child-id} Annuler l'attribution d'un équipement à un déclencheur spécifique.
POST /triggers/ {id} /appareils/ {child id} Assignez un équipement à un déclencheur spécifique.

Détails de l'opération

GET /triggers

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "apply_all": true,
    "author": "string",
    "debug": true,
    "description": "string",
    "disabled": true,
    "event": "string",
    "events": [
        "string"
    ],
    "hints": {},
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "script": "string"
}
DELETE /triggers/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du déclencheur.
POST /triggers/externaldata

Spécifiez les paramètres suivants.

body: Objet
L'objet contenant les données à envoyer aux déclencheurs via l'événement EXTERNAL_DATA.
type: Corde
Identifiant de chaîne qui décrit les données contenues dans le paramètre body. Par exemple, vous pouvez spécifier « phantom-data » pour les données envoyées depuis la plateforme Phantom SOAR.
body: Objet
Les données à envoyer aux déclencheurs via l'événement EXTERNAL_DATA. Ces données sont accessibles dans le déclencheur avec la propriété « ExternalData.body ».

Spécifiez le paramètre body au format JSON suivant.

{
    "body": {},
    "type": "string"
}
POST /triggers

Spécifiez les paramètres suivants.

body: Objet
Les valeurs des propriétés du nouveau déclencheur.
name: Corde
Nom convivial du déclencheur.
description: Corde
(Facultatif) Description facultative du déclencheur.
author: Corde
Nom du créateur du déclencheur.
script: Corde
Le contenu JavaScript du déclencheur.
event: Corde
(Facultatif) Obsolète. Remplacé par le champ des événements.
events: Tableau de chaînes
La liste des événements sur lesquels le déclencheur s'exécute, exprimée sous forme de tableau JSON.
disabled: Booléen
Indique si le déclencheur peut s'exécuter.
debug: Booléen
Indique si les instructions de débogage sont imprimées pour le déclencheur.
apply_all: Booléen
Indique si le déclencheur s'applique à toutes les ressources pertinentes.
hints: Objet
Options basées sur les événements déclencheurs sélectionnés. Pour plus d'informations sur l'objet hints, consultez Guide de l'API REST.

Spécifiez le paramètre body au format JSON suivant.

{
    "apply_all": true,
    "author": "string",
    "debug": true,
    "description": "string",
    "disabled": true,
    "event": "string",
    "events": [
        "string"
    ],
    "hints": {},
    "name": "string",
    "script": "string"
}
PATCH /triggers/{id}

Spécifiez les paramètres suivants.

body: Objet
La valeur de la propriété est mise à jour pour le déclencheur.
id: Numéro
Identifiant unique du déclencheur.
GET /triggers/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du déclencheur.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "apply_all": true,
    "author": "string",
    "debug": true,
    "description": "string",
    "disabled": true,
    "event": "string",
    "events": [
        "string"
    ],
    "hints": {},
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "script": "string"
}
GET /triggers/{id}/devicegroups

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du déclencheur.
POST /triggers/{id}/devicegroups

Spécifiez les paramètres suivants.

body: Objet
Liste d'identifiants uniques pour les groupes d'équipements assignés ou non à un déclencheur.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique du déclencheur.
POST /triggers/{id}/devicegroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe déquipements.
id: Numéro
Identifiant unique du déclencheur.
DELETE /triggers/{id}/devicegroups/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique du groupe déquipements.
id: Numéro
Identifiant unique du déclencheur.
GET /triggers/{id}/devices

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du déclencheur.
POST /triggers/{id}/devices

Spécifiez les paramètres suivants.

body: Objet
Liste d'identifiants uniques pour les appareils assignés ou non à un déclencheur.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre body au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
id: Numéro
Identifiant unique du déclencheur.
POST /triggers/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'équipement.
id: Numéro
Identifiant unique du déclencheur.
DELETE /triggers/{id}/devices/{child-id}

Spécifiez les paramètres suivants.

child-id: Numéro
Identifiant unique de l'équipement.
id: Numéro
Identifiant unique du déclencheur.

Groupe d'utilisateurs

La ressource des groupes d'utilisateurs vous permet de gérer et de mettre à jour des groupes d'utilisateurs et leurs associations de partage de tableaux de bord.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /groupes d'utilisateurs Récupérez tous les groupes d'utilisateurs.
POST/groupes d'utilisateurs Créez un nouveau groupe d'utilisateurs.
SUPPRIMER /usergroups/ {id} Supprimez un groupe d'utilisateurs spécifique.
OBTENEZ /usergroups/ {id} Récupérez un groupe d'utilisateurs spécifique.
PATCH /usergroups/ {id} Mettez à jour un groupe d'utilisateurs spécifique.
SUPPRIMER /usergroups/ {id} /associations Supprimez toutes les associations de partage de tableau de bord avec un groupe d'utilisateurs spécifique.
GET /usergroups/ {id} /membres Récupérez tous les membres d'un groupe d'utilisateurs spécifique.
PATCH /usergroups/ {id} /membres Attribuez ou annulez l'attribution d'utilisateurs à un groupe d'utilisateurs.
PUT /usergroups/ {id} /membres Remplacez les attributions de groupes d'utilisateurs.

Détails de l'opération

GET /usergroups

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "display_name": "string",
    "enabled": true,
    "id": "string",
    "is_remote": true,
    "last_sync_time": 0,
    "name": "string",
    "rights": []
}
POST /usergroups

Spécifiez les paramètres suivants.

body: Objet
Les propriétés du groupe d'utilisateurs.
name: Corde
Nom du groupe d'utilisateurs.
enabled: Booléen
Indique si le groupe d'utilisateurs est activé.

Spécifiez le paramètre body au format JSON suivant.

{
    "enabled": true,
    "name": "string"
}
PATCH /usergroups/{id}

Spécifiez les paramètres suivants.

body: Objet
La valeur de la propriété est mise à jour pour le groupe d'utilisateurs spécifique.
id: Corde
Identifiant unique du groupe d'utilisateurs.
GET /usergroups/{id}

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du groupe d'utilisateurs.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "display_name": "string",
    "enabled": true,
    "id": "string",
    "is_remote": true,
    "last_sync_time": 0,
    "name": "string",
    "rights": []
}
DELETE /usergroups/{id}

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du groupe d'utilisateurs.
DELETE /usergroups/{id}/associations

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du groupe d'utilisateurs.
GET /usergroups/{id}/members

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du groupe d'utilisateurs.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "users": {}
}
PATCH /usergroups/{id}/members

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du groupe d'utilisateurs.
body: Corde
Objet qui indique les utilisateurs à attribuer ou à annuler. Chaque clé doit être un nom d'utilisateur et chaque valeur doit être « membre » ou nulle. Par exemple {"Alice » : « member », « Bob » : null} assigne Alice au groupe et retire Bob du groupe.
PUT /usergroups/{id}/members

Spécifiez les paramètres suivants.

id: Corde
Identifiant unique du groupe d'utilisateurs.
body: Corde
Objet qui indique quels utilisateurs sont affectés au groupe. Chaque clé doit être un nom d'utilisateur et chaque valeur doit être « membre ». Par exemple, {"Alice » : « member », « Bob » : « member"} assigne Alice et Bob comme seuls membres du groupe.

VLAN

Les réseaux locaux virtuels sont des groupements logiques de trafic ou de périphériques sur le réseau.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Fonctionnement Descriptif
GET /vlan Récupérez tous les VLAN
OBTENEZ /vlans/ {id} Récupérez un VLAN spécifique.
PATCH /vlans/ {id} Mettez à jour un VLAN spécifique.

Détails de l'opération

GET /vlans

Il n'existe aucun paramètre pour cette opération.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "network_id": 0,
    "node_id": 0,
    "vlanid": 0
}
GET /vlans/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique du VLAN.

Si la demande aboutit, le système ExtraHop renvoie un objet au format suivant.

{
    "description": "string",
    "id": 0,
    "mod_time": 0,
    "name": "string",
    "network_id": 0,
    "node_id": 0,
    "vlanid": 0
}
PATCH /vlans/{id}

Spécifiez les paramètres suivants.

body: Objet
Appliquez les mises à jour des valeurs de propriété spécifiées au VLAN.
id: Numéro
Identifiant unique du VLAN.

Liste de surveillance

Pour garantir qu'un actif, tel qu'un serveur important, une base de données ou un ordinateur portable, bénéficie de la garantie Analyse avancée, vous pouvez ajouter cet équipement à la liste de surveillance.

Conseil :Si vous souhaitez ajouter plusieurs appareils à la liste de surveillance, pensez à créer un groupe d' appareils, puis à donner la priorité à ce groupe pour Analyse avancée.

Voici quelques considérations importantes concernant la liste de surveillance :

  • La liste de surveillance s'applique uniquement à l'Analyse avancée.
  • La liste de surveillance peut contenir autant d'appareils que le permet la capacité d'Analyse avancée, qui est déterminée par votre licence.
  • Un équipement reste sur la liste de surveillance, qu'il soit inactif ou actif. Un équipement doit être actif pour que le système ExtraHop collecte les métriques d'Analyse avancée.

Pour plus d'informations sur l'Analyse avancée, voir Niveaux d'analyse.

Le tableau suivant présente toutes les opérations que vous pouvez effectuer sur cette ressource :

Opération Descriptif
SUPPRIMER /watchlist/device/ {id} Supprimer un équipement de la liste de surveillance.
POST /watchlist/device/ {id} Ajoutez un équipement à la liste de surveillance.
GET /watchliste/appareils Récupérez tous les appareils figurant dans la liste de surveillance.
POST/liste de surveillance/appareils Ajoutez ou supprimez des appareils de la liste de surveillance.

Détails de l'opération

GET /watchlist/devices

Il n'existe aucun paramètre pour cette opération.

POST /watchlist/device/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'équipement.
DELETE /watchlist/device/{id}

Spécifiez les paramètres suivants.

id: Numéro
Identifiant unique de l'équipement.
POST /watchlist/devices

Spécifiez les paramètres suivants.

assignments: Objet
Liste des appareils à ajouter ou à supprimer de la liste de surveillance.
assign: Tableau de nombres
Identifiants des ressources à attribuer
unassign: Tableau de nombres
Identifiants des ressources à annuler

Spécifiez le paramètre d'assignation au format JSON suivant.

{
    "assign": [],
    "unassign": []
}
Published 2023-11-07