Ansichten:
Empfohlene Scans identifizieren Eindringungsschutz, Integritätsüberwachung und Protokollinspektion Regeln, die Sie einem Computer oder einer Richtlinie zuweisen oder davon entfernen sollten. Die Anwendungsprogrammierschnittstelle (API) bietet Zugriff auf die Ergebnisse der empfohlenen Scans für diese Schutzmodule auf Computer- und Richtlinienebene über die folgenden Klassen:
  • ComputerIntrusionPreventionAssignmentsRecommendationsApi
  • ComputerIntegrityMonitoringAssignmentsRecommendationsApi
  • ComputerLogInspectionAssignmentsRecommendationsApi
  • PolicyIntrusionPreventionAssignmentsRecommendationsApi
  • PolicyIntegrityMonitoringAssignmentsRecommendationsApi
  • PolicyLogInspectionAssignmentsRecommendationsApi
Die Methoden und Funktionen dieser Klassen geben Objekte zurück, die die neuesten Empfehlungen und Informationen zum DURCHSUCHEN enthalten. Das folgende JSON stellt die Datenstruktur der zurückgegebenen Objekte dar:
{
    "assignedRuleIDs": [],
    "recommendationScanStatus": "valid",
    "lastRecommendationScanDate": "1562702362438",
    "recommendedToAssignRuleIDs": [],
    "recommendedToUnassignRuleIDs": []
}
Beim Ausführen von erweiterten Empfehlungsscans geben die folgenden API-Klassen leere Werte für recommendedToAssignRuleIDs und recommendedToUnassignRuleIDs zurück:
  • PolicyIntrusionPreventionAssignmentsRecommendationsApi
  • PolicyIntegrityMonitoringAssignmentsRecommendationsApi
  • PolicyLogInspectionAssignmentsRecommendationsApi
Wenn ein Empfehlungsscan ausgeführt wird, ermittelt er Empfehlungen für die Sicherheitsmodule Eindringungsschutz, Integritätsüberwachung und Protokollinspektion. Daher geben die Methoden und Funktionen von ComputerIntrusionPreventionAssignmentsRecommendationsApi, ComputerIntegrityMonitoringAssignmentsRecommendationsApi und ComputerLogInspectionAssignmentsRecommendationsApi denselben Wert für das Datum und den Status des letzten Scans zurück.
Beispielsweise können Sie eine Liste aller Computer in Ihrer Umgebung abrufen (Sie benötigen nur die ID, daher setzen Sie den expand-Parameter auf none, um die minimalen Informationen zurückzugeben):
expand = api.Expand(api.Expand.none)
computers_api = api.ComputersApi(api.ApiClient(configuration))
computers = computers_api.list_computers(api_version, expand=expand.list(), overrides=False)
Für jeden Computer die angewendeten Regeln und die Ergebnisse des empfohlenen DURCHSUCHENs abrufen:
computer_ips_assignments_recommendations_api = (
    api.ComputerIntrusionPreventionRuleAssignmentsRecommendationsApi(api.ApiClient(configuration)))
intrusion_prevention_assignments = (
    computer_ips_assignments_recommendations_api.list_intrusion_prevention_rule_ids_on_computer(
        computer.id,
        api_version,
        overrides=False)
Extrahieren Sie schließlich das Datum des letzten DURCHSUCHENs. Beachten Sie, dass, wenn kein Empfehlungsscan durchgeführt wurde, die Eigenschaft None ist:
reco_scan_info = list()
if intrusion_prevention_assignments.last_recommendation_scan_date is not None:
    d = datetime.datetime.utcfromtimestamp(intrusion_prevention_assignments.last_recommendation_scan_date/1000)
    reco_scan_info.append(d.strftime('%Y-%m-%d %H:%M:%S'))
else:
    reco_scan_info.append("No scan on record")
Um einen Empfehlungsscan mit der API durchzuführen, verwenden Sie geplante Aufgaben. Siehe auch die Liste der Intrusion Prevention Regel-IDs im API-Referenzhandbuch.

Bestimmen Sie, wann zuletzt ein Empfehlungsscan durchgeführt wurde Übergeordnetes Thema

Ermitteln Sie das Datum des letzten Empfehlungsdurchlaufs, um zu überprüfen, ob Ihre Computer kürzlich durchsucht wurden. Ein Computer könnte nicht durchsucht worden sein, wenn er beispielsweise offline ist, während ein Empfehlungsdurchlauf ausgeführt wird. Sie können ein Skript ausführen, das ermittelt, wann der letzte Durchlauf für jeden Computer in Ihrer Umgebung stattfand. Abhängig von den Ergebnissen können Sie sofort einen Empfehlungsdurchlauf starten.
Verwenden Sie die folgenden allgemeinen Schritte, um das Datum des letzten Empfehlungsscans für einen oder mehrere Computer zu erhalten:

Prozedur

  1. Erstellen Sie ein ComputersApi-Objekt, um die IDs der Computer zu überprüfen.
  2. Erstellen Sie ein ComputerIntrusionPreventionAssignmentsRecommendationsApi-Objekt und verwenden Sie es, um die Zuweisungen und Empfehlungen der Intrusion-Prevention-Regeln aufzulisten.
  3. Ermitteln Sie das Datum des letzten DURCHSUCHENs aus dem zurückgegebenen IntrusionPreventionAssignments-Objekt.

Beispiel: Abrufen des Datums des letzten Empfehlungsscans für alle Computer Übergeordnetes Thema

Das folgende Beispiel ruft eine Liste aller Computer ab und ermittelt das Datum und den Status des letzten Empfehlungsscans. Die Informationen, zusammen mit den Computernamen, werden im CSV-Format (Comma Separated Values) zurückgegeben, das als Tabellenkalkulation geöffnet werden kann.
Quelle anzeigen
# Include minimal information in the returned Computer objects
expand = api.Expand(api.Expand.none)

# Get the list of computers and iterate over it
computers_api = api.ComputersApi(api.ApiClient(configuration))
computers = computers_api.list_computers(api_version, expand=expand.list(), overrides=False)

computer_ips_assignments_recommendations_api = (
    api.ComputerIntrusionPreventionRuleAssignmentsRecommendationsApi(api.ApiClient(configuration)))

for computer in computers.computers:
    # Get the recommendation scan information
    intrusion_prevention_assignments = (
        computer_ips_assignments_recommendations_api.list_intrusion_prevention_rule_ids_on_computer(
            computer.id,
            api_version,
            overrides=False))
    reco_scan_info = list()

    # Computer name
    reco_scan_info.append(computer.host_name)

    # Scan date
    if intrusion_prevention_assignments.last_recommendation_scan_date is not None:
        d = datetime.datetime.utcfromtimestamp(intrusion_prevention_assignments.last_recommendation_scan_date/1000)
        reco_scan_info.append(d.strftime('%Y-%m-%d %H:%M:%S'))
    else:
        reco_scan_info.append("No scan on record")

    # Scan status
    reco_scan_info.append(intrusion_prevention_assignments.recommendation_scan_status)

    # Add to the CSV string
    csv += format_for_csv(reco_scan_info)

return csv

Empfehlungen anwenden Übergeordnetes Thema

Die API bietet Zugriff auf die Empfehlungsdurchsuchung-Ergebnisse für einen Computer für die Integritätsüberwachung, den Eindringungsschutz und die Protokollinspektion. Verwenden Sie ein ComputerIntrusionPreventionAssignmentsRecommendationsApi-Objekt, um ein IntrusionPreventionAssignments-Objekt für einen Computer zu erhalten. Das IntrusionPreventionAssignments-Objekt enthält und bietet Zugriff auf die Empfehlungen für diesen Computer:
  • Empfohlene Regeln zum Eindringschutz zum Zuweisen und Aufheben der Zuweisung
  • Suchstatus
  • Wann der letzte DURCHSUCHEN aufgetreten ist
Nachdem Sie die Regel-Empfehlungen erhalten haben, können Sie diese auf Computer-Richtlinien anwenden, wie im Beispiel Regeln zum Eindringschutz zu den Richtlinien von Computern hinzufügen veranschaulicht.
Wenn ein Empfehlungsscan nicht auf einem Computer durchgeführt wurde, gibt ComputerIntrusionPreventionAssignmentsRecommendationsApi null für Regel-IDs und das letzte Scan-Ereignis zurück.
Ähnliche Klassen werden für die Integritätsüberwachung und Protokollinspektion bereitgestellt:
  • Integritätsüberwachung
    • ComputerIntegrityMonitoringAssignmentsRecommendationsApi
    • IntegrityMonitoringAssignments
  • Protokollüberprüfung
    • ComputerLogInspectionAssignmentsRecommendationsApi
    • LogInspectionAssignments
Das folgende Beispiel erhält die Empfehlungen zur Eindringungsverhinderung für einen Computer.
Quelle anzeigen
ip_recommendations_api = api.ComputerIntrusionPreventionRuleAssignmentsRecommendationsApi(api.ApiClient(configuration))
ip_assignments = None

ip_assignments = ip_recommendations_api.list_intrusion_prevention_rule_ids_on_computer(computer_id, api_version, overrides=False)
return ip_assignments.recommended_to_assign_rule_ids
Siehe auch die Liste der Intrusion Prevention Regel-IDs im API-Referenzhandbuch. Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.