Ansichten:
Server- und Workload Protection erstellt Regeln zum Eindringschutz, die Ihre Computer gegen CVEs absichern. Sie können die API verwenden, um festzustellen, welche Regel zum Eindringschutz gegen eine bestimmte CVE schützt, ob die Regel auf Ihre Computer angewendet wird und die Regel bei Bedarf anwenden.

Prozedur

  1. Verwenden Sie ein IntrusionPreventionRulesApi-Objekt, um die Regeln zum Eindringschutz über die Suche zu erhalten.
  2. Für jeden Computer ein IntrusionPreventionComputerExtension-Objekt erhalten und feststellen, ob die Regel auf den Computer angewendet wird.
  3. Für jeden anfälligen Computer bestimmen Sie die Richtlinie, die er verwendet, fügen Sie die Regel zur Richtlinie hinzu und aktualisieren Sie die Computer mit der Änderung.

Nächste Schritte

Beispiel: Finden Sie die Intrusion-Prevention-Regel für eine CVE Übergeordnetes Thema

Das folgende Beispiel sucht nach den Regeln zum Eindringschutz, die vor einer bestimmten CVE schützen. Objekte der Regeln zum Eindringschutz enthalten ein CVE-Feld, das die Namen der CVE enthält, auf die die Regel angewendet wird. Das CVE-Feld ist durchsuchbar, sodass Sie die Regeln für eine bestimmte CVE leicht finden können. Aus den Regeln, die durch die Suche zurückgegeben werden, erhalten Sie die Regel-IDs.
Weitere Informationen zur Suche finden Sie unter Suche nach Ressourcen.
Quelle anzeigen
# Set search criteria

search_criteria = api.SearchCriteria()
search_criteria.field_name = "CVE"
search_criteria.string_value = "%" + cve_id + "%"
search_criteria.string_test = "equal"

# Create a search filter
search_filter = api.SearchFilter()
search_filter.search_criteria = [search_criteria]

# Search for all intrusion prevention rules for the CVE

ip_rules_api = api.IntrusionPreventionRulesApi(api.ApiClient(configuration))
ip_rules_search_results = ip_rules_api.search_intrusion_prevention_rules(api_version, search_filter=search_filter)

# Get the intrusion prevention rule IDs for the CVE from the results
for rule in ip_rules_search_results.intrusion_prevention_rules:
    rule_id_s.append(rule.id)

return rule_id_s
Siehe auch die Suchoperation für Regeln zum Eindringschutz im API-Referenzhandbuch.

Beispiel: Finden Sie Computer, die nicht gegen eine CVE geschützt sind Übergeordnetes Thema

Das folgende Beispiel ermittelt, welche Computer in einer Liste keine Intrusion Prevention-Regel angewendet haben. Für jeden Computer werden die IDs der Regeln abgerufen, die dem Computer zugewiesen sind. Die zugewiesenen Regel-IDs werden mit der ID der Regel(n) verglichen, die gegen die CVE schützen.
Quelle anzeigen
unprotected_computers = []
for computer in computers_list.computers:
    computer_ip_list = computer.intrusion_prevention
    if computer_ip_list.rule_ids:
        if rule_id in computer_ip_list.rule_ids:
            unprotected_computers.append(computer)

return unprotected_computers
Siehe auch die Computer auflisten und Computer suchen Vorgänge im API-Referenz.

Beispiel: Fügen Sie Regeln zum Eindringschutz zu den Richtlinien der Computer hinzu Übergeordnetes Thema

Das folgende Beispiel fügt einer Richtlinie eine Regel zur Eindringungsverhinderung hinzu. Der Quellcode, auf dem dieses Beispiel basiert, bestimmt auch die Richtlinie, die den Computern zugewiesen ist. Sobald die Richtlinie gefunden wird, wird die Regel der Richtlinie zugewiesen, wenn sie nicht bereits zugewiesen ist. Es muss darauf geachtet werden, die bereits angewendeten Regeln beizubehalten.
Tipp
Tipp
Sie könnten die Regel alternativ direkt dem Computer zuweisen.
Quelle anzeigen
# Get the current list of rules from the policy
policies_api = api.PoliciesApi(api.ApiClient(configuration))
current_rules = policies_api.describe_policy(policy_id, api_version, overrides=False)

# Add the rule_id if it doesn't already exist in current_rules
if current_rules.intrusion_prevention.rule_ids == None:
    current_rules.intrusion_prevention.rule_ids = rule_id

elif rule_id not in current_rules.intrusion_prevention.rule_ids:
    current_rules.intrusion_prevention.rule_ids.append(rule_id)

# Add the new and existing intrusion prevention rules to a policy
intrusion_prevention_policy_extension = api.IntrusionPreventionPolicyExtension()
intrusion_prevention_policy_extension.rule_ids = current_rules.intrusion_prevention.rule_ids
policy = api.Policy()
policy.intrusion_prevention = intrusion_prevention_policy_extension
Siehe auch die Ändern einer Richtlinie-Operation im API-Referenzhandbuch. Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection