ReversingLabs A1000 (预览版)
ReversingLabs A1000 恶意软件分析设备集成了 ReversingLabs MarkupCore 自动静态分析技术和TititiCloud 文件信誉服务数据库。 REST 服务 API 使分析师能够输入示例、访问解压缩的文件并查看提取的主动威胁指示器。 该平台对包括 Windows、Linux、Mac OS、iOS、Android、电子邮件附件、文档和固件在内的各种文件类型进行深入静态分析。
此连接器在以下产品和区域中可用:
| 服务 | Class | 区域 |
|---|---|---|
| Copilot Studio | 高级 | 除以下各项外的所有 Power Automate 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| 逻辑应用程序 | 标准 | 除以下各项外的所有 逻辑应用区域 : - Azure 政府区域 - Azure 中国区域 - 美国国防部(DoD) |
| Power Apps | 高级 | 除以下各项外的所有 Power Apps 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| Power Automate | 高级 | 除以下各项外的所有 Power Automate 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| 联系人 | |
|---|---|
| Name | ReversingLabs 支持 |
| URL | https://support.reversinglabs.com/ |
| support@reversinglabs.com |
| 连接器元数据 | |
|---|---|
| 发布者 | ReversingLabs |
| 网站 | https://www.reversinglabs.com/ |
| 隐私策略 | https://www.reversinglabs.com/privacy-policy |
| 类别 | 安全性 |
此连接器允许用户使用 ReversingLabs A1000 访问设备的 API 功能。 支持提交文件进行分析、检索结果和检查文件信誉等作。 有关 API 的详细信息,请参阅设备的 Web 界面中的 A1000 用户指南。
先决条件
若要使用此连接器,必须具有可从云访问的 A1000、A1000 设备的 URL 和 A1000 API 密钥。
如何获取凭据
使用 API 密钥对 A1000 API 进行身份验证。 此密钥可由具有对设备 Web 界面的管理访问权限的用户配置。 若要创建 API 密钥,请参阅 A1000 的 Web GUI 接口中的帮助文件。
连接器入门
若要开始使用 A1000 连接器,请首先配置新连接。 连接器配置将请求连接名称和 API 密钥值。 确保以格式 Token <apikey>输入 API 密钥值,其中 <apikey> 的实际 API 令牌是。
配置 API 连接后,请从可用作中进行选择并提供所需的输入。
常见错误和补救措施
- 403 错误:“未提供身份验证凭据。
- 确保已使用上述格式配置 API 连接。
FAQ
问题 1. 我应该等待提交分析的文件的结果多长时间?
- A1. 处理时间因设备负载、大小和文件复杂性而异。 最佳做法是创建睡眠和检查状态的循环。
问题 2. 在哪里可以找到有关 A1000 API 或任何其他 A1000 主题的文档?
- A2. A1000 界面中提供了完整的产品文档。 登录到 Web 界面后,单击右上角的“帮助”菜单。 接口。 登录到 Web 界面后,单击右上角的“帮助”菜单。
正在创建连接
连接器支持以下身份验证类型:
| 默认 | 用于创建连接的参数。 | 所有区域 | 不可共享 |
违约
适用:所有区域
用于创建连接的参数。
这是不可共享的连接。 如果 Power App 与另一个用户共享,系统会提示其他用户显式创建新连接。
| Name | 类型 | Description | 必选 |
|---|---|---|---|
| 标记 | securestring | A1000 令牌 | True |
| A1000 主机 URL | 字符串 | A1000 主机 URL (示例: https://a1000.reversinglabs.com) 。 如果未指定,则主机 URL 将默认为 https://a1000.reversinglabs.com。 |
限制
| 名称 | 调用 | 续订期 |
|---|---|---|
| 每个连接的 API 调用数 | 100 | 60 秒 |
操作
| 下载 PDF 报表 |
下载生成的 PDF 分析报告。 |
| 从 IP 地址检索文件列表 |
提供在提交的 IP 地址上找到的文件的哈希和分类列表。 |
| 创建 PDF 报表 |
创建 PDF 示例分析报告。 |
| 执行高级搜索 |
使用高级搜索功能搜索本地 A1000 实例和TitionCloud 上提供的示例。 |
| 提交用于分析的示例 |
提交示例,以便从本地目录或 URL 进行分析。 |
| 检查 PDF 报表创建状态 |
检查请求的 PDF 报表的创建状态。 |
| 检索 IP 地址上托管的 URL |
返回在提交的 IP 地址上托管的 URL 列表。 |
| 检索 IP 地址的信息 |
返回有关提供的 IP 地址的网络威胁情报。 |
| 检索 IP 地址解析 |
提供 IP 到域映射的列表。 |
| 检索 URL-s 的处理状态 |
检查提交的 URL-s 的状态。 |
| 检索 URL 的信息 |
返回有关提供的 URL 的网络威胁情报。 |
| 检索动态分析报告 |
为在 ReversingLabs 云沙盒中经过动态分析的示例创建和下载 PDF 或 HTLM 报表。 |
| 检索域的信息 |
返回有关提供的域的网络威胁情报。 |
| 检索摘要分析报告 |
检索本地示例的摘要分析报告。 |
| 检索文件的处理状态 |
检查提交的文件的状态。 |
| 检索示例的分类 |
检索示例的分类状态。 |
| 检索详细的分析报告 |
检索本地示例的详细分析报告。 |
| 检索静态分析报表 |
检索本地样本的Titicore 分析结果。 |
下载 PDF 报表
下载生成的 PDF 分析报告。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Hash
|
hash | True | string |
哈希字符串 |
从 IP 地址检索文件列表
提供在提交的 IP 地址上找到的文件的哈希和分类列表。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Ip
|
ip | True | string |
IP 地址字符串 |
|
页
|
page | string |
下一页结果的 SHA1 哈希, |
|
|
页面大小
|
page_size | integer |
每页结果数 |
|
|
延期
|
extended | boolean |
包括有关下载文件的其他信息。 |
|
|
Classification
|
classification | string |
仅返回具有此分类的示例 |
创建 PDF 报表
创建 PDF 示例分析报告。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Hash
|
hash | True | string |
哈希字符串 |
执行高级搜索
使用高级搜索功能搜索本地 A1000 实例和TitionCloud 上提供的示例。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
查询
|
query | string |
查询 |
|
|
页面
|
page | integer |
页码。 |
|
|
records_per_page
|
records_per_page | integer |
records_per_page |
|
|
排序
|
sort | string |
排序条件。 |
提交用于分析的示例
提交示例,以便从本地目录或 URL 进行分析。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
文件
|
file | file |
从文件提交示例。 必需但与“url”参数互斥。 |
|
|
网址
|
url | string |
从 URL 提交示例。 必需但与“file”参数互斥。 |
|
|
Filename
|
filename | string |
自定义文件名。 仅适用于“file”参数。 |
|
|
分析
|
analysis | string |
选择分析类型。 |
|
|
标记
|
tags | string |
设置自定义标记。 仅适用于“file”参数。 |
|
|
注释
|
comment | string |
设置自定义注释。 仅适用于“file”参数。 |
|
|
爬虫
|
crawler | string |
选择爬网程序类型。 仅适用于“url”参数。 |
|
|
存档密码
|
archive_password | string |
存档的密码。 |
|
|
RL 云沙盒平台
|
rl_cloud_sandbox_platform | string |
云沙盒平台。 |
检查 PDF 报表创建状态
检查请求的 PDF 报表的创建状态。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Hash
|
hash | True | string |
哈希字符串 |
检索 IP 地址上托管的 URL
返回在提交的 IP 地址上托管的 URL 列表。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Ip
|
ip | True | string |
IP 地址字符串 |
|
页
|
page | string |
结果下一页的 SHA1 哈希。 |
|
|
页面大小
|
page_size | integer |
每页结果数 |
检索 IP 地址的信息
返回有关提供的 IP 地址的网络威胁情报。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Ip
|
ip | True | string |
IP 地址字符串 |
检索 IP 地址解析
提供 IP 到域映射的列表。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Ip
|
ip | True | string |
IP 地址字符串 |
|
页
|
page | string |
结果下一页的 SHA1 哈希。 |
|
|
页面大小
|
page_size | integer |
每页结果数 |
检索 URL-s 的处理状态
检查提交的 URL-s 的状态。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Id
|
ID | True | integer |
URL 提交任务的标识号。 |
检索 URL 的信息
返回有关提供的 URL 的网络威胁情报。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
网址
|
url | True | string |
URL 字符串 |
检索动态分析报告
为在 ReversingLabs 云沙盒中经过动态分析的示例创建和下载 PDF 或 HTLM 报表。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
哈希值
|
hash_value | True | string |
哈希值必须是 SHA-1 字符串。 |
|
Format
|
format | True | string |
分析报表格式 |
|
端点
|
endpoint | True | string |
选择任务类型。 |
检索域的信息
返回有关提供的域的网络威胁情报。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
域名
|
domain | True | string |
域字符串 |
检索摘要分析报告
检索本地示例的摘要分析报告。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
hash_values
|
hash_values | True | array of string |
hash_values |
|
fields
|
fields | array of string |
有关“fields”参数中支持的值,请参阅 A1000 API 文档。 如果“include_networkthreatintelligence”参数设置为“true”,则必须在“fields”参数中包含“networkthreatintelligence”和“domainthreatintelligence”。 |
|
|
include_networkthreatintelligence
|
include_networkthreatintelligence | string |
小写字符串化布尔值。 有关“fields”参数中支持的值,请参阅 A1000 API 文档。 如果“include_networkthreatintelligence”参数设置为“true”,则必须在“fields”参数中包含“networkthreatintelligence”和“domainthreatintelligence”。 |
|
|
skip_reanalysis
|
skip_reanalysis | string |
小写字符串化布尔值。 |
检索文件的处理状态
检查提交的文件的状态。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
状态
|
status | string |
按其状态筛选哈希。 有关可用值,请参阅文档。 |
|
|
hash_values
|
hash_values | True | array of string |
hash_values |
检索示例的分类
检索示例的分类状态。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
哈希值
|
hash_value | True | string |
哈希字符串 |
|
Localonly
|
localonly | integer |
如果设置为 1,则请求将仅查找设备上的本地示例。 |
|
|
AV 扫描仪
|
av_scanners | integer |
在响应中包含 AV 扫描程序摘要信息。 |
检索详细的分析报告
检索本地示例的详细分析报告。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
hash_values
|
hash_values | True | array of string |
hash_values |
|
fields
|
fields | array of string |
将在报表中返回的字段。 有关“fields”参数中支持的值,请参阅 A1000 API 文档。 |
|
|
skip_reanalysis
|
skip_reanalysis | string |
小写字符串化布尔值 |
检索静态分析报表
检索本地样本的Titicore 分析结果。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
哈希值
|
hash_value | True | string |
哈希字符串 |
|
Fields
|
fields | array |
将在报表中返回的字段。 有关“fields”参数中支持的值,请参阅 A1000 API 文档。 |