外部ツールからのハッシュのブロック

Pythonなどのスクリプト言語からREST APIを呼び出すことで、ESET Inspect On-Premで実行可能ファイルをブロックできます。まず、ユーザー名とパスワードを入力してESET Inspect Serverにログインする必要があります。これにより、トークンが取得されます。次に、ハッシュをブロックする関数を呼び出して、ハッシュとトークンを入力できます。以下は、両方のREST呼び出しの詳細です。

ログイン要求

方法“PUT”

URL: “[server_address]/FRONTEND/LOGIN”

本文フィールドがあるJSONオブジェクト:

"username"—文字列

"password"—文字列

応答:

応答ヘッダー「X-Security-Token」にはトークンが含まれます。

ハッシュの禁止要求

方法“PUT”

URL: “[server_address]/FRONTEND/HASHES/BLOCK”

本文フィールドがあるJSONオブジェクト:

"sha1"—ブロックされる実行ファイルの16進数形式のSHA1が含まれる文字列の配列(1つのハッシュが配列内にある必要があります)

"shouldClean"—実行ファイルを駆除する必要があるかどうかを示すブール値

"comment"—ESET Inspect On-Premのブロックされたハッシュリストに表示される文字列

ヘッダ

“Authorization”—文字列:“Bearer ” + トークン

Pythonの例:

インポート要求

# verify=False引数の要求を使用して警告を無効にする
requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning)

# 要求の応答を確認するヘルパー関数。例外を発生させる場合がある
def _check_response(res, error_message):
    if res.status_code != 200:
        message = "EI Server replied with: {0} ({1}).".format(res.status_code, res.reason)
        if error_message:
            message = "{0}. {1}".format(error_message, message)
        raise Exception(message)

def get_token(user, password, server_address, server_port):
    server = "https://{0}:{1}/".format(server_address, server_port)
    response = requests.put(server + "FRONTEND/LOGIN", verify=False,
                            json={"username": user, "password": password})
    _check_response(response, "Login failed")
    return {"server": server, "token": response.headers.get("X-Security-Token")}

def ban_hash(token, sha1, should_clean=True, comment=""):
    headers = {"Authorization":"Bearer {0}".format(token["token"])}
    response = requests.put(token["server"] + "FRONTEND/HASHES/BLOCK", headers=headers, verify=False,
                            json={"sha1": [sha1], "shouldClean": should_clean, "comment": comment})
    _check_response(response, "Ban hash failed")

token = get_token("More", "supersecretpassword", "localhost", 8889)
ban_hash(token, "1234567890abcdef1234567890abcdef12345678")

JavaScript example:

function getConnection() {
    var http = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
    // bypassing certificate error - set option WinHttpRequestOption_SslErrorIgnoreFlags(4)
    http.Option(4) = 0x1100;

    return http;
}

function checkResponse(res, errorMessage) {
    if (res.Status != 200) {
        var message = "EI Server replied with: " + res.Status + " (" + res.StatusText + ")."
        if (errorMessage) {
            message = errorMessage + ". " + message;
        }
        throw new Error(message);
    }
}

function banHash(token, sha1, shouldClean, comment) {
    var connection = getConnection();
    connection.Open("PUT", token.server + "FRONTEND/HASHES/BLOCK", false);

    connection.SetRequestHeader("Authorization", "Bearer " + token.token);

    var body = '{"sha1": ["' + sha1 + '"], "shouldClean": ' + shouldClean.toString() + ', "comment": "' + comment + '"}';
    connection.Send(body);

    checkResponse(connection, "Ban hash failed")
}

var token = getToken("More", "supersecretcode", "localhost", 8889);
banHash(token, "1234567890abcdef1234567890abcdef12345678", true, "")

˄˅