Перейти к основному содержимому
Версия: 4.6.X

Получение IoC из внешних источников (AMTIP)

Получение IoC из внешних источников (AMTIP)

Информацию об индикаторах компрометации предоставляют специализированные платформы, следящие за актуальностью данных о потенциальных киберугрозах. Одна из таких платформ — AM Threat Intelligence Portal (далее AMTIP).

Обновление данных происходит непрерывно в формате фидов (feeds). Информацию можно получать как через веб-интерфейс платформы, так и через API. Возможности предоставления индикаторов могут зависеть от тарифного плана.

Данная страница описывает работу с API AMTIP — конфигурацию подключения в плагинах KOMRAD см. в документации модулей enrich (тип ioc) и derive (тип ioc).

Авторизация

Для обращения к API требуется токен, который предоставляет доступ к эндпоинтам. Токен указывается в заголовке запроса:

Authorization: Token <ваш_токен>

Получить токен можно через личный кабинет после авторизации на платформе AMTIP.

Область действия токена

Доступ к каждому эндпоинту зависит от привилегий выданного токена. Один токен может не подходить для всех типов запросов.

Получение информации по IoC

Для получения данных об отдельном индикаторе компрометации используется двухэтапный процесс.

Шаг 1. Отправка запроса на поиск:

POST https://amtip.ru/api/v1/ioc/feeds

Тело запроса (JSON):

{
  "ioc": "95.167.167.96"
}

Ответ:

{
  "task_id": "<идентификатор задачи>"
}

Шаг 2. Получение результатов (после небольшой паузы):

GET https://amtip.ru/api/v1/ioc/<идентификатор_задачи>

Пример ответа:

{
  "request": {
    "ioc": "95.167.167.96"
  },
  "task": {
    "id": "d2826814-777b-4e2e-920b-85fff7c1cf78",
    "status": "ready"
  },
  "result": {
    "ioc": {
      "ioc": "95.167.167.96",
      "ioc_type": "ip"
    },
    "details": {
      "basic": {
        "network": "95.167.0.0/16",
        "asn": 12389,
        "as_owner": "Rostelecom"
      },
      "history": {
        "uploaded": "2025-01-16T08:49:23Z",
        "last_update": "2025-01-17T02:31:09Z",
        "valid_from": "2025-01-17T02:31:09Z",
        "valid_until": null
      }
    },
    "graph": {
      "// STIX-объект типа bundle"
    }
  }
}

Выгрузка за произвольный период

Шаг 1. Отправка запроса на экспорт:

POST https://amtip.ru/api/v1/ioc/export_iocs

Тело запроса (JSON):

{
  "start_interval": "2025-02-24T15:21:25.123Z",
  "end_interval": "2025-02-25T15:21:25.123Z",
  "ioc_types": ["ip", "url"],
  "malicious_level": "malicious"
}
ПараметрТипОписание
start_intervalstringНачало интервала — timestamp или строка ISO 8601
end_intervalstringКонец интервала — timestamp или строка ISO 8601
ioc_typesstring[]Типы запрашиваемых IoC: ip, url, hash, domain
malicious_levelstringУровень вредоносности: all, untrusted, malicious

Ответ:

{
  "task_id": "<идентификатор задачи>"
}

Шаг 2. Получение результатов:

GET https://amtip.ru/api/v1/ioc/export_iocs/<идентификатор_задачи>

Пример ответа:

{
  "request": {
    "start_interval": "2025-02-24T15:21:25.123000Z",
    "end_interval": "2025-02-25T15:21:25.123000Z",
    "ioc_types": ["url"],
    "malicious_level": "malicious"
  },
  "task": {
    "id": "19d615a2-b4cf-4572-bdc1-4f5ded6f87e5",
    "status": "ready"
  },
  "result": {
    "count": 1,
    "ioc_type": "url",
    "effective_input_data": {
      "start_interval": "2025-02-24T15:21:25.123000Z",
      "end_interval": "2025-02-25T15:21:25.123000Z",
      "malicious_level": "malicious",
      "ioc_types": ["url", "ip"]
    },
    "next_task_id": "",
    "iocs": [
      "// набор STIX-объектов типа bundle"
    ]
  }
}
Пагинация

Результаты разбиты на порции (до 100 IoC). Если поле next_task_id не пустое — выполните новый GET-запрос с этим идентификатором для получения следующей порции. Повторяйте до получения пустого next_task_id.

Примечания

  1. Доступ к эндпоинтам зависит от привилегий предоставленного токена.
  2. Время сбора информации может варьироваться, особенно при батч-выгрузке. GET-запросы могут возвращать код 202 со статусом задачи — повторите запрос позднее.
  3. На запросы действуют квоты (количество запросов в день, объём выгружаемых IoC). Квота расходуется только при успешном POST-запросе.
  4. Результат запроса по отдельному IoC хранится в течение суток по task_id.
  5. При батч-выгрузке данные удаляются с ресурса после успешного GET-запроса. Получить данные можно только однократно.

Примеры curl

Экспорт за определённый период

curl -X POST https://amtip.ru/api/v1/ioc/export_iocs/ \
  -H 'Content-Type: application/json' \
  -H 'Authorization: Token <API-token>' \
  -d '{"start_interval":1734016885,
       "end_interval":"2024-12-12T15:21:25.123Z",
       "ioc_types":["ip","hash"],
       "malicious_level":"all"}'

Получение готовых данных экспорта

curl -X GET \
  https://amtip.ru/api/v1/ioc/export_iocs/4cfb4774-4a88-4ba2-b3ac-c710087ad1c1/ \
  -H 'Authorization: Token <API-token>'

Получение информации по отдельному индикатору

curl -X POST https://amtip.ru/api/v1/ioc/feeds/ \
  -H 'Authorization: Token <API-token>' \
  -d ioc=95.167.167.96

Получение результата по индикатору

curl -X GET \
  https://amtip.ru/api/v1/ioc/4cfb4774-4a88-4ba2-b3ac-c710087ad1c1/ \
  -H 'Authorization: Token <API-token>'
Последнее обновление