Мок-сервер раздачи индикаторов компрометации

Мок-сервер раздачи IoC

Мок-сервер предназначен для тестирования функций обогащения событий индикаторами компрометации без необходимости подключения к внешним Threat Intelligence-платформам. Сервер полностью имитирует API платформы AMTIP в части обогащения единичными индикаторами.

Назначение

Используйте мок-сервер в тестовых и отладочных средах для проверки конфигурации модулей обогащения IoC без зависимости от внешних сервисов.

---

Отличия от рабочего API

• Мок-сервер не требует токена аутентификации в заголовке запроса.
• Обращение к серверу происходит по аналогичному принципу, что и к API AMTIP.

---

Получение данных об индикаторе

Процесс получения информации состоит из двух шагов.

Шаг 1. Отправка запроса на поиск индикатора:

POST http://<адрес_мок-сервера>:8080/api/v1/ioc/feeds

Тело запроса (JSON):

{
  "ioc": "872c132cff7da3de4513be67a1fc288a67ab46f9b14444647ec866943a9c36c3"
}

Ответ сервера:

{
  "id": "<идентификатор_задачи>"
}

Шаг 2. Получение результатов по идентификатору задачи:

GET http://<адрес_мок-сервера>:8080/api/v1/ioc/<идентификатор_задачи>

Ответ сервера:

{
  "request": {
    "ioc": "872c132cff7da3de4513be67a1fc288a67ab46f9b14444647ec866943a9c36c3"
  },
  "task": {
    "id": "<идентификатор_задачи>",
    "status": "ready"
  },
  "result": {
    "ioc": {
      "ioc": "872c132cff7da3de4513be67a1fc288a67ab46f9b14444647ec866943a9c36c3",
      "ioc_type": "hash"
    },
    "graph": {
      "id": "bundle--3af27f63-43bf-44e4-a812-2f5e16c083f9",
      "spec_version": "2.1",
      "type": "bundle",
      "objects": []
    }
  }
}

Описание полей ответа

Поле	Описание
request.ioc	Исходное значение индикатора из запроса
task.id	Уникальный идентификатор задачи
task.status	Статус задачи (ready — результат доступен)
result.ioc.ioc	Значение найденного индикатора
result.ioc.ioc_type	Тип индикатора (hash, ip, domain и др.)
result.graph	Граф связей в формате STIX 2.1 Bundle

---

Пример использования

Ниже приведен полный пример взаимодействия с мок-сервером через curl.

Отправка запроса на поиск:

curl -X POST http://ioc-provider-mock:8080/api/v1/ioc/feeds \
  -H 'Content-Type: application/json' \
  -d '{"ioc":"872c132cff7da3de4513be67a1fc288a67ab46f9b14444647ec866943a9c36c3"}'

Получение результатов (подставьте id из предыдущего ответа):

curl http://ioc-provider-mock:8080/api/v1/ioc/<идентификатор_задачи>