Правила

Получение типов правил

Метод API GET /api/v1/rules/types используется для получения типов правил, метод вызывается без параметров.

Пример запроса

curl --location --request GET 'https://api.data.rt-solar.ru/api/v1/rules/types' \
--header 'Authorization: Bearer {JWT_TOKEN}'

Пример ответа

В ответе API будет предоставлен JSON, содержащий актуальный список типов правил.

[
    "WAF",
    "IDS",
    "YARA",
    "SIGMA"
]

Получение списка коллекций правил

Метод API GET /api/v1/rules/{type}/collections используется для получения списка коллекций правил определенного типа, вызывается без параметров, {type} передается в строке запроса.

Пример запроса

curl --location --request GET 'https://api.data.rt-solar.ru/api/v1/rules/ids/collections' \
--header 'Authorization: Bearer {JWT_TOKEN}'

Пример ответа

В ответе API будет предоставлен JSON, содержащий список коллекций правил в массиве элемента collections.

{
    "collections": [
        "suricata_trend",
        "suricata",
        "et_open_clear"
    ]
}

Получение списка файлов с правилами определенного типа и коллекции

Метод API GET /api/v1/rules/{type}/{collection}/history используется для получения списка версий файлов с правилами определенного типа и коллекции, {type} и {collection} передается в строке запроса.

Пример запроса

curl --location --request GET 'https://api.data.rt-solar.ru/api/v1/rules/ids/suricata_trend/history?limit=5' \
--header 'Authorization: Bearer {JWT_TOKEN}'

Параметы запроса

Параметры запроса метода API GET /api/v1/rules/{type}/{collection}/history:

№	Параметр	Тип данных	Обязательность	Описание
1	limit	int	нет	Ограничивает количество записей в ответе. Если параметр не передан, по умолчанию возвращается 5 записей.

Порядок записей в ответе отсортирован по убыванию.

Пример ответа

[
    {
        "created_at": 1753709694456495,
        "hash": "0d2d9e55e8bd981a8d8db0e411e9f5fd1236bb4f06be3a7b07eef507bde468a1",
        "type": "IDS"
    }
]

Описание ответа

В ответе API будет предоставлен массив объектов в формате JSON со следующими полями:

• created_at
• hash
• type

Получение файла по его хешу

Метод API GET /api/v1/rules/{type}/{collection}/{hash} используется для получения определенной версии файла с правилами по типу и коллекции по указанному хешу. Параметры {type}, {collection} и {hash} передаются в строке запроса.

Пример запроса

curl --location --request GET 'https://api.data.rt-solar.ru/api/v1/rules/ids/suricata_trend/0d2d9e55e8bd981a8d8db0e411e9f5fd1236bb4f06be3a7b07eef507bde468a1' \
--header 'Authorization: Bearer {JWT_TOKEN}'

Параметры запроса

Параметры, передаваемые в пути запроса метода API GET /api/v1/rules/{type}/{collection}/{hash}:

№	Параметр	Тип данных	Обязательность	Описание
1	hash	string	да	Хеш, по которому нужно вернуть файл
2	collection	string	да	Имя коллекции

Пример ответа

В ответе API будет предоставлен файл.

alert http $HOME_NET any -> $EXTERNAL_NET any (sid:19901770; rev:1; msg:"[4RAYS] MALWARE PumaBot";...)
alert http $HOME_NET any -> $EXTERNAL_NET any (sid:19901771; rev:1; msg:"[4RAYS] MALWARE PumaBot setActiveHost";...)
alert http $HOME_NET any -> $EXTERNAL_NET any (sid:19901772; rev:1; msg:"[4RAYS] MALWARE Possible Malicious Loader";../)
alert tls $EXTERNAL_NET any -> $HOME_NET any (sid:19901773; rev:1; msg:"[4RAYS] MALWARE Rhadamanthys TLS Cert";...)
alert http $EXTERNAL_NET any -> $HOME_NET any (sid:19901774; rev:1; msg:"[4RAYS] MALWARE Possible MintsLoader Script Inbound";...)
alert http $HOME_NET any -> $EXTERNAL_NET any (sid:19901775; rev:1; msg:"[4RAYS] MALWARE MintsLoader v1";...)
alert tcp-pkt $HOME_NET any -> $EXTERNAL_NET any (sid:19901776; rev:1; msg:"[4RAYS] MALWARE DiabloNet TCP data sending";...)
alert http $HOME_NET any -> $EXTERNAL_NET any (sid:19901777; rev:1; msg:"[4RAYS] MALWARE Possible AsyncRAT silent";...)
...

Получение последней версии файла в коллекции

Метод API GET /api/v1/rules/{type}/{collection}/latest используется для получения последней версии файла с правилами по типу и коллекции, type, collection передается в строке запроса.

Пример запроса

curl --location --request GET 'https://api.data.rt-solar.ru/api/v1/rules/yara/windows_trend/latest' \
--header 'Authorization: Bearer {JWT_TOKEN}'

Пример ответа

В ответе API будет предоставлен последний файл в коллекции.

/*
 * This file was generated with the help of yara-web,
 * that is developed by Solar 4RAYS
 * Timestamp database: 2025-07-10 08:18:16
 * Amount of yara rules: 50
 */
import "pe"

rule win_DarkWatchman_2a {
	meta:
		creation_date = "21.04.2025"
		description = "Detect DarkWatchman RAT RAR SFX"
		scan_target = "file"
		severity = "exact"
		hash = "..."
		hash = "..."
		hash = "..."
		magic_hash = "any"
		threat_name = "Win.Keylogger.DarkWatchman.2a"
		distributed_by = "4RAYS"
	strings:
		$s1 = ...
		$h1 = ...
	condition:
		uint16(0) == 0x5A4D and all of them
}

rule win_brocken_1door_loader_a {
	meta:
...