API Keys

Gerencie chaves de acesso para integracoes externas com a API do Defender360.

Visao Geral

API Keys permitem que sistemas externos acessem a API do Defender360 de forma segura e controlada.

Quando Usar

Cenario	API Key Recomendada
Integracoes de terceiros	Chave com escopo limitado
Automacoes internas	Chave com escopo especifico
Aplicacoes moveis	Chave por aplicacao
Webhooks de entrada	Chave para validacao
Testes de desenvolvimento	Chave temporaria

Criar API Key

Passo a Passo

Acesse Configuracoes > Integracoes > API Keys
Clique em Nova API Key
Preencha os campos:

Campo	Descricao	Obrigatorio
Nome	Identificador da chave	Sim
Descricao	Finalidade da chave	Nao
Escopos	Permissoes concedidas	Sim
Expiracao	Data de validade	Nao
IPs Permitidos	Whitelist de IPs	Nao
Rate Limit	Limite de requisicoes	Nao

Clique em Criar
Copie a chave imediatamente - ela nao sera exibida novamente

A API Key e exibida apenas uma vez apos a criacao. Se perder, sera necessario criar uma nova.

Escopos Disponiveis

Tickets

Escopo	Permissao
`tickets:read`	Listar e visualizar tickets
`tickets:write`	Criar e atualizar tickets
`tickets:delete`	Excluir tickets
`tickets:comment`	Adicionar comentarios
`tickets:assign`	Atribuir tickets

Usuarios

Escopo	Permissao
`users:read`	Listar e visualizar usuarios
`users:write`	Criar e atualizar usuarios
`users:delete`	Desativar usuarios

Clientes

Escopo	Permissao
`customers:read`	Listar e visualizar clientes
`customers:write`	Criar e atualizar clientes
`customers:assets`	Gerenciar ativos do cliente

CMDB

Escopo	Permissao
`cmdb:read`	Listar e visualizar CIs
`cmdb:write`	Criar e atualizar CIs
`cmdb:relationships`	Gerenciar relacionamentos

Outros

Escopo	Permissao
`knowledge:read`	Acessar base de conhecimento
`knowledge:write`	Criar/editar artigos
`reports:read`	Gerar relatorios
`webhooks:manage`	Gerenciar webhooks

Conceda apenas os escopos necessarios para a integracao funcionar. Evite escopos amplos como “admin” ou “full_access”.

Autenticacao

Header de Autorizacao

Use a API Key no header Authorization:


curl -X GET "https://api.defender360.com/v1/tickets" \
  -H "Authorization: Bearer YOUR_API_KEY" \
  -H "Content-Type: application/json"

Query Parameter (Nao Recomendado)

Alternativamente, pode ser passada como query parameter:


curl -X GET "https://api.defender360.com/v1/tickets?api_key=YOUR_API_KEY"

Passar a chave via URL expoe a credencial em logs de servidor e historico do navegador. Prefira sempre o header.

Rate Limiting

Limites Padrao

Tipo	Limite	Janela
Por Tenant	1000 req	1 minuto
Por API Key	60 req	1 minuto
Por Endpoint	Varia	1 minuto

Headers de Rate Limit

A API retorna headers informativos:


X-RateLimit-Limit: 60
X-RateLimit-Remaining: 45
X-RateLimit-Reset: 1620000000

Exceder o Limite

Ao exceder o limite, a API retorna:


{
  "error": "rate_limit_exceeded",
  "message": "Too many requests. Please wait before retrying.",
  "retry_after": 30
}

Status HTTP: 429 Too Many Requests

Configurar Limite Customizado

Para chaves que necessitam maior volume:

Edite a API Key
Na secao Rate Limit, ajuste o valor
Limite maximo configuravel: 10.000 req/min
Clique em Salvar

Restricao de IP

Configurar Whitelist

Limite o uso da chave a IPs especificos:

Edite a API Key
Na secao IPs Permitidos, adicione os IPs:


# IP unico
192.168.1.100

# Range CIDR
10.0.0.0/8

# Multiplos IPs
200.100.50.10
200.100.50.11

Clique em Salvar

Se sua aplicacao usa IP dinamico, considere usar um servico de IP fixo ou deixar a restricao vazia (menos seguro).

Rotacao de Chaves

Por Que Rotacionar

Funcionario que conhecia a chave saiu da empresa
Chave foi exposta acidentalmente
Politica de seguranca exige rotacao periodica
Integracao foi comprometida

Como Rotacionar

Crie uma nova API Key com os mesmos escopos
Atualize a integracao com a nova chave
Teste se a nova chave funciona
Revogue a chave antiga

Rotacao Automatica

Configure rotacao periodica:

Edite a API Key
Na secao Expiracao, defina a validade
Ative Notificar antes de expirar
Configure o periodo de aviso (ex: 7 dias)

Revogar API Key

Quando Revogar

Chave comprometida
Integracao desativada
Funcionario desligado
Teste finalizado

Como Revogar

Acesse a lista de API Keys
Localize a chave
Clique em Revogar
Confirme a acao

Revogar uma chave e imediato e permanente. A integracao que usa essa chave parara de funcionar instantaneamente.

Auditoria

Logs de Uso

Monitore o uso de cada API Key:

Clique na API Key
Acesse a aba Logs
Visualize:
- Requisicoes realizadas
- Endpoints acessados
- IPs de origem
- Status das respostas

Exportar Logs

Para auditoria externa:

Selecione o periodo
Clique em Exportar
Escolha o formato (CSV, JSON)
Baixe o arquivo

Erros Comuns

Boas Praticas

Gerenciamento de API Keys

Use nomes descritivos para identificar o uso

Conceda apenas escopos necessarios

Configure restricao de IP quando possivel

Defina data de expiracao

Rotacione chaves regularmente (minimo anual)

Armazene chaves em secrets managers

Nunca commite chaves em repositorios

Monitore logs de uso regularmente

Proximos Passos

Webhooks

Configure envio de eventos

Documentacao da API

Referencia completa de endpoints