APIガイド
アラート GraphQL API
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新 をご覧ください。
Map
Float32
Node
フィールド
ID
説明 : ID スカラ型は一意の識別子を表し、オブジェクトの再取得やキャッシュのキーとしてよく使用されます。ID型はJSONレスポンスでは文字列として表示されますが、人間が読めることを意図していません。入力型として期待される場合、任意の文字列(例: "4")や整数(例: 4)の入力値がIDとして受け入れられます。
フィールド
フィールド
型
説明
引数
geoname_id Int
iso_code String
code String
confidence Int
Int
説明 : Int スカラ型は小数点を含まない符号付き整数値を表します。Intは -(2^31) から 2^31 - 1 までの値を表現できます。
String
説明 : String スカラ型はテキストデータを表し、UTF-8文字列として表現されます。String型はGraphQLで自由形式の人間が読めるテキストを表現するためによく使われます。
フィールド
フィールド
型
説明
引数
key String
values String
フィールド
フィールド
型
説明
引数
group_by AggregateAlertsBySeverityInput_GroupBy
limit Int
earliest TimestampInput
latest TimestampInput
excluded_severities AlertsSeverity
filter_custom_alerts Boolean
tenant_service_filters String
アラートをフィルタリングし、現在のテナントまたは特定のサービスが関連付けられた子テナントのみに限定します
Boolean
説明 : Boolean スカラ型は true または false を表します。
フィールド
フィールド
型
説明
引数
value Float
prioritizer String
version String
model_name String
model_version String
evidence String
applied_time TimestampInput
Float
説明 : Float スカラ型は IEEE 754 で規定された符号付き倍精度浮動小数点値を表します。
フィールド
フィールド
型
説明
引数
id String
version String
フィールド
フィールド
型
説明
引数
query String
Taegis XDR クエリ言語のクエリ
investigation_id String
genesis_alerts String
非推奨: 調査の起点となる特定のアラートをフラグ付けするために使用されていました。
alerts String
アラートIDのリスト
tenant String
フィールド
フィールド
型
説明
引数
query String
Taegis XDR クエリ言語のクエリ
resolution_status ResolutionStatus
reason String
caller CallerInformation
requested_at TimestampInput
user_id String
tenant String
フィールド
フィールド
型
説明
引数
entity String
label String
フィールド
フィールド
型
説明
引数
search_id String
フィールド
フィールド
フィールド
型
説明
引数
search_id String
part_id Int
非推奨: part idは各新しい呼び出しで自動的に進みます。必要ありません。
フィールド
フィールド
型
説明
引数
id String
user_id String
レガシーユーザーID
timestamp TimestampInput
status ResolutionStatus
reason String
num_alerts_affected Int
uuid_user_id String
プロバイダー非依存のユーザーID
フィールド
フィールド
型
説明
引数
ql_query String
Taegis クエリ言語 (QL) クエリ
tenant_service_filters String
指定されたサービスを持つテナントのアラートをフィルタリングします。
フィールド
フィールド
型
説明
引数
cql_query String
Taegis XDR クエリ言語のクエリ
offset Int
このオフセット + 要求されたlimitから返される結果セット。クエリの total_results が500で最後の100件が欲しい場合は offset:400 limit:100 を使用します
limit Int
結果セットの上限。注: 10000を超えるlimitは複数のパートに分割されます。追加のパートは search_id で取得できます。
search_id String
最後の検索レスポンスで返された次ページ参照。これが指定された場合、offsetとlimitは無視されます。大規模な結果セットのページネーションにはこの方法が推奨されます。より高速かつ一貫性があります。
metadata Map
呼び出し元が受信したクエリとともにメタデータを保存できます。
tenant_service_filters String
指定されたサービスを持つテナントのアラートをフィルタリングします。
フィールド
フィールド
型
説明
引数
id String
severity Float32
changed_at TimestampInput
フィールド
フィールド
型
説明
引数
seconds Int
エポック秒
nanos Int
エポックナノ秒
フィールド
フィールド
型
説明
引数
investigation_id String
genesis_alerts String
非推奨: 調査の起点となる特定のアラートをフラグ付けするために使用されていました。
alerts String
tenant String
operation InvestigationOperation
caller CallerInformation
requested_at TimestampInput
user_id String
レガシーユーザーID
uuid_user_id String
プロバイダー非依存のユーザーID
フィールド
フィールド
型
説明
引数
alert_ids String
resolution_status ResolutionStatus
reason String
caller CallerInformation
requested_at TimestampInput
user_id String
レガシーユーザーID
uuid_user_id String
プロバイダー非依存のユーザーID
tenant String
UpdateThreatScoreEntry
フィールド
フィールド
型
説明
引数
alert_id String
threat_score Float32
オプション。この1つのアラートのみ更新する脅威スコアを上書きします。
フィールド
フィールド
型
説明
引数
alert_ids UpdateThreatScoreEntry
threat_score Float32
指定したアラートに適用するデフォルトの脅威スコア
フィールド
フィールド
型
説明
引数
user_name String
フィールド
フィールド
型
説明
引数
total_attempts Int
successful_logon_attempts AuthScanLogonAttemptInput
failed_logon_attempts AuthScanLogonAttemptInput
フィールド
フィールド
型
説明
引数
target_user_name String
has_logon_success Boolean
num_attempts Int
フィールド
フィールド
型
説明
引数
win_event_id String
action String
domain String
target_username String
event_timestamp Int
resource_record_identifier String
フィールド
フィールド
型
説明
引数
num_auth_failures Int
num_auth_successes Int
last_successful_auth BruteForceAuthInput
most_recent_auths_failures BruteForceAuthInput
フィールド
フィールド
型
説明
引数
user String
source_address String
feature_name ImprobableLogonDetail_FeatureName
logon_anomaly LogonAnomalyInput
user_logon_baselines UserLogonBaselineInput
フィールド
フィールド
型
説明
引数
user String
user_baseline Int
user_avg_requests Float
user_max_requests Int
total_spns Int
suspicious_num_requests Int
percentage_accessed Float
spns_accessed String
source_address String
hostname String
フィールド
フィールド
型
説明
引数
feature_value String
feature_frequency_in_org Float
feature_frequency_in_user Float
approximate_count_in_user Int
min_allowed_user_percentage Float
min_allowed_org_percentage Float
フィールド
フィールド
型
説明
引数
list_name String
reason String
attacks String
フィールド
フィールド
型
説明
引数
target_user_name String
target_domain_name String
user_had_auth_success Boolean
フィールド
フィールド
型
説明
引数
source_address String
num_auth_failures Int
num_auth_successes Int
all_affected_users PasswordSprayAffectedUserInput
説明 : Tactic Graphs 検知器からの詳細情報。観測された戦術と、それが観測された関連イベントを含みます。
フィールド
フィールド
型
説明
引数
graph_id String
events KeyAndValuesInput
フィールド
フィールド
型
説明
引数
feature_value String
feature_frequency_in_org Float
feature_frequency_in_user Float
approximate_count_in_user Int
days_in_baseline Int
フィールド
フィールド
型
説明
引数
entity String
details MatchDetailsInput
GeoSummary
フィールド
フィールド
型
説明
引数
location GeoSummary_Location
city GeoSummary_City
continent GeoSummary_Continent
country GeoSummary_Country
asn GeoSummary_ASN
GeoSummary_ASN
フィールド
フィールド
型
説明
引数
autonomous_system_no Int
autonomous_system_org String
GeoSummary_City
フィールド
フィールド
型
説明
引数
geoname_id Int
locale_names KeyValuePairsIndexed
name String
confidence Int
GeoSummary_Continent
フィールド
フィールド
型
説明
引数
geoname_id Int
code String
GeoSummary_Country
フィールド
フィールド
型
説明
引数
geoname_id Int
iso_code String
code String
confidence Int
GeoSummary_Location
フィールド
フィールド
型
説明
引数
radius Int
latitude Float
longitude Float
us_metro_code Int
timezone String
gmt_offset Int
metro_code Int
KeyAndValues
フィールド
フィールド
型
説明
引数
key String
values String
KeyValuePairsIndexed
フィールド
フィールド
型
説明
引数
record KeyValueRecordIndexed
KeyValueRecordIndexed
フィールド
フィールド
型
説明
引数
key String
value String
AggregationKeys
フィールド
フィールド
型
説明
引数
key String
value String
AggregationResponse
フィールド
フィールド
型
説明
引数
key String
非推奨。代わりにkeysを使用してください
value Float
keys AggregationKeys
TenantV4
フィールド
Alert2
説明 : アラートのベーススキーマ。
フィールド
フィールド
型
説明
引数
id ID
group_key String
アラートグループキー
metadata AlertsMetadata
アラートメタデータ
visibility Visibility
attack_technique_ids String
攻撃手法IDのリスト
tenant_id String
アラートに関連付けられたテナントID
tenant TenantV4
アラートに関連付けられたテナント
parent_tenant_id String
このアラートに関連付けられたテナントの親テナントID
suppressed Boolean
このルールが抑止されたかどうか。TrueまたはFalse
suppression_rules AlertRuleReference
アラートに関連付けられた抑止ルール
alerting_rules AlertRuleReference
アラートに関連付けられたルール
status ResolutionStatus
アラートの解決ステータス
resolution_reason String
アラートの解決理由
resolution_history ResolutionMetadata
severity_history SeverityUpdate
tuning_history TuningUpdate
チューニング履歴には、チューニングルールのID、チューニングされたフィールド、およびその値が含まれます。
tags String
アラートに関連付けられたタグのリスト
sensor_types String
アラートに関連付けられたセンサータイプ
entities EntityRelationships
アラートに関連付けられたすべてのエンティティ
key_entities EntityMetadata
source_entities StructuredEntity
アラートに関連付けられたすべてのソースエンティティ
target_entities StructuredEntity
アラートに関連付けられたすべてのターゲットエンティティ
event_ids AuxiliaryEvent
アラートに関連付けられたすべてのイベントID
observation_ids Observation
アラートに関連付けられたすべての観測ID
investigation_ids Investigation
アラートに関連付けられたすべての調査ID
collection_ids Collection
enrichment_details EnrichmentDetail
特定の検知器が、なぜアラートが発生したかやアナリストがアラートをレビューするための情報など、追加のコンテキストを提供する場合があります。
third_party_details ThirdPartyDetail
アラートのサードパーティ詳細
reference_details ReferenceDetail
検知器またはWatchlistルールによって提供される詳細なアラート参照のリスト
priority AlertPriority
threat_score Float32
events_metadata AlertEventMetadata
AlertPriority
フィールド
フィールド
型
説明
引数
value Float
prioritizer String
version String
model_name String
model_version String
evidence String
applied_time Timestamp
説明 : AlertEventMetadataは、アラートに寄与したイベントに関するメタデータを含みます
フィールド
フィールド
型
説明
引数
updated_at Timestamp
このアラートイベントメタデータの更新タイムスタンプ
began_at Timestamp
アラートに寄与した最初のイベントのタイムスタンプ。metadata.began_atの代替
ended_at Timestamp
アラートに寄与した最新イベントのタイムスタンプ。metadata.ended_atの代替
first_event_id String
アラートに寄与した最初のevent_id
last_event_id String
アラートに寄与した最新のevent_id
total_events Int
アラートに寄与したイベントの総数
AlertRuleReference
フィールド
フィールド
型
説明
引数
id String
version String
AlertsAggregateResponse
フィールド
フィールド
型
説明
引数
aggregation AlertsAggregateResponse_AlertsAggregation
AlertsAggregateResponse_AlertsAggregation
フィールド
フィールド
型
説明
引数
key String
count Int
severities AlertsAggregateResponse_AlertsAggregation_Severity
AlertsAggregateResponse_AlertsAggregation_Severity
フィールド
フィールド
型
説明
引数
info Int
low Int
medium Int
high Int
critical Int
AlertsInvestigationInfo
フィールド
フィールド
型
説明
引数
alert_resource_id String
initial_access_vector_info InitialAccessVectorInfo
AlertsList
説明 : アラートのリストと関連するリクエストメタデータ。
フィールド
フィールド
型
説明
引数
list Alert2
アラート型のリスト
total_results Int
リクエストで利用可能な総結果数
next_offset Int
previous_offset Int
last_offset Int
first_offset Int
total_parts Int
結果セットの総パート数
part Int
返された結果セットのパート番号
group_by AggregationResponse
集計レスポンス。初期リクエストに集計が含まれていた場合
説明 : アラートのメタデータ情報
フィールド
フィールド
型
説明
引数
creator Creator
アラート作成者
engine Engine
アラートエンジン
severity Float32
アラートの重大度(0~1)
severity_updated_at Timestamp
confidence Float32
アラートの信頼度(0~1)
title String
アラートタイトル(最大1024文字、自動的に切り捨てられる場合あり)
full_title String
アラートタイトルが切り捨てられている場合は完全なタイトル。それ以外は空。
description String
アラートの説明
began_at Timestamp
アラートに関連する挙動が開始した時刻
ended_at Timestamp
アラートに関連する挙動が終了した時刻
created_at Timestamp
アラートが作成された時刻
inserted_at Timestamp
アラートがデータベースに挿入された時刻。created_at とほぼ同時刻のはずです
updated_at Timestamp
アラートが最後に更新された時刻(フィードバック、調査など)
first_seen_at Timestamp
アラートをトリガーしたイベントが最初に観測された時刻。特定の取り込みでデータソースから提供されたデータに基づき設定されます。
first_investigated_at Timestamp
アラートに初めて調査が関連付けられた時刻
first_resolved_at Timestamp
アラートが初めて解決された時刻
origin Origin
このアラートを生成したイベントの作成者
read_only Boolean
アラートが読み取り専用かどうか
AlertsResponse
フィールド
フィールド
型
説明
引数
status RPCResponseStatus
reason String
alerts AlertsList
search_id String
10,000件を超える検索結果の追加パートをリクエストするために使用できる検索ID
queryId String
このレスポンスを生成したクエリの検索システム内での一意識別子
AlertsCountByTenantResponseItem
フィールド
フィールド
型
説明
引数
count Int
このテナントのアラート数
tenant TenantV4
AlertsCountByTenantResponse
フィールド
フィールド
型
説明
引数
items AlertsCountByTenantResponseItem
各アイテムはテナントとそのアラート数を表します
BulkInvestigationsResponse
フィールド
フィールド
型
説明
引数
id String
reason String
status ResponseStatus
events String
assets String
access_vector_info AlertsInvestigationInfo
BulkResolutionResponse
フィールド
フィールド
型
説明
引数
reason String
resolution_status ResponseStatus
total_hits Int
total_done Int
total_failed Int
is_complete Boolean
CreateAlertsResponse
フィールド
フィールド
型
説明
引数
status RPCResponseStatus
iDs String
reason String
DeleteAlertsResponse
説明 : 内部型
フィールド
フィールド
型
説明
引数
status RPCResponseStatus
reason String
フィールド
フィールド
型
説明
引数
entity String
label String
Properties
StructuredEntity
フィールド
フィールド
型
説明
引数
id String
perspective EntityPerspective
identifiers String
properties Properties
EntityAuthDomain
フィールド
フィールド
型
説明
引数
property_type String
auth_domain String
EntityCertificate
フィールド
フィールド
型
説明
引数
property_type String
cert_issuer String
cert_serial_number String
cert_issuer_c String
cert_issuer_cn String
cert_issuer_e String
cert_issuer_l String
cert_issuer_o String
cert_issuer_order String
cert_issuer_ou String
cert_issuer_s String
cert_ja3 String
cert_ja3s String
cert_subject String
cert_subject_c String
cert_subject_cn String
cert_subject_e String
cert_subject_l String
cert_subject_o String
cert_subject_order String
cert_subject_ou String
cert_subject_s String
cert_valid_from String
cert_valid_through String
EntityCloudObject
フィールド
フィールド
型
説明
引数
property_type String
cloud_object_bucket String
cloud_object_key String
cloud_object_prefix String
EntityCloudResource
フィールド
フィールド
型
説明
引数
property_type String
cloud_resource_account_id String
cloud_resource_id String
cloud_resource_type String
EntityCloudUser
フィールド
フィールド
型
説明
引数
property_type String
cloud_user_id String
cloud_user_name String
cloud_user_type String
EntityDnsServer
フィールド
フィールド
型
説明
引数
property_type String
host_id String
ip_address String
ip_address_type String
ip_classification String
EntityDomainName
フィールド
フィールド
型
説明
引数
property_type String
domain_name String
EntityEmail
フィールド
フィールド
型
説明
引数
property_type String
email_message_id String
email_message_size Int
email_quarantine_reason String
reply_to_email_address String
vendor_alert_url String
vendor_email_spam_score Int
EntityEmailAddress
フィールド
フィールド
型
説明
引数
property_type String
email_address String
EntityFile
フィールド
フィールド
型
説明
引数
property_type String
file_name String
file_path String
host_id String
email_attachment_sandbox_status String
file_create_time Int
file_group_owner String
file_modified_time Int
file_owner String
file_size Int
file_type String
file_type_detected String
EntityFileHash
フィールド
フィールド
型
説明
引数
property_type String
hash_type String
hash_value String
EntityFunction
フィールド
フィールド
型
説明
引数
property_type String
function_name String
host_id String
EntityHost
フィールド
フィールド
型
説明
引数
property_type String
computer_name String
host_id String
hostname String
hostname_fqdn String
mac_address String
os String
os_arch String
vendor_agent_device_id String
vendor_agent_device_score Int
EntityIpAddress
フィールド
フィールド
型
説明
引数
property_type String
host_id String
ip_address String
asn Int
hostname String
ip_address_type String
ip_classification String
is_nat_ip Boolean
ip_geo_auto_system_org String
ip_geo_city_name String
ip_geo_continent_code String
ip_geo_country_code String
ip_geo_country_geoname_id Int
ip_geo_latitude Float
ip_geo_longitude Float
EntityProcess
フィールド
フィールド
型
説明
引数
property_type String
process_correlation_id String
process_id String
process_name String
process_uuid String
host_id String
process_create_time Int
process_image_path String
process_is_admin Boolean
EntityRegistryKey
フィールド
フィールド
型
説明
引数
property_type String
host_id String
registry_path String
EntityScheduledTask
フィールド
フィールド
型
説明
引数
property_type String
host_id String
task_name String
EntityScript
フィールド
フィールド
型
説明
引数
property_type String
hash_value String
host_id String
script_name String
interpreter String
is_truncated Boolean
EntityService
フィールド
フィールド
型
説明
引数
property_type String
host_id String
service_dll String
service_main String
service_name String
service_start_type Int
service_type Int
EntityTaskAction
フィールド
フィールド
型
説明
引数
property_type String
host_id String
task_action_id String
task_action_path String
task_action_args String
task_action_class_id String
task_action_type String
task_action_working_directory String
EntityUser
フィールド
フィールド
型
説明
引数
property_type String
auth_domain String
computer_name String
domain_name String
group String
host_id String
user_id String
user_name String
cloud_user_type String
original_user_name String
user_is_admin Boolean
EntityUrl
フィールド
フィールド
型
説明
引数
property_type String
full_url String
uri_scheme String
uri_host String
uri_path String
uri_query String
uri_fragment String
uri_port String
uri_userinfo String
EvictResponse
説明 : alertsServiceEvictミューテーションからのレスポンス。
フィールド
フィールド
型
説明
引数
status ResponseStatus
InitialAccessVectorInfo
フィールド
フィールド
型
説明
引数
created_at Timestamp
updated_at Timestamp
investigation_ids String
tenant_id String
name String
フィールド
フィールド
型
説明
引数
id String
user_id String
レガシーユーザーID
timestamp Timestamp
status ResolutionStatus
reason String
num_alerts_affected Int
uuid_user_id String
プロバイダー非依存のユーザーID
SeverityUpdate
フィールド
フィールド
型
説明
引数
id String
severity Float32
changed_at Timestamp
TuningUpdate
フィールド
フィールド
型
説明
引数
id String
field_name String
severity_value Float32
origin_value Origin
suppressed_value Boolean
changed_at Timestamp
Timestamp
フィールド
フィールド
型
説明
引数
seconds Int
nanos Int
UpdateInvestigationResponse
説明 : 内部型
フィールド
フィールド
型
説明
引数
id String
reason String
status ResponseStatus
events String
assets String
access_vector_info AlertsInvestigationInfo
UpdateResolutionResponse
説明 : alertsServiceUpdateResolutionInfoミューテーションのレスポンス。
フィールド
フィールド
型
説明
引数
reason String
resolution_status ResponseStatus
UpdateThreatScoreResponse
フィールド
フィールド
型
説明
引数
status ResponseStatus
AccountCompromiseDetectorDetail
フィールド
フィールド
型
説明
引数
user_name String
FileAnalysisDetail
フィールド
フィールド
型
説明
引数
matched_yara_rule MatchedYaraRule
MatchedYaraRule
フィールド
フィールド
型
説明
引数
rule_name String
rule_description String
classification String
confidence Float32
severity Float32
rule_created_date Timestamp
attack_technique_ids String
vid String
AuthScanDetail
フィールド
フィールド
型
説明
引数
total_attempts Int
成功または失敗したログインの合計
successful_logon_attempts AuthScanLogonAttempt
failed_logon_attempts AuthScanLogonAttempt
AuthScanLogonAttempt
フィールド
フィールド
型
説明
引数
target_user_name String
ログインを試みたユーザー
has_logon_success Boolean
非推奨。successful_logon_attemptsのリストを参照
num_attempts Int
ログイン試行回数
BruteForceAuth
フィールド
フィールド
型
説明
引数
win_event_id String
action String
domain String
target_username String
event_timestamp Int
resource_record_identifier String
BruteForceDetails
フィールド
フィールド
型
説明
引数
num_auth_failures Int
num_auth_successes Int
last_successful_auth BruteForceAuth
most_recent_auths_failures BruteForceAuth
BusinessEmailCompromiseDetail
フィールド
フィールド
型
説明
引数
source_address String
source_address_geo_summary GeoSummary
user_name String
CreationRule
フィールド
フィールド
型
説明
引数
rule_id String
version String
Creator
説明 : アラートを作成した検知器。
フィールド
フィールド
型
説明
引数
detector Detector
rule CreationRule
DDosIpAddressOccurrenceCount
フィールド
フィールド
型
説明
引数
ip_address String
count Int
DDosIpCount
フィールド
フィールド
型
説明
引数
date Timestamp
count Int
DDosSourceIpCountDetail
フィールド
フィールド
型
説明
引数
hour_partition String
検知器はこの時間内に発生した履歴ネットフローデータを比較します。
sensor_id String
ネットフローデータを提供するセンサーのID。
host_id String
エンドポイントホストID
event_observable_count Int
デバイスのネットワーク接続で現在の1時間内に観測された一意の送信元IP数。
event_observable_count_std_dev Float
一意の送信元IP数の現在値とベース平均値の比較。
baseline_observable_count_std_dev Float
このレポートデバイスの一意の送信元IP数のばらつき(標準偏差)。低い場合は一貫性が高く、高い場合は大きく変動します。
baseline_observable_count_mean Float
履歴データでこのデバイスに観測された一意の送信元IP数の1時間ごとの平均。
baseline_observable_count_median Int
履歴データでこのデバイスに観測された一意の送信元IP数の中央値。
baseline_num_days Int
このアラートで考慮された履歴日数。接続を報告しなかった日は含まれません。
analytic_observable_std_dev_threshold Float
標準偏差がこの値以上でなければアラートが発生しない最小値。
analytic_observable_min_count Int
アラートを発生させるために現在の1時間内で観測されるべき一意の送信元IPの最小数。
analytic_time_threshold Int
検知器がネットフローアクティビティを観測するための閾値時間。
historical_ip_counts DDosIpCount
1時間ごとの一意の送信元IP数の履歴。
top_destination_ips DDosIpAddressOccurrenceCount
発生回数順の宛先IP上位。
Detector
説明 : アラートに関連付けられた検知器の情報。
フィールド
フィールド
型
説明
引数
detector_id String
detector_name String
version String
DnsExfilEnrichment
フィールド
フィールド
型
説明
引数
num_queries Int
ホストによって行われたDNSリクエストの推定数。
Engine
説明 : アラートエンジン
フィールド
フィールド
型
説明
引数
name String
version String
EnrichmentDetail
説明 : 特定の検知器は、なぜアラートを生成したかの説明やアナリストがアラートをレビューするための情報など、追加のコンテキストを提供できます。
フィールド
フィールド
型
説明
引数
geo_ip GeographicIp
IPアドレスのジオロケーション。
whois WhoisSimple
ドメインのWHOIS情報。
dns_exfil DnsExfilEnrichment
不審なDNSアクティビティ検知器
ddos_source_ip DDosSourceIpCountDetail
DDoS送信元IPカウント検知器
login_failure LoginFailureDetail
ログイン失敗検知器
rare_program_rare_ip RareProgramRareIpDetail
Rare Program to Rare IP検知器
travel_features StolenCredsTravelFeatures
Stolen Credentials検知器 - トラベル機能(移動速度、移動距離など)
trust_features StolenCredsTrustFeatures
Stolen Credentials検知器 - 信頼機能(未知のASN、IPアドレス、国など)
tactic_graph_detail TacticGraphDetail
Tactic Graphs検知器
mitre_attack_info MitreAttackDetails
MITRE ATT&CK手法の詳細
watchlist_matches WatchlistMatches
IOC Watchlist検知器 - IP/ドメイン/ファイルハッシュ
kerberoasting Kerberoasting
Kerberoasting検知器
brute_force_detail BruteForceDetails
ブルートフォース詳細検知器
password_spray_detail PasswordSprayDetail
パスワードスプレー検知器
improbable_logon_detail ImprobableLogonDetail
アカウント侵害検知器 - ベースラインに基づく不可能なログオン
auth_scan_detail AuthScanDetail
Auth Scan検知器
hands_on_keyboard_details HandsOnKeyboardDetails
Hands On Keyboard検知器
business_email_compromise BusinessEmailCompromiseDetail
Business Email Compromise検知器
account_compromise_detector_detail AccountCompromiseDetectorDetail
file_analysis_detail FileAnalysisDetail
ファイル分析パイプライン
generic GenericDetail
汎用詳細オブジェクト。任意の検知器で提供可能ですが、外部ソースのアラートデータでよく使われます。
EntityRelationships
説明 : アラートに関連付けられたイベントから抽出されたエンティティリレーションシップのリスト。
フィールド
フィールド
型
説明
引数
entities String
エンティティのリスト。<type>:<value> 形式で表現されます。
relationships Relationship
アラートに関連付けられたイベントに基づくエンティティ間の関係。
GenericDetail
フィールド
フィールド
型
説明
引数
name String
このデータを提供する外部ソース。
generic KeyValuePairsIndexed
インデックス化されたキーと値のペア。
GeographicIp
説明 : IPアドレスのジオロケーションデータ。アラート生成時に設定されます。
フィールド
フィールド
型
説明
引数
ip_address String
latitude Float
IPアドレスの相対的な緯度。
longitude Float
IPアドレスの相対的な経度。
radius Float
ジオロケーションの緯度/経度からの精度半径内で正確。
geohash String
https://en.wikipedia.org/wiki/Geohash.
country_code_iso String
ジオロケーションの国ISOコード。
asn Int
IPアドレスの自律システム番号。
HandsOnKeyboardDetails
フィールド
フィールド
型
説明
引数
matched_process HandsOnKeyboardDetails_MatchedProcess
total_num_events Int
matched_num_events Int
num_admin_events Int
common_parent_image_path String
host_id String
username String
HandsOnKeyboardDetails_Commandline
フィールド
フィールド
型
説明
引数
commandline String
matched_features String
HandsOnKeyboardDetails_Image
フィールド
フィールド
型
説明
引数
image_path String
matched_features String
HandsOnKeyboardDetails_MatchedProcess
フィールド
フィールド
型
説明
引数
process_resource_id String
image HandsOnKeyboardDetails_Image
commandline HandsOnKeyboardDetails_Commandline
num_matched_features Int
event_time_sec Int
score Float
severity String
ImprobableLogonDetail
フィールド
フィールド
型
説明
引数
user String
source_address String
feature_name ImprobableLogonDetail_FeatureName
logon_anomaly LogonAnomaly
user_logon_baselines UserLogonBaseline
Kerberoasting
フィールド
フィールド
型
説明
引数
user String
Kerberoasting攻撃を行ったユーザー。このリクエストを実行したユーザー名です。
user_baseline Int
このユーザーが弱い暗号化(RC4など)のTGSリクエストを行った日数。
user_avg_requests Float
このユーザーがベースラインプロファイルで1日あたりに生成した弱い暗号化TGSリクエストの平均数。
user_max_requests Int
このユーザーがベースラインプロファイルで1日あたりに生成した弱い暗号化TGSリクエストの最大数。
total_spns Int
テナントの履歴データで見つかったService Principal Nameの総数。
suspicious_num_requests Int
このユーザーが行った弱い暗号化TGSリクエストの数。
percentage_accessed Float
疑わしいセッション中にアクセスされたテナント全体のService Principal Nameの割合。
spns_accessed String
疑わしいセッション中にアクセスされたService Principal Nameの正確なリスト。
source_address String
このIPアドレスから要求されたTGSサービスチケット。
hostname String
ユーザーの認証要求(4769コール)を検証するKerberos Key Distribution Center(KDC)。
LoginFailureDetail
フィールド
フィールド
型
説明
引数
host String
認証失敗を引き起こしているホスト。
user String
認証失敗が発生しているユーザー。
source_address String
認証試行が発信されている送信元IPアドレス。
target_address String
認証試行が送信されている宛先IPアドレス。
successful_auth_event String
成功した認証のサンプル参照ID。
failed_auth_event String
失敗した認証のサンプル参照ID。
LogonAnomaly
フィールド
フィールド
型
説明
引数
feature_value String
feature_frequency_in_org Float
feature_frequency_in_user Float
approximate_count_in_user Int
min_allowed_user_percentage Float
min_allowed_org_percentage Float
MatchDetails
フィールド
フィールド
型
説明
引数
list_name String
IOCリスト名
reason String
IOCリストの詳細。
attacks String
リストに関連付けられたMITRE ATT&CK手法。
MitreAttackDetails
説明 : アラートに関連付けられたMitre ATT&CK手法の詳細。
フィールド
フィールド
型
説明
引数
technique_id String
technique String
tactics String
type String
description String
platform String
system_requirements String
url String
data_sources String
defence_bypassed String
contributors String
version String
NetworkConnection
フィールド
フィールド
型
説明
引数
source_ip String
destination_ip String
PasswordSprayAffectedUser
フィールド
フィールド
型
説明
引数
target_user_name String
target_domain_name String
user_had_auth_success Boolean
PasswordSprayDetail
フィールド
フィールド
型
説明
引数
source_address String
認証試行を行っているIPアドレス。
num_auth_failures Int
観測された認証失敗の数。
num_auth_successes Int
観測された認証成功の数。
all_affected_users PasswordSprayAffectedUser
失敗または成功したログインを持つユーザー名のリスト。
RareProgramRareIpDetail
フィールド
フィールド
型
説明
引数
host String
観測されたプログラムと接続を実行しているホスト。
programs String
レアプログラムのリスト。
connections NetworkConnection
レアなネットワーク接続のリスト。ネットワーク接続はレアプログラムと明示的に関連付けられていません。
Reference
フィールド
フィールド
型
説明
引数
type String
url String
description String
ReferenceDetail
フィールド
フィールド
型
説明
引数
reference Reference
Relationship
説明 : アラートに含まれるエンティティ間の関係。
フィールド
フィールド
型
説明
引数
from_entity String
to_entity String
relationship String
type String
StolenCredsTravelFeatures
説明 : Stolen Credentials検知器のトラベル機能。
フィールド
フィールド
型
説明
引数
accurate_geo Boolean
ジオロケーションデータが正確と見なされる場合。
foreign_travel Boolean
この移動が国境を越えたかどうか。
long_distance_travel Boolean
長距離移動が発生したかどうか。
travel_hours Float
2つのログイン場所間で発生した移動時間(時間単位)。
travel_km_min Float
2点間の最小移動距離。ジオロケーションデータ(GeographicIp.radius)の精度半径を用いて計算。
travel_km_h_min Float
移動速度(km/h)。最小距離に基づく速度。ジオロケーションデータ(GeographicIp.radius)の精度半径を用いて計算。
travel_speed_impossible Boolean
移動速度が不可能かどうか。
username String
両方の場所からログインしたユーザー。
current_location GeographicIp
2番目のログイン場所。ユーザーが「到着」した場所。
prior_location GeographicIp
1番目のログイン場所。ユーザーが「出発」した場所。
StolenCredsTrustFeatures
説明 : Stolen Credentials検知器の信頼機能。アラートの優先度設定に使用されます。
フィールド
フィールド
型
説明
引数
network_unknown_asn Boolean
true の場合、このASNは全テナントで初めて観測されました。
network_unknown_ip Boolean
true の場合、このIPは全テナントで初めて観測されました。
user_unknown_ip Boolean
true の場合、このIPはこのユーザー名で初めて観測されました。
user_unknown_asn Boolean
true の場合、このASNはこのユーザー名で初めて観測されました。
prior_event_time_sec Int
最初のログインの時刻(秒単位)。
current_event_time_sec Int
2回目のログインの時刻(秒単位)。
prior_event_id String
最初のログインの参照ID。
current_event_id String
2回目のログインの参照ID。
username String
両方の場所からログインしたユーザー。
location GeographicIp
2回目のログインの地理的位置。
TacticGraphDetail
フィールド
フィールド
型
説明
引数
graph_id String
events KeyAndValues
ThirdPartyDetail
説明 : アラートの利用可能なサードパーティ詳細。
フィールド
フィールド
型
説明
引数
generic GenericDetail
UserLogonBaseline
フィールド
フィールド
型
説明
引数
feature_value String
feature_frequency_in_org Float
feature_frequency_in_user Float
approximate_count_in_user Int
days_in_baseline Int
ベースラインが確立された日数
WatchlistMatches
説明 : アラートを生成したWatchlistの詳細。
フィールド
フィールド
型
説明
引数
entity String
Indicator of Compromiseに一致したエンティティ。
details MatchDetails
IOC Watchlistの詳細。
WhoisSimple
説明 : ドメインWHOIS情報
フィールド
フィールド
型
説明
引数
domainName String
このドメインのWHOIS情報が取得されました。
registrarName String
contactEmail String
whoisServer String
nameServers String
createdDate String
updatedDate String
expiresDate String
standardRegCreatedDate String
standardRegUpdatedDate String
standardRegExpiresDate String
status String
Audit_auditUpdatedDate String
registrant_email String
registrant_name String
registrant_organization String
registrant_street1 String
registrant_street2 String
registrant_street3 String
registrant_street4 String
registrant_city String
registrant_state String
registrant_postalCode String
registrant_country String
registrant_fax String
registrant_faxExt String
registrant_telephone String
registrant_telephoneExt String
administrativeContact_email String
administrativeContact_name String
administrativeContact_organization String
administrativeContact_street1 String
administrativeContact_street2 String
administrativeContact_street3 String
administrativeContact_street4 String
administrativeContact_city String
administrativeContact_state String
administrativeContact_postalCode String
administrativeContact_country String
administrativeContact_fax String
administrativeContact_faxExt String
administrativeContact_telephone String
administrativeContact_telephoneExt String
reg_created_date_usec Int
reg_updated_date_usec Int
reg_expires_date_usec Int
説明 : AggregateAlertsBySeverityクエリでグループ化できるフィールド。
AlertsSeverity
説明 : アラート重大度レベルの列挙型。
説明 : 内部型
InvestigationOperation
説明 : 調査操作のタイプ。updateまたはdelete。
ResolutionStatus
説明 : アラート解決ステータスの列挙型。
ResponseStatus
説明 : アラート操作のステータス。
ImprobableLogonDetail_FeatureName
Origin
説明 : アラートの発生元
EntityPerspective
説明 : エンティティの視点
RPCResponseStatus
説明 : 内部型
Visibility
Mutation
フィールド
フィールド
型
説明
引数
alertsServiceUpdateInvestigationInfo UpdateInvestigationResponse
in: UpdateInvestigationRequestInput
alertsServiceUpdateResolutionInfo UpdateResolutionResponse
指定したアラートIDリストに対して解決を追加または既存の解決を修正します。
in: UpdateResolutionRequestInput
alertsServiceBulkInvestigationsProcessor BulkInvestigationsResponse
クエリまたはアラートIDリストを指定して、既存の調査にアラートを一括追加します。クエリが指定された場合、そのクエリに一致するすべてのアラートが調査に追加されます。
in: BulkInvestigationsRequestInput
alertsServiceEvict EvictResponse
非推奨: OKを返す以外の動作はありません。代替は不要です。
in: EvictRequestInput
alertsServiceUpdateThreatScore UpdateThreatScoreResponse
指定したアラートIDリストの脅威スコアを更新します。
in: UpdateThreatScoreRequestInput
Query
説明 : Taegis Alerts APIはGraphQLベースで、読み取り(Query)または書き込み(Mutation)操作が可能です。GraphQLクエリは値の読み取りや取得に使用されます。ミューテーションは値の書き込みや投稿に使用されます。レスポンスはJSON形式で提供されます。
フィールド
フィールド
型
説明
引数
alertsServiceRetrieveAlertsById AlertsResponse
アラートIDリストを指定して各アラートの詳細を取得します。
in: GetByIDRequestInput
alertsServiceRetrieveAlertsByHost AlertsResponse
ホストIDリストを指定して、それらのホストを含む各アラートの詳細を取得します。
in: GetByIDRequestInput
alertsServiceRetrieveAlertsByEntity AlertsResponse
エンティティリストを指定して、それらのエンティティを含む各アラートの詳細を取得します。
in: GetByIDRequestInput
alertsServiceRetrieveAlertsByGroupKey AlertsResponse
エンティティリストを指定して、group_keyを含む各アラートの詳細を取得します。サービスがアラートの重複排除を支援するために使用します。XDRのテナントが一般的に使用するものではありません。
in: GetByIDRequestInput
alertsCountByTenant AlertsCountByTenantResponse
テナントごとのアラート数を返します。CQLクエリが可能ですが、集計やパイプは無視されます。
in: AlertsCountByTenantInput
alertsServiceSearch AlertsResponse
クエリ言語を使用してアラートを検索します。これはTaegis XDRの詳細検索ページで提供されているクエリ言語と同じです。
in: SearchRequestInput
alertsServicePoll AlertsResponse
特定の search_id の結果をポーリングします。
in: PollRequestInput
alertsServiceAggregateAlertsBySeverity AlertsAggregateResponse
group_by パラメータ(ドメイン、Watchlist、ホスト名、検知器、ユーザー)に基づいてアラート重大度の集計を取得します。in: AggregateAlertsBySeverityInputInput
node Node
id: ID
Subscription
フィールド
フィールド
型
説明
引数
alertsServiceBulkResolutionProcessor BulkResolutionResponse
CQLクエリで選択された複数のアラートに対して解決を追加または既存の解決を修正します。
in: BulkResolutionRequestInput
AuxiliaryEvent
説明 : NautilusがRed Cloak TDR資産モデルを解決するために使用。
フィールド
Investigation
説明 : NautilusがRed Cloak TDR資産モデルを解決するために使用。
フィールド
フィールド
型
説明
引数
id ID
GenesisAlertsFlag String
Collection
説明 : NautilusがRed Cloak TDR資産モデルを解決するために使用。
フィールド
Observation
説明 : NautilusがRed Cloak TDR資産モデルを解決するために使用。
フィールド