Investigations GraphQL API🔗
注意
Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
ノード🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID |
ID🔗
説明: ID スカラー型は一意の識別子を表し、オブジェクトの再取得やキャッシュのキーとしてよく使用されます。ID型はJSONレスポンスでは文字列として表示されますが、人間が読めることを意図していません。入力型として期待される場合、任意の文字列(例: "4")や整数(例: 4)の入力値がIDとして受け入れられます。
クエリ🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationV2 | InvestigationV2 | investigationV2は単一のケースを取得します。 | arguments: InvestigationV2Arguments |
| investigationsV2 | InvestigationsV2 | investigationsV2は指定された引数に一致するケースのリストを返します。 | arguments: InvestigationsV2Arguments |
| investigationRule | InvestigationRule | investigationRuleは自動ケースルールを取得します | arguments: InvestigationRuleArguments |
| investigationRules | InvestigationRules | investigationRulesは指定された引数に一致するケースルールのリストを返します。 | arguments: InvestigationRulesArguments |
| investigationTemplate | InvestigationTemplate | investigationTemplateは自動ケーステンプレートを取得します | arguments: InvestigationTemplateArguments |
| investigationTemplates | InvestigationTemplates | investigationTemplatesは指定された引数に一致するケーステンプレートのリストを返します。 | arguments: InvestigationTemplatesArguments |
| exportInvestigationResources | InvestigationResourceExport | exportInvestigationResourcesは自動ケースリソース(ルールとテンプレート)のYAML文字列表現を返します。 返された文字列はファイルに保存し、importInvestigationResourcesを使用してシステムに再インポートできます。 |
arguments: ExportInvestigationResourcesArguments |
| investigationV2Timeline | InvestigationV2Timeline | investigationV2Timelineはケースに関連するアラート、イベント、その他のアクションの順序を詳細に示すケースタイムラインを返します。 | arguments: InvestigationV2TimelineArguments |
| commentsV2 | CommentsV2 | commentsV2はケースのすべてのコメントを返します | arguments: CommentsV2Arguments |
| investigationV2Types | InvestigationV2Type | investigationV2Typesは、指定されたユーザーおよび現在のテナントのサービスレベルで利用可能なケースタイプを返します | |
| investigationV2Statuses | InvestigationV2Status | investigationStatusesは、指定されたユーザーおよび現在のテナントのサービスレベルで利用可能なケースステータスを返します | arguments: InvestigationV2StatusesArguments |
| investigationFileV2 | InvestigationFileV2 | investigationFileV2は、指定された引数に基づいてケースに添付された単一ファイルの詳細を返します。 結果には署名付きダウンロードURLも含まれます。 |
arguments: InvestigationFileV2Arguments |
| investigationFilesV2 | InvestigationFilesV2 | investigationFilesV2は、指定された引数に一致するすべてのファイルの詳細を返します。 返される各ファイルメタデータには署名付きダウンロードURLは含まれません。 |
arguments: InvestigationFilesV2Arguments |
| investigationsAggregation | InvestigationsAggregation | investigationsAggregationはケースのデータ集計を可能にします。 個別のケースやケースリストの取得には使用できず、集計データのみ取得可能です。 外部クライアントによる利用は推奨されず、Taegis UIからのみ呼び出すことを想定しています。 このエンドポイントの利用は推奨されません。予告なく変更される場合があります。 |
arguments: InvestigationsAggregationArguments |
InvestigationsAggregationArguments🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| cql | String | 集計対象データのクエリ |
String🔗
説明: String スカラー型はテキストデータを表し、UTF-8文字列として表現されます。String型はGraphQLで自由形式の人間が読めるテキストを表現する際によく使用されます。
InvestigationsAggregation🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| Aggregation | Map |
ミューテーション🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| createInvestigationV2 | InvestigationV2 | createInvestigationV2は指定された引数で新しいケースを作成します。 | input: CreateInvestigationInput |
| updateInvestigationV2 | InvestigationV2 | updateInvestigationV2は既存のケースを更新します。 これはPATCHスタイルのミューテーションで、入力で送信されたフィールドのみが更新されます。 |
input: UpdateInvestigationV2Input |
| addEvidenceToInvestigation | AddEvidenceToInvestigationResult | addEvidenceToInvestigationは既存のケースに証拠を追加します。 このミューテーションで追加された証拠はgenesis evidenceとはみなされません。 レスポンスには、サービスがケースに追加しようとする証拠が含まれます。 ケースへの証拠追加は非同期処理です。 通常はすぐに完了しますが、追加されたアラートやイベントは非同期ジョブが完全に完了するまで返されるケースに表示されない場合があります。 処理ステータスはケースタイプで確認でき、ジョブの状態を反映します。 ステータスが'SUCCESS'になるとバックグラウンドジョブが完了し、ケースをリクエストすると関連証拠が返されます。 他のジョブが処理中に証拠の追加・削除・更新(ケースのクローズ)を行うと、ジョブはキューに入ります。 ジョブは受信順に処理されます。 |
input: AddEvidenceToInvestigationInput |
| removeEvidenceFromInvestigation | RemoveEvidenceFromInvestigationResult | removeEvidenceFromInvestigationは既存のケースから証拠を削除します。 レスポンスには、サービスがケースから削除しようとする証拠が含まれます。 ケースからの証拠削除は非同期処理です。 通常はすぐに完了しますが、削除されたアラートやイベントは非同期ジョブが完全に完了するまでケースに残る場合があります。 処理ステータスはケースタイプで確認でき、ジョブの状態を反映します。 ステータスが'SUCCESS'になるとバックグラウンドジョブが完了し、リクエストしたケースには削除されなかった証拠のみが返されます。 他のジョブが処理中に証拠の追加・削除・更新(ケースのクローズ)を行うと、ジョブはキューに入ります。 ジョブは受信順に処理されます。 |
input: RemoveEvidenceFromInvestigationInput |
| closeInvestigation | InvestigationV2 | closeInvestigationは既存のケースをクローズします。 ケースにアラートが添付されている場合、alertsResolutionStatusフィールドが必須となり、指定されたステータスでアラートが解決されます。 ケースがクローズされると、クローズ状態の間は編集や証拠追加ができず、アーカイブのみ可能です。 クローズ後に変更が必要な場合は再オープンできます。 ケース内の証拠解決も非同期処理です。 通常はすぐに完了しますが、アラートの解決は非同期ジョブが完全に完了するまで更新されたステータスが反映されない場合があります。 処理ステータスはケースタイプで確認でき、ジョブの状態を反映します。 ステータスが'SUCCESS'になるとバックグラウンドジョブが完了し、アラートが更新されます。 他のジョブが処理中に証拠の追加・削除・更新(ケースのクローズ)を行うと、ジョブはキューに入ります。 ジョブは受信順に処理されます。 |
input: CloseInvestigationInput |
| createInvestigationRule | InvestigationRule | createInvestigationRuleは新しい自動ケースルールを作成するための入力を受け付けます。 | input: CreateInvestigationRuleInput |
| updateInvestigationRule | InvestigationRule | updateInvestigationRuleは既存の自動ケースルールを更新するための入力を受け付けます。 | input: UpdateInvestigationRuleInput |
| deleteInvestigationRule | InvestigationRule | deleteInvestigationRuleは既存のケースルールを削除します。 これは完全削除(ハードデリート)です。データは復元できません。 |
input: DeleteInvestigationRuleInput |
| createInvestigationTemplate | InvestigationTemplate | createInvestigationTemplateは新しい自動ケーステンプレートを作成するための入力を受け付けます。 | input: CreateInvestigationTemplateInput |
| updateInvestigationTemplate | InvestigationTemplate | updateInvestigationTemplateは既存の自動ケーステンプレートを更新するための入力を受け付けます。 | input: UpdateInvestigationTemplateInput |
| deleteInvestigationTemplate | InvestigationTemplate | deleteInvestigationTemplateは既存のケーステンプレートを削除します。 これは完全削除(ハードデリート)です。データは復元できません。 |
input: DeleteInvestigationTemplateInput |
| importInvestigationResources | InvestigationResource | importInvestigationResourcesはYAMLファイルからケースリソース(ルール・テンプレート)をインポートします。 入力YAML構造はexportInvestigationResourcesクエリでエクスポートされたYAML文字列から取得できます。 |
input: ImportInvestigationResourcesInput |
| addCommentToInvestigation | CommentV2 | addCommentToInvestigationは既存のケースにコメントを追加します。 | input: AddCommentToInvestigationInput |
| updateInvestigationComment | CommentV2 | updateInvestigationCommentはケースの既存コメントを更新します。 これはPATCHスタイルのミューテーションで、入力で送信されたフィールドのみが更新されます。 コメントを作成したユーザーのみが更新できます。 コメントの更新や新しい@メンションの追加は新たな通知をトリガーしますが、既に存在する@メンションには通知されません。 |
input: UpdateInvestigationCommentInput |
| deleteInvestigationComment | CommentV2 | deleteInvestigationCommentはケースから既存のコメントを削除します。 これは完全削除(ハードデリート)です。データは復元できません。 |
input: DeleteInvestigationCommentInput |
| archiveInvestigationV2 | InvestigationV2 | archiveInvestigationV2は既存のケースをアーカイブします。 クローズされたケースのみアーカイブ可能です。 クローズ要件導入前にアーカイブされたケースは、クローズ状態でなくてもアーカイブされている場合があります。 |
input: ArchiveInvestigationInput |
| unarchiveInvestigationV2 | InvestigationV2 | unarchiveInvestigationV2はアーカイブ済みのケースを復元します。 | input: UnarchiveInvestigationInput |
| archiveInvestigationsV2 | ArchivedInvestigations | archiveInvestigationsV2は既存のケースセットをアーカイブします。 クローズされたケースのみアーカイブ可能です。 レスポンスには正常にアーカイブされたケースのIDが含まれ、アーカイブできなかったケースについてはエラーを返しません。 |
input: ArchiveInvestigationsInput |
| unarchiveInvestigationsV2 | UnarchivedInvestigations | unarchiveInvestigationsV2はアーカイブ済みのケースセットを復元します。 レスポンスには正常に復元されたケースのIDが含まれ、復元できなかったケースについてはエラーを返しません。 |
input: UnarchiveInvestigationsInput |
| initInvestigationFileUpload | InvestigationFileUpload | initInvestigationFileUploadはケースへのファイルアップロードを初期化します。 レスポンスにはファイルをアップロードするための署名付きURLが含まれます。 |
input: InitInvestigationFileUploadInput |
| deleteInvestigationFile | InvestigationFileV2 | deleteInvestigationFileはケースから既存のファイルを削除します。 これは完全削除(ハードデリート)です。データは復元できません。 |
input: DeleteInvestigationFileInput |
CreateInvestigationInput🔗
説明: CreateInvestigationInputは新しいケース作成時に利用可能なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| type | InvestigationType | ケースをどのタイプでオープンするか タイプは現在のユーザーとテナントのサービスレベルで利用可能なものに制限されます。 |
|
| priority | Int | ケースの優先度。 1 - 低 2 - 中 3 - 高 4 - 重大 |
|
| title | String | ケースのタイトル。 最大256文字。超過分は切り捨てられます。 |
|
| tags | String | ケースのラベル付けに役立つタグ | |
| keyFindings | String | ケースの詳細を説明する主な発見事項 | |
| status | InvestigationStatus | ケースの状態を示すステータス ステータスは現在のユーザーとテナントで利用可能なものに制限されます。 クローズステータスはここでは設定できません。 |
|
| assigneeId | String | ケースに割り当てるユーザーのID。 割り当て先は有効なユーザー、クライアント、またはシステム内の@メンションである必要があります。 |
|
| alerts | String | ケースに添付するアラートIDのリスト。 ケース作成時に追加されたアラートはgenesis evidenceとみなされます。 |
|
| alertsSearchQuery | String | ケースにアラートを添付するために使用できるCQLクエリ。 最初の5万件のアラートのみがケースに添付されます。 検索クエリで追加されたアラートもgenesis evidenceとみなされます。 |
|
| events | String | ケースに添付するイベントIDのリスト。 ケース作成時に追加されたイベントはgenesis evidenceとみなされます。 |
|
| searchQueries | String | ケース作成時に使用する保存済み検索。 ここで追加された検索もgenesis evidenceとみなされます。 ここで追加された検索は証拠添付のために実行されず、ケースに保存済み検索を添付するためだけに使用されます。 |
|
| serviceDeskId | String | 3rdパーティのサービスデスクとケースをマッピングするID。 URLやその他の識別子で、ケースをサービスデスクチケットにリンクするために使用できます。 URL形式: サービスデスクチケットの完全なURLを指定し、追加パラメータ"id"をURLにエンコードしてください。 例: https://company.service-now.com//nav_to.do?uri=%2Fincident.do%3Fsys_id=3454676eadfedaf8e665370cbb350b&id=INC2345 |
|
| serviceDeskType | String | サービスデスクIDに関連付けるサービスデスクタイプ/識別子。例: SNOW, 4me 自由形式テキストで検証されません。 |
|
| ruleId | ID | ruleIdは内部I&R専用フィールドです。値を指定すると失敗や未定義の動作となる場合があります。 | |
| templateId | ID | templateIdは内部I&R専用フィールドです。値を指定すると失敗や未定義の動作となる場合があります。 |
Int🔗
説明: Int スカラー型は符号付き整数値を表します。Intは-(2^31)から2^31 - 1までの値を表現できます。
UpdateInvestigationV2Input🔗
説明: UpdateInvestigationV2Inputはケースの更新時に利用可能なフィールドを記述します。
指定されていないオプションフィールドは更新されません。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 更新対象のケースID | |
| type | InvestigationType | 更新後のケースタイプ。 タイプは現在のユーザーとテナントのサービスレベルで利用可能なものに制限されます。 |
|
| priority | Int | ケースの優先度を更新。 1 - 低 2 - 中 3 - 高 4 - 重大 |
|
| title | String | 更新後のケースタイトル | |
| tags | String | ケースのラベル付けに役立つタグ タグは加算されず、指定したタグで既存のタグが置き換えられます。 既存のタグを保持したい場合はtagsフィールドに含めてください。 tagsフィールドを送信しない(null)の場合はタグは更新されません。 |
|
| keyFindings | String | ケースの詳細を説明する主な発見事項 | |
| status | InvestigationStatus | ケースの状態を更新。 ステータスは現在のユーザーとテナントで利用可能なものに制限されます。 クローズ以外のステータスのみサポートされ、クローズはここでは更新できません。ケースはcloseInvestigationミューテーションでクローズする必要があります。 statusをAWAITING_ACTIONに設定しassignee idが変更された場合、引き継ぎがトリガーされ新しい担当者にメールが送信されます。 |
|
| assigneeId | String | ケースの担当ユーザーを更新。 担当者は有効なユーザー、クライアント、または@メンションである必要があります。 assignee idを更新しstatusをAWAITING_ACTIONに設定すると、assignee idが変更された場合に引き継ぎがトリガーされ新しい担当者にメールが送信されます。 |
|
| serviceDeskId | String | ケースにマッピングする3rdパーティサービスデスクのIDを更新。 URLやその他の識別子で、ケースをサービスデスクチケットにリンクするために使用できます。 URL形式: サービスデスクチケットの完全なURLを指定し、追加パラメータ"id"をURLにエンコードしてください。 例: https://company.service-now.com//nav_to.do?uri=%2Fincident.do%3Fsys_id=3454676eadfedaf8e665370cbb350b&id=INC2345 |
|
| serviceDeskType | String | サービスデスクIDに関連付けるサービスデスクタイプ/識別子を更新。例: SNOW, 4me 自由形式テキストで検証されません。 |
CloseInvestigationInput🔗
説明: CloseInvestigationInputはケースをクローズするために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ケースID | |
| status | InvestigationCloseStatus | ケースクローズステータス | |
| reason | String | クローズ理由の簡単な説明 | |
| alertsResolutionStatus | AlertResolutionStatus | ケースクローズ時にアラートへ設定するステータス。 アラートがあるケースでは必須、アラートがない場合は任意。 |
AlertResolutionStatus🔗
説明: アラート解決ステータスの列挙型。
AddEvidenceToInvestigationInput🔗
説明: AddAlertsToInvestigationInputは既存のケースに証拠を追加するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | ID | 証拠を追加するケースID | |
| alerts | String | ケースに添付するアラートIDのリスト | |
| alertsSearchQuery | String | ケースにアラートを追加するためのCQLクエリ | |
| events | String | ケースに添付するイベントIDのリスト | |
| searchQueries | String | ケースに添付する保存済み検索のリスト。 ケース作成時に追加された検索はgenesis evidenceとみなされます。 ここで追加された検索は証拠添付のために実行されず、ケースに保存済み検索を添付するためだけに使用されます。 |
RemoveEvidenceFromInvestigationInput🔗
説明: RemoveEvidenceFromInvestigationResultは既存のケースから証拠を削除するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | ID | ケースID | |
| alerts | String | ケースから削除するアラートIDのリスト | |
| events | String | ケースから削除するイベントIDのリスト | |
| assets | String | ケースから削除する資産IDのリスト | |
| searchQueries | String | ケースから削除する検索クエリのリスト |
DeleteInvestigationRuleInput🔗
説明: DeleteInvestigationRuleInputは既存のケースルールを削除するために利用可能なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 更新対象ルールのID |
ArchiveInvestigationInput🔗
説明: ArchiveInvestigationInputは既存のケースをアーカイブするためのフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | アーカイブ対象ケースのID |
UnarchiveInvestigationInput🔗
説明: UnarchiveInvestigationInputは既存のケースのアーカイブを解除するためのフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | アーカイブ解除対象ケースのID |
ArchiveInvestigationsInput🔗
説明: ArchiveInvestigationsInputは既存のケースを一括アーカイブするためのフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| ids | ID | アーカイブ対象ケースのIDリスト |
UnarchiveInvestigationsInput🔗
説明: UnarchiveInvestigationInputは既存のケースを一括でアーカイブ解除するためのフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| ids | ID | アーカイブ解除対象ケースのIDリスト |
ArchivedInvestigations🔗
説明: ArchivedInvestigationsはアーカイブされたケースセットを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| ids | ID | 正常にアーカイブされたケースのIDリスト |
UnarchivedInvestigations🔗
説明: UnarchivedInvestigationsはアーカイブ解除されたケースセットを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| ids | ID | 正常にアーカイブ解除されたケースのIDリスト |
InvestigationV2🔗
説明: InvestigationV2はTaegis XDRのケースを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ケースのID(一意) | |
| shortId | String | ケースの人間が読める識別子 Short idは順番通りに作成される保証はありませんが、通常は順番通りです。 |
|
| title | String | ケースのタイトル | |
| keyFindings | String | ケースの詳細を説明する主な発見事項 | |
| alertsEvidence | AlertEvidence | ケースに添付されたアラート証拠のリスト | |
| alertsEvidenceCount | Int | ケースに添付されたアラートの数 | |
| assetsEvidence | AssetEvidence | ケースに添付された資産証拠のリスト | |
| assetsEvidenceCount | Int | ケースに添付された資産の数 | |
| eventsEvidence | EventEvidence | ケースに添付されたイベント証拠のリスト | |
| eventsEvidenceCount | Int | ケースに添付されたイベントの数 | |
| searchQueriesEvidence | SearchQueryEvidence | ケースに添付された検索クエリ証拠のリスト | |
| searchQueriesEvidenceCount | Int | ケースに添付された検索クエリの数 | |
| priority | Int | ケースの優先度 | |
| type | InvestigationType | ケースのタイプ | |
| status | InvestigationStatus | ケースの現在のステータス | |
| tags | String | ケースのラベル付けに役立つタグ | |
| contributorIds | String | ケースに貢献したユーザーIDのリスト | |
| contributorSubjects | Subject | ケースに貢献したサブジェクトのフェデレーテッドリスト。 貢献者のユーザー情報取得に利用できます。 すべての貢献者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| assigneeId | String | ケースに割り当てられたユーザー、クライアント、グループのID | |
| assigneeSubject | Subject | assigneeSubjectは担当者のユーザー/クライアント情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 assignee idが@partnerメンションや@customerの場合は常にnil。 担当者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| tenantId | String | ケースが属するテナントのID | |
| tenant | TenantV4 | ケースのテナント情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 テナントがフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、テナントが他環境に移動など)。 |
|
| createdById | String | ケースを作成したユーザーのID | |
| createdBySubject | Subject | ケース作成者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 作成者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| createdAt | Time | ケース作成日時 ドラフト状態で作成後に昇格した場合はこのフィールドが更新されます。 |
|
| updatedById | String | ケースを最後に更新したユーザーのID | |
| updatedBySubject | Subject | ケースを最後に更新したユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 更新者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| updatedAt | Time | ケースが最後に更新された日時 | |
| archivedAt | Time | ケースがアーカイブされた日時 ケースがアーカイブされている場合のみ設定されます。 アーカイブ解除時はnilに戻ります。 |
|
| closeReason | String | ケースクローズ時にユーザーが入力した理由。 このフィールドは「クローズ」ステータスに到達したケースのみ設定されます。 |
|
| processingStatus | InvestigationProcessingStatus | processingStatusはケースで処理可能な各証拠タイプの現在のステータスを含みます | |
| commentsCount | InvestigationCommentsCount | commentsCountはケースのコメント数を含みます | |
| ruleId | ID | ケースを開いたルールのID。ルールでケースが開かれた場合のみ設定されます。 | |
| serviceDeskId | String | 3rdパーティサービスデスクとケースをマッピングするID。 このフィールドをパースしてidパラメータを取得し、その値を表示値として利用できます。 |
|
| serviceDeskType | String | サービスデスクIDに関連付けるタイプ/識別子。例: SNOW, 4me | |
| metrics | Metric | metricsはパートナーによって開かれ、従来のケースフローに従った場合のみ設定されるデータポイントを含みます。 | |
| isCreatedByPartner | Boolean | isCreatedByPartnerはケースが子テナントの親テナントによって作成されたかどうかを示します。 | |
| alerts | String | ||
| assets | String | ||
| events | String | ||
| contributorIDs | String | ||
| searchQueries | String | ||
| entitiesEvidence | EntityEvidence | ||
| entitiesEvidenceCount | Int | ||
| assignee | TDRUser | ||
| contributors | TDRUser | ||
| createdBy | TDRUser | ||
| updatedBy | TDRUser | ||
| metric | Metric |
Boolean🔗
説明: Boolean スカラー型は true または false を表します。
InvestigationsV2🔗
説明: InvestigationsV2はケース検索のページネーション結果を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigations | InvestigationV2 | 現在のページの検索条件に一致するケースのリスト | |
| totalCount | Int | 検索条件に一致するケースの総数 | |
| aggregatedCounts | AggregatedCounts | aggregatedCountsは指定クエリ全体のケース集計データ(件数)を含みます(ページネーション無視)。 このフィールドのリクエストはAPIレスポンスを遅くする場合があるため、必要な場合のみリクエストしてください。 データは元のリクエストで指定されたクエリに基づき集計されます。 |
|
| metrics | Metrics | metricsは指定クエリ全体のケース集計データを含みます(ページネーション無視)。 このフィールドのリクエストはAPIレスポンスを遅くする場合があるため、必要な場合のみリクエストしてください。 データは元のリクエストで指定されたクエリに基づき計算されます。 |
AggregatedCounts🔗
説明: AggregatedCountsはケースのさまざまなフィールドごとの集計件数データを含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| status | InvestigationStatusCount | ステータスごとのケース件数 | |
| type | InvestigationTypeCount | タイプごとのケース件数 | |
| priority | InvestigationPriorityCount | 優先度ごとのケース件数 | |
| tenant | InvestigationTenantCount | テナントごとのケース件数 | |
| assignee | InvestigationAssigneeCount | 担当者ごとのケース件数 | |
| creator | InvestigationCreatorCount | 作成者ごとのケース件数 | |
| archivedCount | Int | openCountはオープン状態のケース件数 |
InvestigationStatusCount🔗
説明: InvestigationStatusCountは指定ステータスのケース件数を含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| status | InvestigationStatus | ||
| count | Int |
InvestigationPriorityCount🔗
説明: InvestigationPriorityCountは指定優先度のケース件数を含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| priority | Int | ||
| count | Int |
InvestigationTypeCount🔗
説明: InvestigationTypeCountは指定タイプのケース件数を含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| type | InvestigationType | ||
| count | Int |
InvestigationTenantCount🔗
説明: InvestigationTenantCountは指定テナントのケース件数を含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| tenantId | String | ||
| count | Int | ||
| tenant | TenantV4 | 件数取得用のテナント情報フェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 テナントがフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、テナントが他環境に移動など)。 |
InvestigationCreatorCount🔗
説明: InvestigationCreatorCountは指定担当者のケース件数を含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| creatorId | String | ||
| subject | Subject | ||
| count | Int |
InvestigationAssigneeCount🔗
説明: InvestigationAssigneeCoundは指定作成者のケース件数を含みます
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| assigneeId | String | ||
| subject | Subject | ||
| count | Int |
Metric🔗
説明: Metricは個別ケースのメトリクスを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| draftCreatedAt | Time | ケースがドラフト状態で最初に作成されたタイムスタンプ。 設定されていない場合はドラフト状態になったことがありません。 |
|
| draftPromotedAt | Time | ケースがドラフトから他の状態に昇格したタイムスタンプ。 | |
| timeToDraftPromotion | Int | ケースがオープンされてからドラフトが昇格されるまでの秒数。 | |
| draftPromotedBy | String | ケースを昇格させたユーザーまたはクライアントのID。 | |
| handedOffAt | Time | パートナーがケースをお客様に通知したタイムスタンプ。 Secureworks/パートナーユーザーまたはクライアントがケースをアクション待ちに設定し、担当者がお客様の場合のみ設定されます。 |
|
| timeToHandOff | Int | ケースがオープンされてから引き継ぎが行われるまでの秒数。 ドラフトだった場合はドラフト昇格から引き継ぎまでの秒数。 Secureworks/パートナーユーザーまたはクライアントがケースをアクション待ちに設定し、担当者がお客様の場合のみ設定されます。 |
|
| handedOffBy | String | ケースを引き継いだユーザーまたはクライアントのID。 Secureworks/パートナーユーザーまたはクライアントがケースをアクション待ちに設定し、担当者がお客様の場合のみ設定されます。 |
|
| acknowledgedAt | Time | 引き継ぎ後、お客様(人間)がケースを最初に取得したタイムスタンプ。 引き継ぎがあった場合のみ設定されます。 |
|
| timeToAcknowledgement | Int | ケースが引き継がれてから人間によって確認されるまでの秒数。 引き継ぎがあった場合のみ設定されます。 |
|
| acknowledgedBy | String | ケースを確認したユーザー(人間)のID。 引き継ぎがあった場合のみ設定されます。 |
|
| resolvedAt | Time | 引き継ぎ後、お客様ユーザー/クライアントによってケースがクローズされたタイムスタンプ。 引き継ぎがあり、かつお客様ユーザー/クライアントによってクローズされた場合のみ設定されます。 |
|
| timeToResolution | Int | ケースが引き継がれてからクローズされるまでの秒数。 引き継ぎがあり、かつお客様ユーザー/クライアントによってクローズされた場合のみ設定されます。 |
|
| resolvedBy | String | ケースをクローズしたユーザーまたはクライアントのID。 引き継ぎがあり、かつお客様ユーザー/クライアントによってクローズされた場合のみ設定されます。 |
Metrics🔗
説明: Metricsはケースセットの集計メトリクスを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| meanTimeToHandoff | Int | 引き継ぎまでの平均時間(秒) | |
| meanTimeToAcknowledgement | Int | 確認までの平均時間(秒) | |
| meanTimeToResolution | Int | 解決までの平均時間(秒) | |
| meanTimeToDraftPromotion | Int | ドラフト昇格までの平均時間(秒) |
AddEvidenceToInvestigationResult🔗
説明: AddAlertsToInvestigationInputは既存のケースにアラートを追加するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | ID | 証拠を追加するケースID | |
| alerts | String | ケースに添付するアラートIDのリスト | |
| alertsSearchQuery | String | ケースにアラートを追加するためのCQLクエリ | |
| events | String | ケースに添付するイベントIDのリスト | |
| searchQueries | String | ケースに添付する保存済み検索のリスト。 ここで追加された検索は証拠添付のために実行されず、ケースに保存済み検索を添付するためだけに使用されます。 |
RemoveEvidenceFromInvestigationResult🔗
説明: RemoveEvidenceFromInvestigationResultは既存のケースから証拠を削除するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | ID | 証拠を削除するケースID | |
| alerts | String | ケースから削除するアラートIDのリスト | |
| events | String | ケースから削除するイベントIDのリスト | |
| assets | String | ケースから削除する資産IDのリスト | |
| searchQueries | String | ケースから削除する検索クエリのリスト |
InvestigationTemplate🔗
説明: InvestigationTemplateはケースを作成する際に利用する事前定義済みの属性セットを含みます。
テンプレートは新しいケースの作成や既存ケースへの適用に利用できます。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ケーステンプレートのID(一意) | |
| createdById | String | ケーステンプレートを作成したユーザーのID | |
| createdBySubject | Subject | createdBySubjectはテンプレート作成者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 作成者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| createdAt | Time | ケーステンプレート作成日時 | |
| updatedById | String | ケーステンプレートを最後に更新したユーザーのID | |
| updatedBySubject | Subject | updatedBySubjectはテンプレート最終更新者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 更新者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| updatedAt | Time | ケーステンプレート最終更新日時 | |
| tenantId | String | ケーステンプレートが属するテナントのID | |
| name | String | テンプレート名 | |
| title | String | テンプレートのタイトル - テンプレートを視覚的に表示する際、このフィールドが設定されていればnameではなくtitleを使用してください | |
| description | String | テンプレートの説明 | |
| tags | String | テンプレートのラベル付けに役立つタグ | |
| investigationType | String | ケースをどのタイプでオープンするか | |
| investigationPriority | String | ケースの優先度 | |
| investigationTitle | String | ケースのタイトル | |
| investigationTags | String | ケースのラベル付けに役立つタグ | |
| investigationKeyFindings | String | investigationKeyFindingsはケースの詳細を説明するために利用できるcelテンプレート | |
| investigationKeyFindingsPrompts | String | investigationKeyFindingsPromptsはOpenAIの応答に基づきケースの詳細を説明するために利用できるcelテンプレートのセット | |
| investigationAssignee | String | ケースに割り当てるユーザー | |
| investigationAssigneeSubject | Subject | investigationAssigneeSubjectはテンプレート担当者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 担当者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| investigationStatus | String | ケースの初期ステータス | |
| createdBy | TDRUser | ||
| updatedBy | TDRUser | ||
| investigationAssigneeUser | TDRUser |
InvestigationTemplates🔗
説明: InvestigationTemplatesはケーステンプレート検索のページネーション結果を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| templates | InvestigationTemplate | 現在のページの検索条件に一致するテンプレートのリスト | |
| totalCount | Int | 検索条件に一致するテンプレートの総数 |
CreateInvestigationTemplateInput🔗
説明: CreateInvestigationTemplateInputは新しいケーステンプレート作成時に利用するフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| name | String | 作成するテンプレート名。 英字、数字、アンダースコアのみ使用可能。 一度設定すると変更できません。 |
|
| title | String | ルールのタイトル - 後で変更可能。 | |
| description | String | テンプレートの説明 | |
| tags | String | テンプレートのラベル付けに役立つタグ | |
| investigationType | String | ケースをどのタイプでオープンするか CELによるテンプレート化をサポートするため型enumではなくString型を使用。最終的な値は有効なInvestigationTypeである必要があります。 |
|
| investigationPriority | String | ケースの優先度 CELによるテンプレート化をサポートするためintではなくString型を使用。最終的な値は有効な(1-4)のIntである必要があります。 |
|
| investigationTitle | String | ケースのタイトル | |
| investigationTags | String | ケースのラベル付けに役立つタグ | |
| investigationKeyFindings | String | investigationKeyFindingsはケースの詳細を説明するために利用できるCELテンプレート | |
| investigationKeyFindingsPrompts | String | investigationKeyFindingsPromptsはOpenAIの応答に基づきケースの詳細を説明するために利用できるCELテンプレートのセット | |
| investigationAssignee | String | ケースに割り当てるユーザー | |
| investigationStatus | String | ケースの初期ステータス。 CELによるテンプレート化をサポートするためstatus enumではなくString型を使用。最終的な値は有効なInvestigationStatusである必要があります。 |
UpdateInvestigationTemplateInput🔗
説明: UpdateInvestigationTemplateInputは既存のケーステンプレート更新時に利用するフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 更新対象テンプレートのID | |
| title | String | 更新後のテンプレートタイトル | |
| description | String | 更新後のテンプレート説明 | |
| tags | String | テンプレートのラベル付けに役立つタグ。 タグは加算されず、指定したタグで既存のタグが置き換えられます。 既存のタグを保持したい場合はtagsフィールドに含めてください。 tagsフィールドを送信しない(null)の場合はタグは更新されません。 |
|
| investigationType | String | ケースをどのタイプでオープンするか CELによるテンプレート化をサポートするため型enumではなくString型を使用。最終的な値は有効なInvestigationTypeである必要があります。 |
|
| investigationPriority | String | ケースの優先度 CELによるテンプレート化をサポートするためintではなくString型を使用。最終的な値は有効な(1-4)のIntである必要があります。 |
|
| investigationTitle | String | ケースのタイトル | |
| investigationTags | String | ケースのラベル付けに役立つタグ | |
| investigationKeyFindings | String | investigationKeyFindingsはケースの詳細を説明するために利用できるCELテンプレート | |
| investigationKeyFindingsPrompts | String | investigationKeyFindingsPromptsはOpenAIの応答に基づきケースの詳細を説明するために利用できるCELテンプレートのセット | |
| investigationAssignee | String | ケースに割り当てるユーザー | |
| investigationStatus | String | ケースの初期ステータス。 CELによるテンプレート化をサポートするためstatus enumではなくString型を使用。最終的な値は有効なInvestigationStatusである必要があります。 |
DeleteInvestigationTemplateInput🔗
説明: DeleteInvestigationTemplateInputは既存のケーステンプレートを削除するために利用可能なフィールドを定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 削除対象テンプレートのID |
InvestigationV2Arguments🔗
説明: InvestigationV2Argumentsはケース検索のパラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID |
InvestigationsV2Arguments🔗
説明: InvestigationsV2Argumentsはケース検索のパラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| cql | String | ケース検索用のcql文字列 | |
| page | Int | 返す結果のページ番号(1から開始) | |
| perPage | Int | 1ページあたりの結果数(最大100) | |
| tenantServiceFilters | String | 検索対象のテナントサービスラベル | |
| orderBy | PaginationOrder | ||
| searchChildrenTenants | Boolean |
InvestigationTemplateArguments🔗
説明: InvestigationTemplateArgumentsはケーステンプレート検索のパラメータを記述します。
idとnameはどちらもテンプレートの一意識別子です。
いずれか一方は必須で、両方指定した場合は両方一致するテンプレートのみ検索されます。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ||
| name | String |
InvestigationTemplatesArguments🔗
説明: InvestigationTemplatesArgumentsはケーステンプレート検索のパラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| cql | String | テンプレート検索用のcql文字列 | |
| page | Int | 返す結果のページ番号(1から開始) | |
| perPage | Int | 1ページあたりの結果数(最大100) | |
| name | String | ||
| tags | String |
ExportInvestigationResourcesArguments🔗
説明: ExportInvestigationResourcesResultはケースリソース(ルール/テンプレート)エクスポートに必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| arguments | ExportInvestigationResourcesArgument |
ExportInvestigationResourcesArgument🔗
説明: ExportInvestigationResourcesArgumentはケースリソース(ルール/テンプレート)検索・エクスポートのパラメータを記述します。
idとnameはどちらもテンプレートの一意識別子です。
いずれか一方は必須で、両方指定した場合は両方一致するテンプレートのみ検索されます。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ||
| name | String | ||
| type | InvestigationResourceType | エクスポート対象リソースのタイプ |
InvestigationRule🔗
説明: InvestigationRuleは自動ケースルールの設定を含みます。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ルールのID(一意) | |
| createdById | String | ルール作成者のID | |
| createdBySubject | Subject | createdBySubjectはルール作成者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 作成者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| createdAt | Time | ルール作成日時 | |
| updatedById | String | ルール最終更新者のID | |
| updatedBySubject | Subject | updatedBySubjectはルール最終更新者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 更新者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| updatedAt | Time | ルール最終更新日時 | |
| tenantId | String | ルールが属するテナントのID | |
| name | String | ルール名 | |
| title | String | ルールのタイトル - 視覚的に表示する際、このフィールドが設定されていればnameではなくtitleを使用してください | |
| description | String | ルールの説明 | |
| tags | String | ルールのラベル付けに役立つタグ | |
| type | InvestigationRuleType | ルールのタイプ。アラート評価方法を決定します | |
| order | Int | ルール評価順序。 数値が小さいほど早く評価されます。 ルールのフィルターが一致し適用された場合、他のルールの適用は停止します。 |
|
| state | InvestigationRuleState | ルールの処理動作を定義します | |
| filter | String | QL式で表現されたアラートフィルター | |
| appendFilter | String | 追加時と作成時で異なるアラート制約(例: より広範囲)を定義できるオプションフィルター | |
| appendComment | String | 既存の非ドラフトケースにアラートが追加された際に展開されるオプションコメント | |
| groupBy | String | 追加の一致アラートを既存ケースに追加するためのオプショングループ化句 | |
| groupCount | Int | group by句の一致数を指定するオプション | |
| groupDuration | String | 一致するケースがクローズされた後もアラートグループ化を継続する期間(<int>[d|h|m|s]形式の文字列) |
|
| groupExtendOnAppend | Boolean | 新たに追加されたアラートでグループ化に使用するエンティティ/属性セットを拡張するかどうかのオプションフラグ。デフォルトはfalse | |
| searchQueries | String | 新規ケース作成時に追加アラートやイベントを投入するためのオプション検索クエリ | |
| searchWindow | String | genesisアラートからの期間を指定するオプション検索ウィンドウ | |
| tenantFilter | String | 有効サービスやルール定義と同一テナントなどの属性でテナントをフィルタリングする設定 | |
| skipAlertPrioritization | Boolean | アラート評価時に優先度ダウングレードチェックをスキップする設定 | |
| template | InvestigationTemplate | ケース内容を定義するテンプレート | |
| comment | String | ||
| excludeChildTenants | Boolean | ||
| createdBy | TDRUser | ||
| updatedBy | TDRUser |
CreateInvestigationRuleInput🔗
説明: CreateInvestigationRuleInputは新しいケースルール作成時に利用するフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| name | String | 作成するルール名。 英字、数字、アンダースコアのみ使用可能。 一度設定すると変更できません。 |
|
| title | String | ルールのタイトル - 後で変更可能。 | |
| description | String | ルールの説明 | |
| tags | String | ルールのラベル付けに役立つタグ | |
| type | InvestigationRuleType | ルールのタイプ。アラート評価方法を決定します | |
| order | Int | ルール評価順序。 重複するorder値は許可されません。重複orderでルールを追加すると、希望位置に挿入され、それ以降のルールorderが1つずつ繰り上がります。 |
|
| state | InvestigationRuleState | ルールの処理動作を定義します | |
| filter | String | QL/CEL式で表現されたアラートマッチ用フィルター | |
| appendFilter | String | 追加時と作成時で異なるアラート制約(例: より広範囲)を定義できるオプションフィルター | |
| appendComment | String | 既存の非ドラフトケースにアラートが追加された際に展開されるオプションコメント | |
| groupBy | String | オープン状態の既存ケースに追加の一致アラートを追加するためのgroupBy句 | |
| groupCount | Int | groupBy句の一致数を指定するオプション | |
| groupDuration | String | 一致するケースがクローズされた後もアラートグループ化を継続する期間(<int>[h|m|s]形式の文字列) |
|
| groupExtendOnAppend | Boolean | 新たに追加されたアラートでグループ化に使用するエンティティ/属性セットを拡張するかどうかのオプションフラグ。デフォルトはfalse | |
| searchQueries | String | 新規ケース作成時に追加アラートやイベントを投入するためのオプションCQL式リスト | |
| searchWindow | String | genesisアラートからの期間を指定するオプション検索ウィンドウ | |
| tenantFilter | String | 有効サービスやルール定義と同一テナントなどの属性でテナントをフィルタリングする設定 | |
| skipAlertPrioritization | Boolean | アラート評価時に優先度ダウングレードチェックをスキップする設定 | |
| templateId | ID | 新規ケース作成時にルールが使用するテンプレートのID | |
| responseData | JSONObject | プレイブック用のルール固有のコンテキスト/設定 |
UpdateInvestigationRuleInput🔗
説明: UpdateInvestigationRuleInputは既存のケースルール更新時に利用可能なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 更新対象ルールのID | |
| title | String | ルールのタイトル(変更しても視覚的な表現のみに影響) | |
| description | String | ルールの説明 | |
| tags | String | ルールのラベル付けに役立つタグ。 タグは加算されず、指定したタグで既存のタグが置き換えられます。 既存のタグを保持したい場合はtagsフィールドに含めてください。 tagsフィールドを送信しない(null)の場合はタグは更新されません。 |
|
| order | Int | ルール評価順序。 重複するorder値は許可されません。重複orderでルールを追加すると、希望位置に挿入され、それ以降のルールorderが1つずつ繰り上がります。 |
|
| state | InvestigationRuleState | ルールの処理動作を定義します | |
| filter | String | QL/CEL式で表現されたアラートマッチ用フィルター | |
| appendFilter | String | 追加時と作成時で異なるアラート制約(例: より広範囲)を定義できるオプションフィルター | |
| appendComment | String | 既存の非ドラフトケースにアラートが追加された際に展開されるオプションコメント | |
| groupBy | String | オープン状態の既存ケースに追加の一致アラートを追加するためのgroupBy句 | |
| groupCount | Int | groupBy句の一致数を指定するオプション | |
| groupDuration | String | 一致するケースがクローズされた後もアラートグループ化を継続する期間(<int>[h|m|s]形式の文字列) |
|
| groupExtendOnAppend | Boolean | 新たに追加されたアラートでグループ化に使用するエンティティ/属性セットを拡張するかどうかのオプションフラグ。デフォルトはfalse | |
| searchQueries | String | 新規ケース作成時に追加アラートやイベントを投入するためのオプションCQL式リスト | |
| searchWindow | String | genesisアラートからの期間を指定するオプション検索ウィンドウ | |
| tenantFilter | String | 有効サービスやルール定義と同一テナントなどの属性でテナントをフィルタリングする設定 | |
| skipAlertPrioritization | Boolean | アラート評価時に優先度ダウングレードチェックをスキップする設定 | |
| templateId | ID | 新規ケース作成時にルールが使用するテンプレートのID | |
| responseData | JSONObject | プレイブック用のルール固有のコンテキスト/設定 |
InvestigationRules🔗
説明: InvestigationRulesはケースルール検索のページネーション結果を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| rules | InvestigationRule | ||
| totalCount | Int |
InvestigationRuleArguments🔗
説明: InvestigationRuleArgumentsはケースルール検索のパラメータを記述します。
idとnameはどちらもルールの一意識別子です。
いずれか一方は必須で、両方指定した場合は両方一致するルールのみ検索されます。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ||
| name | String |
InvestigationRulesArguments🔗
説明: InvestigationRulesArgumentsはケースルール検索のパラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| cql | String | テンプレート検索用のcql文字列 | |
| page | Int | 返す結果のページ番号(1から開始) | |
| perPage | Int | 1ページあたりの結果数(最大100) | |
| name | String | ||
| tags | String |
InvestigationRuleState🔗
InvestigationStatus🔗
説明: InvestigationStatusesはケースの可能なステータスを定義します。
InvestigationCloseStatus🔗
説明: InvestigationCloseStatusはケースクローズ時の可能なステータスを定義します。
InvestigationV2StatusesArguments🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| currentStatus | InvestigationStatus | currentStatusはケースの現在のステータス。 設定されている場合、現在のステータスから遷移可能なステータスのみ結果に含まれます。 主にドラフト関連ステータスで使用されます。 |
InvestigationType🔗
説明: InvestigationTypeはケースの可能なタイプを定義します。
InvestigationProcessingState🔗
説明: InvestigationProcessingStateはケース証拠処理の可能な状態を定義します。
ExportInvestigationResourceInput🔗
説明: ExportInvestigationResourceInputはケースリソースエクスポートに必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID |
ImportInvestigationResourcesInput🔗
説明: ImportInvestigationResourcesInputはケースリソースインポートに必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| file | Upload | アップロードするファイル |
InvestigationResourceExport🔗
説明: InvestigationResourceExportはケースリソースエクスポートに必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| export | String | エクスポートドキュメント |
InvestigationResource🔗
説明: InvestigationResourceユニオンはケースリソースを実装するすべての型を定義します。
InvestigationResourceType🔗
説明: InvestigationResourceTypeはケースリソースの可能なタイプを定義します。
InvestigationProcessingStatus🔗
説明: InvestigationProcessingStatusは処理状態を持つ可能性のある証拠タイプおよび現在の状態を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| assets | InvestigationProcessingState | ||
| events | InvestigationProcessingState | ||
| alerts | InvestigationProcessingState |
PaginationOrder🔗
説明: PaginationOrderは結果を昇順または降順で並べ替えるために使用できるenumを定義します
InvestigationV2TimelineEntityType🔗
説明: InvestigationV2TimelineEntityTypeはケースタイムラインエンティティの可能なタイプを定義します。
InvestigationRuleType🔗
説明: InvestigationRuleTypeはケースの可能なタイプを定義します。
タイプはアラート評価方法を決定するために使用されます。
InvestigationV2TimelineArguments🔗
説明: InvestigationV2TimelineArgumentsはケースタイムライン取得のパラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | ID | タイムライン取得対象ケースのID | |
| createdAfter | String | 指定タイムスタンプ以降に作成されたタイムラインエントリのみをフィルタ | |
| createdBefore | String | 指定タイムスタンプ以前に作成されたタイムラインエントリのみをフィルタ | |
| orderBy | PaginationOrder | タイムラインエントリの並び順 | |
| entityTypes | InvestigationV2TimelineEntityType | 指定タイプのタイムラインエントリのみをフィルタ | |
| page | Int | 返す結果のページ番号(1から開始) | |
| perPage | Int | 1ページあたりの結果数(最大1000) |
InvestigationV2Timeline🔗
説明: InvestigationV2Timelineはケースタイムラインリクエストのページネーション結果を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| entities | InvestigationV2TimelineEntity | 現在のページの検索条件に一致するタイムラインエントリのリスト | |
| totalEntities | Int | 検索条件に一致するタイムラインエントリの総数 |
InvestigationV2TimelineEntity🔗
説明: InvestigationV2TimelineEntityはケースの単一タイムラインエントリのフィールドを定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | タイムラインエントリのID(一意) | |
| investigationId | ID | タイムラインエントリが関連付けられているケースID | |
| type | String | タイムラインエントリのタイプ - Event | Alert |
| tenantId | String | タイムラインが関連するケースのテナントID | |
| createdAt | Time | タイムラインエントリ作成日時 | |
| resourceId | String | auditタイムラインエンティティに関連するリソースID | |
| resourceCreatedAt | Time | リソース作成日時 | |
| description | String | タイムラインエントリの短い説明 | |
| descriptor | String | エントリの特徴を示す1~2語の短い説明 auditタイプにはdescriptorはありません |
|
| subjectId | String | auditタイムラインエンティティに関連するユーザーID | |
| subject | Subject | auditタイムラインエンティティに関連するユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 ユーザーがフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| isPartnerOnly | Boolean | タイムラインエントリがパートナーユーザーのみに表示されるかどうか | |
| user | TDRUser | ||
| entityId | String | ||
| timestamp | Time | ||
| userId | ID | ||
| userSubject | Subject |
AddCommentToInvestigationInput🔗
説明: AddCommentToInvestigationInputはケースにコメントを追加するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | String | コメント追加対象ケースのID | |
| comment | String | コメント本文。 @メンションを含めてユーザーに通知可能。 |
|
| isInternal | Boolean | isInternalはコメントを内部用とし、パートナーユーザーのみに表示されることを示します。 内部コメントはパートナーユーザーのみ作成可能です。 |
UpdateInvestigationCommentInput🔗
説明: UpdateInvestigationCommentInputはケース内のコメントを更新するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| commentId | String | 更新対象コメントのID | |
| comment | String | 更新後のコメント本文 | |
| markAsRead | Boolean | 現在のユーザーでコメントを既読にします |
CommentV2🔗
説明: CommentV2はケース内のコメントフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | コメントのID(一意) | |
| authorId | String | コメント作成者のID | |
| authorSubject | Subject | authorSubjectはコメント作成者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 作成者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| createdAt | Time | コメント作成日時 | |
| updatedAt | Time | コメント最終更新日時 | |
| comment | String | コメント本文 | |
| investigationId | ID | コメントが関連付けられているケースID | |
| tenantId | String | コメントが関連するケースのテナントID | |
| mentionsIds | String | コメント内でメンションされたユーザーIDやグループメンションのリスト | |
| mentionsSubjects | Subject | コメント内でメンションされたサブジェクトのリスト。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 メンションがフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| readByIds | String | コメントを既読にしたユーザーIDのリスト | |
| readBySubjects | Subject | コメントを既読にしたサブジェクトのリスト。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 既読ユーザーがフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| isInternal | Boolean | コメントが内部用でパートナーユーザーのみに表示されるかどうか | |
| author | TDRUser | ||
| mentionsUsers | TDRUser | ||
| readBy | TDRUser |
DeleteInvestigationCommentInput🔗
説明: DeleteInvestigationCommentInputはケースからコメントを削除するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| commentId | String |
CommentVisibilityFilter🔗
説明: CommentVisibilityFilterはコメントのフィルタ条件を定義します。
CommentsV2Arguments🔗
説明: CommentsV2Argumentsはケース内のコメント検索パラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | String | コメント取得対象ケースのID | |
| orderBy | PaginationOrder | コメントのcreatedAtタイムスタンプでの並び順 | |
| visibility | CommentVisibilityFilter | コメントの可視性(isInternal)でフィルタ | |
| page | Int | 返す結果のページ番号(1から開始) | |
| perPage | Int | 1ページあたりの結果数(最大100) |
CommentsV2🔗
説明: CommentsV2はコメント検索のページネーション結果を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| comments | CommentV2 | 現在のページの検索条件に一致するコメントのリスト | |
| totalCount | Int | 検索条件に一致するコメントの総数 |
InvestigationCommentsCount🔗
説明: InvestigationCommentsCountはケースのコメント総数と未読コメント数を定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| total | Int | ||
| unread | Int |
AlertEvidence🔗
説明: AlertEvidenceはケース内のアラート証拠フィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 証拠エントリのID(一意) | |
| investigationId | ID | 証拠が関連するケースID | |
| tenantId | String | ケース/証拠のテナントID | |
| createdAt | Time | 証拠がケースに追加された日時 | |
| createdBy | String | 証拠を追加したユーザーまたはクライアントのID。 同期プロセスで他の証拠から派生して追加された場合はサービスアカウントが設定されます。 |
|
| alertId | String | アラートID | |
| isGenesis | Boolean | isGenesisは証拠がケースオープン時に使用されたかどうかを示すフラグ |
EventEvidence🔗
説明: EventEvidenceはケース内のイベント証拠フィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 証拠エントリのID(一意) | |
| investigationId | ID | 証拠が関連するケースID | |
| tenantId | String | ケース/証拠のテナントID | |
| createdAt | Time | 証拠がケースに追加された日時 | |
| createdBy | String | 証拠を追加したユーザーまたはクライアントのID。 同期プロセスで他の証拠から派生して追加された場合はサービスアカウントが設定されます。 |
|
| eventId | String | イベントID | |
| isGenesis | Boolean | isGenesisは証拠がケースオープン時に使用されたかどうかを示すフラグ |
AssetEvidence🔗
説明: AssetEvidenceはケース内の資産証拠フィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 証拠エントリのID(一意) | |
| investigationId | ID | 証拠が関連するケースID | |
| tenantId | String | ケース/証拠のテナントID | |
| createdAt | Time | 証拠がケースに追加された日時 | |
| createdBy | String | 証拠を追加したユーザーまたはクライアントのID。 同期プロセスで他の証拠から派生して追加された場合はサービスアカウントが設定されます。 |
|
| assetId | String | 資産ID |
EntityEvidence🔗
説明: 非推奨: 代替なし。エンティティAPIを呼び出してください
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ||
| investigationId | ID | ||
| tenantId | String | ||
| createdAt | Time | ||
| createdBy | String | ||
| entityId | String |
SearchQueryEvidence🔗
説明: SearchQueryEvidenceはケース内の検索クエリ証拠フィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | 証拠エントリのID(一意) | |
| investigationId | ID | 証拠が関連するケースID | |
| tenantId | String | ケース/証拠のテナントID | |
| createdAt | Time | 証拠がケースに追加された日時 | |
| createdBy | String | 証拠を追加したユーザーまたはクライアントのID。 同期プロセスで他の証拠から派生して追加された場合はサービスアカウントが設定されます。 |
|
| searchQuery | String | 検索クエリ | |
| isGenesis | Boolean | isGenesisは証拠がケースオープン時に使用されたかどうかを示すフラグ |
InvestigationV2Type🔗
説明: InvestigationV2Typeはケースタイプを定義します
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| type | InvestigationType | ケースタイプ | |
| description | String | ケースタイプの説明 |
InvestigationV2Status🔗
説明: InvestigationV2Statusはケースステータスを定義します
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| status | InvestigationStatus | ケースステータス |
InvestigationFileV2🔗
説明: InvestigationFileV2はケース内のファイルフィールドを定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID | ファイルのID(一意) | |
| investigationId | ID | ファイルが関連するケースID | |
| tenantId | String | ケース/ファイルのテナントID | |
| createdAt | Time | ファイルがケースに追加された日時 | |
| updatedAt | Time | ファイルが最後に更新された日時 | |
| deletedAt | Time | ファイルが削除された日時 | |
| uploadedById | String | ファイルアップロードを初期化したユーザーのID | |
| uploadedBySubject | Subject | uploadedBySubjectはファイルアップロードを初期化したユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 アップロード者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| deletedById | String | ファイルを削除したユーザーのID | |
| deletedBySubject | Subject | deletedBySubjectはファイル削除者のユーザー情報取得用のフェデレーテッドフィールド。 APIがフェデレーションでレンダリングできないと判断した場合はnil。 削除者がフェデレーションで解決できる保証はありません(例: フェデレートサービスがダウン、サブジェクト削除など)。 |
|
| name | String | ファイル名 | |
| path | String | ファイルの場所 | |
| size | Int | ファイルサイズ | |
| status | String | ファイルの現在のアップロードステータス | |
| metadata | InvestigationFileMeta | ファイルの追加メタデータ | |
| downloadURL | String | ファイルの署名付きダウンロードURL。 ファイルが削除されている場合や複数ファイルを一度にリクエストした場合はnull。 |
|
| uploadedBy | TDRUser | ||
| deletedBy | TDRUser |
InvestigationFileMeta🔗
説明: InvestigationFileMetaはケース内のファイル追加メタデータを定義します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| contentType | String | ファイルのコンテンツタイプ | |
| contentMD5 | String | ファイルのmd5ハッシュ |
InitInvestigationFileUploadInput🔗
説明: InitInvestigationFileUploadInputはケースへのファイルアップロード初期化に必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| investigationId | ID | ファイルアップロード対象ケースのID | |
| name | String | ファイル名 | |
| size | Int | 予想ファイルサイズ | |
| contentType | String | 予想コンテンツタイプ |
InvestigationFileUpload🔗
説明: InitInvestigationFileUploadはケースへのファイルアップロード初期化のレスポンスです。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| file | InvestigationFileV2 | presignedUrlにアップロード予定のファイルメタデータ | |
| presignedUrl | String | ファイルアップロード用のpresignedUrl |
InvestigationFileV2Arguments🔗
説明: InvestigationFileV2Argumentsはケースに添付されたファイル取得のパラメータを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| fileId | ID |
InvestigationFilesV2🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| files | InvestigationFileV2 | ||
| totalCount | Int |
InvestigationFilesV2Arguments🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| cql | String | ファイル検索用のcql文字列 | |
| page | Int | 返す結果のページ番号(1から開始) | |
| perPage | Int | 1ページあたりの結果数(最大100) | |
| investigationId | ID |
DeleteInvestigationFileInput🔗
説明: DeleteInvestigationFileInputはケースからファイルを削除するために必要なフィールドを記述します。
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| fileId | ID |
TenantV4🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID |
Subject🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID |
TDRUser🔗
フィールド🔗
| フィールド | 型 | 説明 | 引数 |
|---|---|---|---|
| id | ID |
Time🔗
説明: このライブラリのデフォルトTime実装。
Upload🔗
説明: ファイルアップロード内容
JSONObject🔗
説明: JSONペイロード
Map🔗
説明: このライブラリのデフォルトMap実装