Countermeasures APIの利用開始🔗

重要

先にAPI認証の手順を完了し、動作するclient_idとclient_secretを取得してください。

地域

XDR APIにアクセスするためのURLは、お客様の環境が展開されているリージョンによって異なる場合があります。

このXDR APIドキュメントの例では、https://api.ctpx.secureworks.com を使用しています。別のリージョンをご利用の場合は、適切なURLに置き換えてください。

Countermeasures APIを利用すると、CTUネットワーク対策で説明されている通り、Secureworks Counter Threat Unit™ (CTU)対策を自動的にダウンロードできます。

エンドポイント🔗

以下のエンドポイントにアクセスすることで、Secureworks® Taegis™ XDR Countermeasures APIを利用してCTU情報を取得できます。

/ — ルールセットを返します。例: https://api.ctpx.secureworks.com/intel-requester/
/ti-list — CTUによってリリースされたすべてのThreat Indicator Listバージョンを返します。例: https://api.ctpx.secureworks.com/intel-requester/ti-list
/ti-list/latest — CTUによってリリースされたThreat Indicator Listの最新バージョンのみを返します。例: https://api.ctpx.secureworks.com/intel-requester/ti-list/latest

デフォルトでは、これらのエンドポイントからの結果はURLエスケープされていません。Webページでこれらの結果を表示する場合は、クエリパラメータ?html=trueを使用してください。

CTUインジケーターリストには、MSSとRawの2種類があります。

MSSリストは、検出に適したインジケーターのみがフィルタリングされています。すべてのインジケーターは複数のソースでトリアージされ、ノイズや誤検知が多いインジケーターは含まれません。これらのリストは、お客様の判断でセキュリティインフラに適用し、ブロックやアラートに利用できます。
Rawリストには、検出やアラートに適さないものも含め、観測されたすべてのインジケーターが含まれます。これらのリストは脅威ハンティングやインシデント対応活動の支援には適していますが、ブロックやアラート目的でセキュリティインフラに適用するのには適していません。例えば、マルウェアサンプルがGitHubをC2リポジトリとして利用している場合、Rawリストには含まれますが、セキュリティインフラに適用するインジケーターとしては適切ではありません。

以下のリストが利用可能であり、それぞれにドメイン版とIP版、RawとMSSがあります。

CTU Botnet Indicators: 多数のマルウェアファミリーを自動追跡して得られたインジケーターを含みます。これらのインジケーターは一般的に新鮮で高精度であり、MSSリストは自動ブロックやアラートに適しています。
CTU Threat Group Indicators: CTUの独自調査やお客様のインシデントから得られたインジケーターを含みます。これらは一次観測情報ですが、古い観測情報で既に不正でないものも含まれる場合があります。お客様はリスク許容度に応じてMSSリストを適用できます。
Third Party Threat Group Indicators: サードパーティが公開した一部のインジケーターを含みます。Secureworksはこれらのインジケーターを検証しておらず、観測情報が古い場合もあります。お客様はリスク許容度に応じてMSSリストを適用できます。

/ti-list/latestのTI List APIエンドポイントは、デフォルトでMSS/フィルタ済みリストを返します。これはほとんどのユースケースに最適なインジケーターセットです。すべてのリストやRawリストのみが必要な場合は、フィルタークエリパラメータを利用してください。

重要

Rawリストはブロックやアラートには適しておらず、追加のコンテキスト提供のみに利用してください。