Countermeasures APIの利用開始🔗

重要

先にAPI認証の手順を完了し、動作するclient_idおよびclient_secretを取得してください。

地域

XDR APIにアクセスするためのURLは、お客様の環境が展開されているリージョンによって異なる場合があります。

このXDR APIドキュメントの例では、https://api.ctpx.secureworks.com を使用しています。別のリージョンをご利用の場合は、適切なURLに置き換えてください。

Countermeasures APIを使用すると、CTUネットワーク対策で説明されている通り、Secureworks Counter Threat Unit™ (CTU)対策を自動的にダウンロードできます。

エンドポイント🔗

以下のエンドポイントは、Secureworks® Taegis™ XDR Countermeasures APIを使用してCTU情報を取得するために利用できます。

/ — ルールセットを返します。例： https://api.ctpx.secureworks.com/intel-requester/
/ti-list — CTUによってリリースされたすべての脅威インジケーターリストのバージョンを返します。例： https://api.ctpx.secureworks.com/intel-requester/ti-list
/ti-list/latest — CTUによってリリースされた脅威インジケーターリストの最新バージョンのみを返します。例： https://api.ctpx.secureworks.com/intel-requester/ti-list/latest

デフォルトでは、これらのエンドポイントからの結果はURLエスケープされていません。これらの結果をウェブページに表示する必要がある場合は、クエリパラメータ?html=trueを使用してください。

CTUインジケーターリストには、MSSとRawの2種類があります。

MSSリストは、検出に適したインジケーターのみが含まれるようにフィルタリングされています。すべてのインジケーターは複数のソースでトリアージされ、ノイズや誤検知の多いインジケーターは除外されています。これらのリストは、お客様の判断でセキュリティインフラに適用し、ブロックやアラートに利用できます。
Rawリストには、検出やアラートに適さないものも含め、観測されたすべてのインジケーターが含まれます。これらのリストは、脅威ハンティングやインシデント対応活動のサポートには適していますが、ブロックやアラート目的でセキュリティインフラに適用するのには適していません。例えば、マルウェアサンプルがGitHubをコマンド＆コントロールリポジトリとして利用している場合、その情報はRawリストには含まれますが、セキュリティインフラに適用するインジケーターとしては適切ではありません。

以下のリストが利用可能であり、それぞれにドメイン版とIP版、Raw版とMSS版があります。

CTUボットネットインジケーター: これらのリストには、さまざまなマルウェアファミリーの自動追跡から得られたインジケーターが含まれます。これらのインジケーターは一般的に新鮮で高精度であり、MSSリストは自動ブロックやアラートに適しています。
CTU脅威グループインジケーター: これらのリストには、CTUリサーチ（独自調査やお客様のインシデントからのインジケーター）が含まれます。これらのインジケーターは一次観測情報ですが、すでに不正でなくなった古い観測情報も含まれる場合があります。お客様はリスク許容度に応じてMSSリストを適用できます。
サードパーティ脅威グループインジケーター: これらのリストには、サードパーティが公開した一部のインジケーターが含まれます。Secureworksはこれらのインジケーターを検証しておらず、観測情報が古い場合もあります。お客様はリスク許容度に応じてMSSリストを適用できます。

/ti-list/latestのTI List APIエンドポイントは、デフォルトでMSS/フィルタ済みリストを返します。これはほとんどのユースケースに最適なインジケーターセットです。すべてのリストやRawリストのみが必要な場合は、フィルタークエリパラメータを使用してください。

重要

Rawリストは、ブロックやアラート目的には適していません。追加のコンテキスト提供のみにご利用ください。