Detections APIの利用開始🔗
注意
Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Detections APIは、インテグレーションがSecureworks® Taegis™ XDR UIで使用されている検出用語と一致するように利用できるエイリアスを提供します。
検出操作のエイリアス🔗
Alerts GraphQL APIのすべての操作は、detection*エイリアスでも利用可能です。エイリアスは同じ入力を受け付け、同じレスポンスタイプを返し、alertsService*と同じ認証を使用します。これらは、インテグレーションがSecureworks® Taegis™ XDR UIと一致する検出用語を利用できるように存在します。インテグレーションで好みの命名を使用してください。
注意
リクエストおよびレスポンスフィールドの完全な定義については、Alerts GraphQL APIスキーマリファレンスを参照してください。
Detectionsゲートウェイへの直接アクセス🔗
Detections APIには以下の方法でアクセスできます:
- GraphQLフェデレーションゲートウェイ経由
https://api.<region>.secureworks.com/graphqlで、他のすべてのXDR GraphQL APIと同様に利用できます。詳細はAPI認証を参照してください。 /detections/queryゲートウェイへの直接アクセス
フェデレーションゲートウェイを経由せず、直接Detectionsサービスにルーティングされます。インテグレーションがフェデレーションを介さずAPIを直接呼び出す場合はこちらを利用してください。
どちらも同じdetection*操作を受け付け、同じ認証(Authorization: Bearer {token}とX-Tenant-Contextヘッダー)を使用し、同じGraphQLレスポンスを返します。
地域
Detectionsゲートウェイへ直接アクセスするためのURLは、お客様の環境が展開されているリージョンによって異なる場合があります:
- US1—
https://api.ctpx.secureworks.com/detections/query - US2—
https://api.delta.taegis.secureworks.com/detections/query - US3—
https://api.foxtrot.taegis.secureworks.com/detections/query - EU1—
https://api.echo.taegis.secureworks.com/detections/query - EU2—
https://api.golf.taegis.secureworks.com/detections/query
ここでの例はhttps://api.ctpx.secureworks.com/detections/queryを使用しています。別のリージョンの場合は適切に置き換えてください。
リクエスト例🔗
以下は、detectionSearchクエリを/detections/queryゲートウェイに直接送信する例です。過去1日以内に作成された重大度「重大」および「高」の検出を返します。
export ACCESS_TOKEN="your_access_token"
export TENANT_ID="your_tenant_id"
curl -g \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "X-Tenant-Context: $TENANT_ID" \
-H "Content-type: application/json" \
-X POST \
-d '{"query": "query { detectionSearch(in: { cql_query: \"FROM alert WHERE severity >= 0.6 EARLIEST=-1d\", limit: 10 }) { reason search_id status alerts { total_results list { id status tenant_id metadata { title severity confidence } } } } }"}' \
https://api.ctpx.secureworks.com/detections/query
your_access_tokenはAPI認証で取得したアクセストークン、your_tenant_idはアクセスしたいテナントのIDです。
クエリエイリアス🔗
| 検出エイリアス | アラートの対応操作 |
|---|---|
detectionRetrieveById |
alertsServiceRetrieveAlertsById |
detectionRetrieveByHost |
alertsServiceRetrieveAlertsByHost |
detectionRetrieveByEntity |
alertsServiceRetrieveAlertsByEntity |
detectionRetrieveByGroupKey |
alertsServiceRetrieveAlertsByGroupKey |
detectionCountByTenant |
alertsCountByTenant |
detectionSearch |
alertsServiceSearch |
detectionPoll |
alertsServicePoll |
detectionAggregatesBySeverity |
alertsServiceAggregateAlertsBySeverity |
ミューテーションエイリアス🔗
| 検出エイリアス | アラートの対応操作 |
|---|---|
detectionUpdateInvestigationInfo |
alertsServiceUpdateInvestigationInfo |
detectionUpdateResolutionInfo |
alertsServiceUpdateResolutionInfo |
detectionBulkInvestigationsProcessor |
alertsServiceBulkInvestigationsProcessor |
detectionUpdateThreatScore |
alertsServiceUpdateThreatScore |
detectionUpdateThreatScoreV2 |
alertsServiceUpdateThreatScoreV2 |
サブスクリプションエイリアス🔗
| 検出エイリアス | アラートの対応操作 |
|---|---|
detectionBulkResolutionProcessor |
alertsServiceBulkResolutionProcessor |