Threat Intelligence GraphQL API の利用開始🔗
重要
先に API認証 の手順を完了し、動作する client_id および client_secret を取得してください。
地域
XDR APIにアクセスするためのURLは、お客様の環境が展開されているリージョンによって異なる場合があります。
- US1—
https://api.ctpx.secureworks.com - US2—
https://api.delta.taegis.secureworks.com - US3—
https://api.foxtrot.taegis.secureworks.com - EU1—
https://api.echo.taegis.secureworks.com - EU2—
https://api.golf.taegis.secureworks.com
このXDR APIドキュメントの例では、https://api.ctpx.secureworks.com を使用しています。別のリージョンをご利用の場合は、適切なURLに置き換えてください。
Secureworks Counter Threat Unit™ (CTU) は、お客様に脅威のコンテキストを提供するために脅威インテリジェンスの公開情報を提供しています。これらの公開情報は Threat Intelligence API を通じて取得できます。
注意
Threat Intelligence API は約4時間ごとに更新されますが、その間隔での更新が保証されるものではありません。
Threat Intelligence API の利用🔗
利用可能な脅威インテリジェンスインジケーターリストのダウンロード🔗
以下のリクエストを使用して、ダウンロード可能な脅威インテリジェンスインジケーターリストの一覧を取得します。このリストには各リストへのリンクが含まれており、URLに認証情報が組み込まれているため、認証なしで直接利用できます。
cURL🔗
export ACCESS_TOKEN="<access_token>"
curl --request GET \
--url https://api.ctpx.secureworks.com/intel-requester/ti-list/latest \
--header "Authorization: Bearer ${ACCESS_TOKEN}"
注意
Windows ユーザーは以下を使用する必要がある場合があります:
set ACCESS_TOKEN=<access_token>
curl --request GET --url https://api.ctpx.secureworks.com/intel-requester/ti-list/latest --header "Authorization: Bearer %ACCESS_TOKEN%"
レスポンス例🔗
[{"link": "https://s3.us-east-2.amazonaws.com/ctpx-prod-threat-intel/scwx-attackerdb/ip/40/attackerdb-ip-third-party-threat-group-indicators-ip-list---mss-rev4207.csv?REDACTED_AUTH",
"name": "scwx-attackerdb/ip/40/attackerdb-ip-third-party-threat-group-indicators-ip-list---mss-rev4207.csv"},
{"link": "https://ctpx-prod-threat-intel.s3.us-east-2.amazonaws.com/ctp-attackerdb/ip/38/attackerdb-ip-ctu-threat-group-indicators-ip-list---mss-rev4200.csv?REDACTED_AUTH",
"name": "ctp-attackerdb/ip/38/attackerdb-ip-ctu-threat-group-indicators-ip-list---mss-rev4200.csv"},
{"link": "https://s3.us-east-2.amazonaws.com/ctpx-prod-threat-intel/scwx-attackerdb/ip/42/attackerdb-ip-ctu-botnet-indicators-ip-list---mss-rev4207.csv?REDACTED_AUTH",
"name": "scwx-attackerdb/ip/42/attackerdb-ip-ctu-botnet-indicators-ip-list---mss-rev4207.csv"},
{"link": "https://s3.us-east-2.amazonaws.com/ctpx-prod-threat-intel/scwx-attackerdb/domainname/43/attackerdb-domainname-ctu-threat-group-indicators-domain-list---mss-rev4184.csv?REDACTED_AUTH",
"name": "scwx-attackerdb/domainname/43/attackerdb-domainname-ctu-threat-group-indicators-domain-list---mss-rev4184.csv"},
{"link": "https://s3.us-east-2.amazonaws.com/ctpx-prod-threat-intel/scwx-attackerdb/domainname/45/attackerdb-domainname-third-party-threat-group-indicators-domain-list---mss-rev4207.csv?REDACTED_AUTH",
"name": "scwx-attackerdb/domainname/45/attackerdb-domainname-third-party-threat-group-indicators-domain-list---mss-rev4207.csv"},
{"link": "https://s3.us-east-2.amazonaws.com/ctpx-prod-threat-intel/scwx-attackerdb/domainname/47/attackerdb-domainname-ctu-botnet-indicators-domain-list---mss-rev4207.csv?REDACTED_AUTH",
"name": "scwx-attackerdb/domainname/47/attackerdb-domainname-ctu-botnet-indicators-domain-list---mss-rev4207.csv"},
{"link": "https://s3.us-east-2.amazonaws.com/ctpx-prod-threat-intel/scwx-attackerdb/ip/38/attackerdb-ip-ctu-threat-group-indicators-ip-list---mss-rev4207.csv?REDACTED_AUTH",
"name": "scwx-attackerdb/ip/38/attackerdb-ip-ctu-threat-group-indicators-ip-list---mss-rev4207.csv"}]
タイプ別の Watchlist インジケーターのダウンロード🔗
以下の CTU 脅威インテリジェンスインジケーターフィードは高信頼度リストとして特定されており、threat watchlist TI API エンドポイントを使用して取得できます。
CTU Botnet Indicators IP List - MSSCTU Threat Group Indicators IP List - MSSThird Party Threat Group Indicators IP List - MSSCTU Botnet Indicators Domain List - MSSCTU Threat Group Indicators Domain List - MSSThird Party Threat Group Indicators Domain List - MSS
MSSリストは、自動ブロックや検出に適した高精度なインジケーターを含む脅威アクティビティに関連しています。以下を実行してドメインのWatchlistを取得してください:
query threatWatchlist($type: ThreatParentType! = "DOMAIN")
{
threatWatchlist(type: $type)
{
type spec_version id sharing_id source_sharing_id target_sharing_id created modified description src_desc tgt_desc mitre_attack_categories relationship_type source_ref target_ref confidence indicator_class label tags start_time stop_time source_internal reference
}
}
最新の脅威インテリジェンス公開情報のダウンロード🔗
query threatLatestPublications($from: Int! = 0, $size: Int! = 3)
{
threatLatestPublications(from: $from, size: $size)
{
id Type Name Description Published Content TLP VID ReportID Reference Category Language
}
}
インジケーター別の脅威インテリジェンス🔗
Threat Intelligence API を利用して、該当するインジケーターに関連する CTU 脅威インテリジェンスレポート、脅威グループ、または関連するマルウェアファミリーを取得することが可能です(インジケーターがデータセット内の前述の脅威オブジェクトと関係している場合)。
query threatIndicatorIntelligence($ID: String!)
{
threatIndicatorIntelligence(ID: $ID)
{
indicator { type spec_version id sharing_id name description created modified indicator_types pattern pattern_type pattern_version mitre_attack_categories valid_from valid_until kill_chain_phases { kill_chain_name phase_name } score original_indicator indicator_class ipv4 label dns { Domain Hostname Subdomain Tld } whois { DomainName RegistrarName ContactEmail WhoisServer NameServers CreatedDate UpdatedDate ExpiresDate StandardRegCreatedDate StandardRegUpdatedDate StandardRegExpiresDate Status AuditAuditUpdatedDate RegistrantEmail RegistrantName RegistrantOrganization RegistrantStreet1 RegistrantCity RegistrantState RegistrantPostalCode RegistrantCountry RegistrantFax RegistrantTelephone AdministrativeContactEmail AdministrativeContactName AdministrativeContactOrganization AdministrativeContactStreet1 AdministrativeContactCity AdministrativeContactState AdministrativeContactPostalCode AdministrativeContactCountry AdministrativeContactFax AdministrativeContactTelephone } url_info { Query Scheme Port Path RequestURI } tags location { Longitude Latitude } } identities { identity { type spec_version id sharing_id name description created modified roles identity_class sectors contact_information natural_key download_URL internal confidence reason label tags } relationship { type spec_version id sharing_id source_sharing_id target_sharing_id created modified description src_desc tgt_desc mitre_attack_categories relationship_type source_ref target_ref confidence indicator_class label tags start_time stop_time source_internal reference } } reports { report { type spec_version id name description created modified published object_refs content sharing_id tags } relationship { type spec_version id sharing_id source_sharing_id target_sharing_id created modified description src_desc tgt_desc mitre_attack_categories relationship_type source_ref target_ref confidence indicator_class label tags start_time stop_time source_internal reference } } malware { malware { type spec_version id sharing_id name description created modified malware_types family aliases kill_chain_phases { kill_chain_name phase_name } first_seen last_seen operating_system_refs architecture_execution_envs implementation_languages capabilities sample_refs label tags public_summary solution technical_details } relationship { type spec_version id sharing_id source_sharing_id target_sharing_id created modified description src_desc tgt_desc mitre_attack_categories relationship_type source_ref target_ref confidence indicator_class label tags start_time stop_time source_internal reference } } groups { group { type spec_version id sharing_id name Objectives Aliases Tools Motivation IntendedEffect TargetSectors Description ActiveSince LastKnownActivity tags } relationship { type spec_version id sharing_id source_sharing_id target_sharing_id created modified description src_desc tgt_desc mitre_attack_categories relationship_type source_ref target_ref confidence indicator_class label tags start_time stop_time source_internal reference } }
}
}
次のステップ🔗
詳細については、Threat Intelligence GraphQL API ドキュメント を参照してください。