TISC-API

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

21 Minuten Lesedauer

Die TISC Die API stellt Endpunkte zum Hinzufügen und Abrufen von Threat Intelligence-Daten in bereit Threat Intelligence-Sicherheitszentrum( TISC) Anwendung.

Von dieser API abgerufene Daten können von anderen Sicherheitstools wie Security Information Event Management (SIEM)-Systemen verwendet werden. SIEM-Systeme können mit integriert werden TISC Mit dieser API können erkennbare Elemente im Zusammenhang mit Bedrohungen in abgerufen werden TISC Und erkennen und überwachen Sie diese Bedrohungen automatisch im Netzwerk einer Organisation. Diese API ermöglicht die bidirektionale Freigabe von erkennbaren Elementen aus Sicherheitstools. SIEM-Systeme beobachten anomale Aktivitäten in der Umgebung und können eine Liste der erkennbaren Elemente bereitstellen, die der anomalen Aktivität zugeordnet sind TISC.

Diese API kann auch verwendet werden, um SIEM-Warnungen mit Threat Intelligence-Kontext zu ergänzen. Wenn beispielsweise eine SIEM-Warnung basierend auf ungewöhnlich hohem Datenverkehr von einer IP-Adresse generiert wird, TISC Kann zusätzliche Informationen bereitstellen, z. B. ob die betroffene IP-Adresse oder Domäne mit bekannten schädlichen Aktivitäten verknüpft ist. Diese Ergänzungsdaten ermöglichen es Sicherheitsanalysten, die Warnungen zu selektieren und die kontextbezogenen Informationen für eine effiziente Korrektur zu verwenden.

Diese API erfordert Threat Intelligence-Sicherheitszentrum-Anwendung, die auf verfügbar ist ServiceNow Store.

Diese API wird in ausgeführt sn_sec_tisc Namespace.

Die aktuelle Version dieser API ist v1 .

Informationen zur API-Authentifizierung finden Sie im Abschnitt „REST API-Sicherheit“ in REST APIs.

Für zusätzliche Informationen zu TISC, Siehe Threat Intelligence Security Center.

TISC-API – POST /sn_sec_tisc/Threat_intel_Data/add_observables

Fügt Quelldatensätze erkennbarer Elemente zu hinzu Threat Intelligence-Sicherheitszentrum( TISC) Anwendung.

Die Quelldatensätze des erkennbaren Elements Werden in der Tabelle „Quelle erkennbarer Elemente“ [sn_sec_tisc_observable_Source] erstellt und durch Deduplizierung und Zusammenfassung in verarbeitet TISC-Daten-Flow .

Hinweis:

Quelldatensätze erkennbarer Elemente können nicht direkt mit diesem Endpunkt aktualisiert werden. Nur neue Datensätze können erstellt werden. Daher müssen auch dann, wenn nur einige Felder aktualisiert werden müssen, alle Felder weiterhin in die Anforderung aufgenommen werden.

Um auf diesen Endpunkt zuzugreifen, muss der Anrufer über die Rolle sn_sec_tisc.api_obs_write_Access verfügen, die standardmäßig in der Threat Intelligence-Administratorrolle (sn_sec_tisc.admin) enthalten ist.

URL-Format

Versionierte URL: /api/sn_sec_tisc/{api_Version}/Threat_intel_Data/add_observables

Standard-URL: /api/sn_sec_tisc/Threat_intel_Data/add_observables

Hinweis:

Verfügbare Versionen werden in angegeben REST API-Explorer . Für geskriptete REST-APIs gibt es zusätzliche Versionsinformationen auf der Formular „geskripteter REST-Service“ .

Unterstützte Anforderungsparameter

Tabelle : 1. Pfadparameter
Name	Beschreibung
api_version	Optional. Version des Endpunkts, auf den zugegriffen werden soll. Beispiel: `v1` Oder `v2` . Geben Sie diesen Wert nur an, um eine andere Endpunktversion als die neueste zu verwenden. Datentyp: Zeichenfolge

Tabelle : 2. Abfrageparameter
Name	Beschreibung
Keine

Tabelle : 3. Anforderungstext-Parameter (JSON)
Name	Beschreibung
Erkennbare Elemente	Erforderlich. Liste der erkennbaren Objekte, die hinzugefügt werden sollen TISC. Für jedes erkennbare Objekt wird ein Quelldatensatz für erkennbare Elemente erstellt, wenn alle Validierungen bestanden werden, wobei die Quelle wie von definiert ist sourceParameter im Anforderungstext. Datentyp: Array von Objekten `"observables": [ { "attributes": {Object}, "<field>": "String" } ]`
Erkennbare Elemente.Attribute	Feld-Wert-Paare, die Attributdaten zum erkennbaren Element enthalten. Attribute sind spezifisch für einen erkennbaren Typ, z. B. die AS-Nummer für eine IP-Adresse oder der Socket-Typ für ein Netzwerk. Alle Attribute für alle Typen erkennbarer Elemente werden unterstützt. Eine vollständige Liste der gültigen Attribute finden Sie im Abschnitt „Attribute erkennbarer Elemente“ unten. Datentyp: Objekt `"attributes": { "<field>": "<value>" }`
Erkennbare Elemente.<field>	Name-Wert-Paare, die allgemeine Daten zum erkennbaren Element enthalten. Die Felder, die in diesem Parameter bereitgestellt werden können, sind für alle erkennbaren Typen gemeinsam. Die typeUnd valueFelder sind für alle erkennbaren Elemente erforderlich. Hinweis: Befolgen Sie diese Richtlinien für die Bereitstellung von Werten: Alle Daten müssen im ISO-Format in der UTC-Zeitzone vorliegen. Einige Felder erfordern Werte aus einer angegebenen Tabelle oder haben eine Liste möglicher Werte. Wenn für diese Felder ungültige Werte angegeben werden, wird der Quelldatensatz des erkennbaren Elements weiterhin erstellt, die ungültigen Werte werden jedoch übersprungen. Gültige Felder: additional_context Zusätzlicher Kontext zum erkennbaren Element. Attack_Phases Liste der Angriffsphasennamen als kommagetrennter Wert. Eine vollständige Liste der gültigen Angriffsphasen finden Sie unter Kill Chain-Phasenname Feld in der Tabelle „Kill Chain-Phase“ [sn_sec_tisc_kill_Chain_Phase]. Zum Beispiel: `"attack_phases": "Lockheed Martin: Reconnaissance,Lockheed Martin: Installation"` Autor Autor für das erkennbare Element. confidence Das Vertrauen des Quellsystems in die Richtigkeit der Daten erkennbarer Elemente. Muss eine Zahl zwischen 0 und 100 sein. Beschreibung Beschreibung des erkennbaren Elements. Ablaufzeit Ablaufdatum des Datensatzes des erkennbaren Elements. External_Source_ID Externe ID des erkennbaren Elements aus dem Quellsystem. First_Observed Datum, an dem die Daten erstmals angezeigt wurden. first_seen Datum, an dem dieses erkennbare Element erstmals schädliche Aktivitäten ausgeführt hat. Last_Observed Datum, an dem die Daten zuletzt angezeigt wurden. last_seen Datum, an dem dieses erkennbare Element zuletzt schädliche Aktivitäten ausgeführt hat. Notizen Alle zusätzlichen Notizen für das erkennbare Element. Kann als HTML formatiert werden. Reputation Reputation des erkennbaren Elements. Mögliche Werte: leeren schädlich Verdächtig unbekannt Source_reports_score Punktzahl der böswilligen Absicht des vom Quellsystem gemeldeten erkennbaren Elements. Muss eine Zahl zwischen 0 und 100 sein. tags Liste der Tags als kommagetrennter Wert. Eine vollständige Liste der gültigen Tags finden Sie unter Name Feld in der Tag-Tabelle [sn_sec_tisc_Tag]. Wenn das angegebene Tag nicht vorhanden ist, wird das Tag automatisch erstellt und dem erkennbaren Element zugeordnet. Taxonomien Liste der Taxonomien als kommagetrennter Wert. Eine vollständige Liste der gültigen Taxonomien finden Sie unter Taxonomiewert Feld in der Tabelle „Taxonomiewert“ [sn_sec_tisc_taxonomy_value]. Threat_level Bedrohungsstufe des erkennbaren Elements. Mögliche Werte: niedrig mittel hoch Threat_severity Bedrohungsschweregrad des erkennbaren Elements. Mögliche Werte: niedrig mittel hoch kritisch tlp Datensensibilitätsstufe für das erkennbare Element mithilfe des Ampelprotokolls (TLP). Mögliche Werte: LÖSCHEN GRÜN GELB GELB+STRIKT ROT Tabelle: Im Feld Bezeichnung in der Tabelle „TLP-Bezeichnung“ [sn_sec_tisc_tlp_label]. type Erforderlich. Typ des erkennbaren Elements. Eine vollständige Liste der gültigen erkennbaren Typen finden Sie unter Wert Feld in der Tabelle „Typ erkennbarer Elemente“ [sn_sec_tisc_observable_type] oder im Abschnitt „Attribute erkennbarer Elemente“ unten. Usage_Categories Liste der Nutzungskategorien als kommagetrennter Wert. Eine vollständige Liste der gültigen Nutzungskategorien finden Sie unter Nutzungskategorie Feld in der Tabelle „Nutzungskategorie“ [sn_sec_tisc_usage_category]. Wert Erforderlich. Wert, der dem erkennbaren Element zugeordnet ist, z. B. eine IP-Adresse oder URL. Datentyp: Zeichenfolge Tabelle: Quelle des erkennbaren Elements [sn_sec_tisc_observable_Source]
Quelle	Erforderlich. Quelle, die die erkennbaren Elemente ursprünglich erkannt hat, z. B. ein SIEM-System. Die Quelle wird für alle erkennbaren Elemente verwendet, die in der API-Anforderung aufgeführt sind. Datentyp: Zeichenfolge Gespeichert in: Quellen, die im Anforderungstext bereitgestellt werden, werden der Tabelle „API-Integration“ [sn_sec_tisc_api_Integration] hinzugefügt.

Header

Die folgenden Anforderungs- und Antwortkopfzeilen gelten nur für diese HTTP-Aktion oder für diese Aktion auf eine bestimmte Weise. Eine Liste der allgemeinen Header, die in der REST API verwendet werden, finden Sie unter Unterstützte REST-API-Header .

Tabelle : 4. Anforderungskopfzeilen
Kopfzeile	Beschreibung
Akzeptieren	Datenformat des Antworttexts. Unterstützt nur application/json.
Content-Type	Datenformat des Anforderungstexts. Unterstützt nur application/json.

Tabelle : 5. Antwortkopfzeilen
Kopfzeile	Beschreibung
Keine

Statuscodes

Die folgenden Statuscodes gelten für diese HTTP-Aktion. Eine Liste der möglichen Statuscodes, die in der REST API verwendet werden, finden Sie unter REST API-HTTP-Antwortcodes .

Tabelle : 6. Statuscodes
Statuscode	Beschreibung
200	Erfolgreich. Die Anforderung wurde erfolgreich verarbeitet.
400	Ungültige Anforderung. Die Anforderungsparameter sind ungültig, oder das Anforderungstext-JSON weist einen syntaktischen Fehler auf. Informationen zum Anzeigen von Details zum Fehler finden Sie unter errorParameter im Antworttext.
401	Nicht autorisiert. Die Anwenderauthentifizierung ist ungültig. Überprüfen Sie den Anwendernamen und das Passwort oder das OAuth-Token.
403	Unzulässig. Dem aufrufenden Anwender fehlt eine erforderliche Rolle. Die Rolle sn_sec_tisc.api_obs_write_Access ist für den Zugriff auf diesen Endpunkt erforderlich.
429	Zu viele Anforderungen. Die Anzahl der API-Anforderungen überschreitet die Quotengrenze für die API. Standardmäßig beträgt der Grenzwert 100 Anforderungen pro Stunde.
500	Interner Serverfehler. Weitere Informationen zum Fehler finden Sie in den Anwendungsprotokollen in der Tabelle „Protokoll“ [syslog].

Parameter des Antwort-Haupttexts (JSON)


Name	Beschreibung
Fehler	Fehlerinformationen. Dieser Parameter wird nur zurückgegeben, wenn die Anforderung fehlgeschlagen ist. Datentyp: Objekt `"error": { "message": "String", "detail": "String" }`
Fehler.Nachricht	Fehlermeldung mit dem Grund, warum die Anforderung fehlgeschlagen ist. Datentyp: Zeichenfolge
error.detail	Zusätzliche Details dazu, warum die Anforderung fehlgeschlagen ist. Datentyp: Zeichenfolge
Error_Records	Details zu den in der Anforderung enthaltenen erkennbaren Elementen, die nicht hinzugefügt werden konnten TISC. Datentyp: Array von Objekten `"error_records": [ { "error_message": "String", "type": "String", "value": "String" } ]`
Error_Records.error_message	Fehlermeldung, die erklärt, warum für das erkennbare Element kein Datensatz erstellt werden konnte. Datentyp: Zeichenfolge
Error_Records.type	Typ des erkennbaren Elements. Eine vollständige Liste der gültigen erkennbaren Typen finden Sie unter Wert Feld in der Tabelle „Typ erkennbarer Elemente“ [sn_sec_tisc_observable_type] oder im Abschnitt „Attribute erkennbarer Elemente“ unten. Datentyp: Zeichenfolge
Error_Records.value	Wert, der dem erkennbaren Element zugeordnet ist, z. B. eine IP-Adresse oder URL. Datentyp: Zeichenfolge
Metadaten	Metadaten zur Anzahl der von der API-Anforderung erstellten Datensätze. `"metadata": { "error_records": Number, "success_records": Number, "total_records": Number }` Datentyp: Objekt
Metadaten.ERROR_Records	Anzahl der in der Anforderung enthaltenen erkennbaren Elemente, die nicht hinzugefügt werden konnten TISC. Datentyp: Zahl
Metadaten.Erfolg_Datensätze	Anzahl der Datensätze erkennbarer Elemente, die erfolgreich in erstellt wurden TISC. Datentyp: Zahl
Metadaten.total_Records	Gesamtzahl der in der Anforderung enthaltenen erkennbaren Elemente. Datentyp: Zahl
status	Status der API-Anforderung. Mögliche Werte: `Fehler` : Es wurden keine erkennbaren Elemente erfolgreich zu hinzugefügt TISC. `Fehler` : Die Anforderung ist aufgrund einer ungültigen Anforderung oder eines Systemfehlers fehlgeschlagen. Siehe errorParameter im Antworttext für weitere Informationen zum Fehler. `Partial_success` : Einige erkennbare Elemente wurden erfolgreich zu hinzugefügt TISC. `Erfolg` : Alle erkennbaren Elemente wurden erfolgreich zu hinzugefügt TISC. Datentyp: Zeichenfolge
Success_Records	Details zu den Datensätzen erkennbarer Elemente, die erfolgreich erstellt wurden. Datentyp: Array von Objekten `"success_records": [ { "sys_id": "String", "type": "String", "value": "String" } ]`
Success_Records.sys_ID	SYS_ID des Datensatzes des erkennbaren Elements. Datentyp: Zeichenfolge
Success_Records.type	Typ des erkennbaren Elements. Eine vollständige Liste der gültigen erkennbaren Typen finden Sie unter Wert Feld in der Tabelle „Typ erkennbarer Elemente“ [sn_sec_tisc_observable_type] oder im Abschnitt „Attribute erkennbarer Elemente“ unten. Datentyp: Zeichenfolge
Success_Records.value	Wert, der dem erkennbaren Element zugeordnet ist, z. B. eine IP-Adresse oder URL. Datentyp: Zeichenfolge

Attribute des erkennbaren Elements

In der folgenden Tabelle sind gültige Attribute für jeden erkennbaren Elementtyp aufgeführt.

Hinweis:

Alle Daten müssen im ISO-Format in der UTC-Zeitzone vorliegen.


Typ des erkennbaren Elements	Attribute	Datentyp
Artefakt	Entschlüsselungsschlüssel	Zeichenfolge
	encryption_algorithm	Zeichenfolge
	md5_Hash	Zeichenfolge
	mime_type	Zeichenfolge
	sha1_Hash	Zeichenfolge
	sha256_Hash	Zeichenfolge
	sha512_Hash	Zeichenfolge
	URL	Zeichenfolge
Autonome_System_number	name	Zeichenfolge
Autonome_System_number	rir	Zeichenfolge
Verzeichnis	Directory_Creation_time	Datum
	Directory_Last_Access_time	Datum
	Directory_Last_modified_time	Datum
	Coded_path	Zeichenfolge
domain_name	Ist_fqdn (Vollqualifizierter Domänenname)	Boolean
domain_name	Auflösen_zu	Zeichenfolge
email_address	display_name	Zeichenfolge
Email_message	email_body	Zeichenfolge
	E-Mail_Empfänger_bcc	Zeichenfolge
	E-Mail_Receivers_cc	Zeichenfolge
	E-Mail_Empfänger_an	Zeichenfolge
	Email_Sender	Zeichenfolge
	email_subject	Zeichenfolge
	Sent_date	Datum
email_subject	Keine
file	Coded_file_Name	Zeichenfolge
	File_created_time	Datum
	File_Last_Access_time	Datum
	File_Last_modified_time	Datum
	file_name	Zeichenfolge
	Magic_number	Zeichenfolge
	md5_Hash	Zeichenfolge
	mime_type	Zeichenfolge
	sha1_Hash	Zeichenfolge
	sha256_Hash	Zeichenfolge
	sha512_Hash	Zeichenfolge
ip_v4_address	AS_number	Zeichenfolge
ip_v4_address	mac_address	Zeichenfolge
ip_v4_cidr	AS_number	Zeichenfolge
ip_v4_cidr	mac_address	Zeichenfolge
ip_v6_address	AS_number	Zeichenfolge
ip_v6_address	mac_address	Zeichenfolge
ip_v6_cidr	AS_number	Zeichenfolge
ip_v6_cidr	mac_address	Zeichenfolge
mac_address	Keine
md5_Hash	Keine
Mutex_Name	Keine
Netzwerk	Ziel_Byte_count	Ganzzahl
	Ziel_Pakete_Anzahl	Ganzzahl
	Ziel_Port
	end_time	Datum
	http_message_body_length	Ganzzahl
	http_Request_Header	Zeichenfolge
	http_Request_method	Zeichenfolge
	http_Request_value	Zeichenfolge
	http_Request_Version	Zeichenfolge
	Network_Source	Zeichenfolge
	Network_destination	Zeichenfolge
	icmp_Code_Byte	Zeichenfolge
	icmp_type_byte	Zeichenfolge
	Ist_Netzwerk_aktiv	Boolean
	Ist_Socket_Blocking	Boolean
	Ist_Socket_Listening	Boolean
	Netzwerk_Protokolle	Zeichenfolge
	Socket_address_family	Zeichenfolge Mögliche Werte: af_unspec af_inet af_ipx af_appletalk af_netbios af_inet6 af_irda af_bth
	Socket_Deskriptor	Ganzzahl
	Socket_Handle	Ganzzahl
	Socket_options	Zeichenfolge
	Socket_type	Zeichenfolge Mögliche Werte: Service_Kernel_Driver Service_FILE_System_Driver Service_win32_Own_Process Service_win32_share_Process
	Source_bytes_count	Ganzzahl
	Source_Packets_count	Ganzzahl
	source_port	Zeichenfolge
	start_time	Datum
	tcp_destination_Flags	Zeichenfolge
	tcp_Source_Flags	Zeichenfolge
Sonstige	Keine
process	aslr_enabled	Boolean
	command_line	Zeichenfolge
	cwd (Aktuelles Arbeitsverzeichnis)	Zeichenfolge
	dep_enabled	Boolean
	environment_variables	Zeichenfolge
	is_hidden	Boolean
	Owner_sid	Zeichenfolge
	pid (Prozess-ID)	Zeichenfolge
	Priorität	Zeichenfolge
	Process_created_time	Datum
	Service_Beschreibungen	Zeichenfolge
	Service_Display_Name	Zeichenfolge
	Service_Group_Name	Zeichenfolge
	service_name	Zeichenfolge
	Service_Start_type	Zeichenfolge Mögliche Werte: Service_Auto_Start Service_Boot_Start Service_Demand_Start Service_disabled Service_System_Alert
	Service_Status	Zeichenfolge Mögliche Werte: Service_Continue_Pending Service_Pause_Pending Service_pausiert Service_running Service_Start_Pending Service_Stop_Pending Service_stop
	service_type	Zeichenfolge Mögliche Werte: Service_Kernel_Driver Service_FILE_System_Driver Service_win32_Own_Process Service_win32_share_Process
	Startup_info	Zeichenfolge
	windows_Integrity_level	Zeichenfolge Mögliche Werte: niedrig mittel hoch System
	Window_title	Zeichenfolge
sha1_Hash	Keine
sha256_Hash	Keine
sha512_Hash	Keine
Software	cpe (Allgemeine Plattformaufzählung)	Zeichenfolge
	supported_languages	Zeichenfolge
	swid (Softwareidentifizierung)	Zeichenfolge
	Lieferant	Zeichenfolge
	Version	Zeichenfolge
URL	Keine
User_Account	Account_created_time	Datum
	Account_expiry_time	Datum
	account_type	Zeichenfolge
	CAN_Eskalate_Privilegien	Boolean
	Anmeldeinformationen_Last_changed_time	Datum
	display_name	Zeichenfolge
	First_login_time	Datum
	Ist_Account_disabled	Boolean
	Ist_privilegiert	Boolean
	Ist_Service_Account	Boolean
	Last_login_time	Datum
	Account_login	Zeichenfolge
	user_id	Zeichenfolge
windows_Registry_key	Key_modified_time	Datum
	Registry_value	Zeichenfolge
	Unterschlüssel_count	Ganzzahl
x509_certificate	Authority_key_Identifier	Zeichenfolge
	Basic_Constraints	Zeichenfolge
	Certificate_policies	Zeichenfolge
	crl_Distribution_Points	Zeichenfolge
	Extended_key_usage	Zeichenfolge
	Inhibit_any_Policy	Zeichenfolge
	issuer	Zeichenfolge
	Aussteller_Alternative_Name	Zeichenfolge
	Ist_selbst_signiert	Boolean
	Key_usage	Zeichenfolge
	Name_Constraints	Zeichenfolge
	Policy_Constraints	Zeichenfolge
	Policy_Mappings	Zeichenfolge
	Private_key_usage_valid_from	Datum
	Private_key_usage_valid_until	Datum
	signature_algorithm	Zeichenfolge
	subject	Zeichenfolge
	Subject_Alternative_Name	Zeichenfolge
	Subject_Directory_attributes	Zeichenfolge
	Subject_key_Identifier	Zeichenfolge
	Subject_public_key_Algorithmus	Zeichenfolge
	Subject_public_key_exponent	Ganzzahl
	Subject_public_key_modulus	Zeichenfolge
	Valid_from	Datum
	Valid_until	Datum
	Version	Zeichenfolge

cURL-Anforderung

Diese Beispielanforderung enthält drei erkennbare Elemente zum Erstellen von Datensätzen für in TISC.

curl 'http://instance.servicenow.com/api/sn_sec_tisc/v1/threat_intel_data/add_observables' \
--request POST \
--header 'Content-Type: application/json' \
--header 'Authorization: Basic YWRtaW46YWRtaW4=' \
--data '{
   "source": "Sentinel",
   "observables": [
      {
         "value": "1.2.1.45",
         "type": "ip_v4_address",
         "reputation": "malicious",
         "confidence": "90",
         "tags": "critical,important",
         "taxonomies": "MITRE: T121",
         "attack_phases": "Lockheed Martin: Reconnaissance",
         "usage_categories": "Infected Bot",
         "first_seen": "2023-10-14T18:01:34.000Z",
         "attributes": {
            "as_number": "14280"
         }
      },
      {
         "value": "https://example.com",
         "type": "url",
         "tags": "important",
         "confidence": "50",
         "reputation": "malicious"
      },
      {
         "value": "1.1.1.1",
         "type": "ip_add",
         "confidence": "50",
         "reputation": "malicious"
      }
   ]
}'

Zwei der drei erkennbaren Elemente wurden erfolgreich zu TISC hinzugefügt. Ein Datensatz wurde nicht erstellt, da der Typ des erkennbaren Elements ungültig ist.

{
   "status": "partial_success",
   "metadata": {
      "total_records": 3,
      "success_records": 2,
      "error_records": 1
   },
   "success_records": [
      {
         "value": "1.2.1.45",
         "type": "ip_v4_address",
         "sys_id": "e519392643e642102164e0ea78b8f29d"
      },
      {
         "value": "https://example.com",
         "type": "url",
         "sys_id": "ad1979ae43ea42102164e0ea78b8f241"
      }
   ],
   "error_records": [
      {
         "value": "1.1.1.1",
         "type": "ip_va",
         "error_message": "The 'type' field value is invalid"
      }
   ]
}

TISC-API – POST /sn_sec_tisc/Threat_intel_Data/observables

Ruft Daten erkennbarer Elemente ab, einschließlich Beziehungen zwischen erkennbaren Elementen und anderen Threat Intelligence-Daten wie STEX-Objekten (Structured Threat Information Expression).

In der Antwort zurückgegebene erkennbare Elemente werden sortiert nach sys_idIn aufsteigender Reihenfolge.

Weitere Informationen zu erkennbaren Elementen und STIX-Objekten finden Sie unter IoC Repository.

Um auf diesen Endpunkt zuzugreifen, muss der Anrufer über die Rolle sn_sec_tisc.api_obs_read_Access verfügen, die standardmäßig in der Threat Intelligence-Administratorrolle (sn_sec_tisc.admin) enthalten ist.

URL-Format

Versionierte URL: /api/sn_sec_tisc/{api_Version}/Threat_intel_Data/observables

Standard-URL: /api/sn_sec_tisc/Threat_intel_Data/observables

Hinweis:

Verfügbare Versionen werden in angegeben REST API-Explorer . Für geskriptete REST-APIs gibt es zusätzliche Versionsinformationen auf der Formular „geskripteter REST-Service“ .

Unterstützte Anforderungsparameter

Tabelle : 7. Pfadparameter
Name	Beschreibung
api_version	Optional. Version des Endpunkts, auf den zugegriffen werden soll. Beispiel: `v1` Oder `v2` . Geben Sie diesen Wert nur an, um eine andere Endpunktversion als die neueste zu verwenden. Datentyp: Zeichenfolge

Tabelle : 8. Abfrageparameter
Name	Beschreibung
Keine

Tabelle : 9. Anforderungstext-Parameter (JSON)
Name	Beschreibung
Include_fields	Felder, die für erkennbare Elemente, Referenzen erkennbarer Elemente und STIX-Objekte in der Antwort zurückgegeben werden sollen. Für erkennbare Elemente, Referenzen und jeden STIX-Objekttyp können verschiedene Felder zurückgegeben werden. ServiceNow Systemfelder mit Ausnahme von sys_created_on, sys_updated_on und sys_ID werden in der Antwort nicht zurückgegeben. Datentyp: Objekt `"included_fields": { "observable": {Object}, "reference": {Object}, "<stix_object>": {Object} }`
Include_fields.erkennbares Element	Felder, die für erkennbare Elemente zurückgegeben werden sollen. Datentyp: Objekt `"observable": { "attributes": {Object}, "common_fields": {Object} }` Standard: Gibt die Felder syd_ID, Typ und Wert für alle erkennbaren Typen zurück.
Include_fields.erkennbares Element.Attribute	Felder, die für die angegebenen erkennbaren Typen zurückgegeben werden sollen. Datentyp: Objekt `"attributes": { "<observable_type>": {Object} }` Standard: Es werden keine spezifischen Felder für einen erkennbaren Typ zurückgegeben. Nur die Felder „syd_ID“, „type“ und „value“ werden zurückgegeben.
Include_fields.Observable.attributes.<observable_type>	Felder, die für einen erkennbaren Typ zurückgegeben werden sollen. Datentyp: Objekt `"<observable_type>": { "include_all_fields": Boolean, "values": [Array] }` Ersetzen `<observable_type>` Mit dem Namen des erkennbaren Typs, z. B. `Artefakt` . Eine vollständige Liste der gültigen Typen erkennbarer Elemente finden Sie im Feld Wert in der Tabelle „Typ erkennbarer Elemente“ [sn_sec_tisc_observable_type].
Include_fields.Observable.attributes.<observable_type>.include_all_fields	Kennzeichnung, die angibt, ob alle verfügbaren Felder für den Typ des erkennbaren Elements zurückgegeben werden sollen. Gültige Werte: Wahr: Gibt alle Felder für den Typ des erkennbaren Elements zurück. Falsch: Nur Felder zurückgeben, die in angegeben sind valuesParameter für den Typ des erkennbaren Elements. Datentyp: Boolesch
Include_fields.Observable.attributes.<observable_type>.values	Liste der Felder, die für den Typ des erkennbaren Elements zurückgegeben werden sollen. Verwenden Sie diesen Parameter nur, wenn der Wert von ist include_all_fieldsIst „falsch“. Datentyp: Array von Zeichenfolgen `"values": [ "String" ]` Die angegebenen Felder müssen „column_names“ aus der Tabelle für den Typ des erkennbaren Elements sein. Die folgenden Tabellen werden für erkennbare Typen verwendet. Artefakt [sn_sec_tisc_Artifact] AS-Nummer [sn_sec_tisc_as_number] Verzeichnis [sn_sec_tisc_Directory] Domänenname [sn_sec_tisc_Domain_Name] E-Mail-Adresse [sn_sec_tisc_email_address] E-Mail-Nachricht [sn_sec_tisc_email_message] E-Mail-Betreff [sn_sec_tisc_email_subject] Datei [sn_sec_tisc_file] IPv4 [Adresse sn_sec_tisc_ipv4_address] IPv4-CIDR [sn_sec_tisc_ipv4_cidr] IPv6-Adresse [sn_sec_tisc_ipv6_address] IPv6-CIDR [sn_sec_tisc_ipv6_cidr] MAC-Adresse [sn_sec_tisc_mac_address] MD5-Hash [sn_sec_tisc_md5_hash] Mutex-Name [sn_sec_tisc_Mutex_Name] Netzwerk [sn_sec_tisc_Network] Anderes erkennbares Element [sn_sec_tisc_other_observable] Prozess [sn_sec_tisc_Process] SHA1-Hash [sn_sec_tisc_sha1_hash] SHA256-Hash [sn_sec_tisc_sha256_hash] SHA512-Hash [sn_sec_tisc_sha512_hash] Software [sn_sec_tisc_Software] URL [sn_sec_tisc_url] Anwenderaccount [sn_sec_tisc_user_Account] Windows-Registrierungsschlüssel [sn_sec_tisc_Windows_Registry_key] X.509-Zertifikat [sn_sec_tisc_x_509_certificate]
included_fields.observable.common_fields	Felder, die für alle Typen erkennbarer Elemente zurückgegeben werden sollen. Die Felder müssen aus der Tabelle „erkennbares Element“ [sn_sec_tisc_Observable] stammen, da sie für alle Typen erkennbarer Elemente gemeinsam sein müssen. Datentyp: Objekt `"common_fields": { "include_all_fields": Boolean, "values": [Array] }` Standard: Gibt die Felder syd_ID, Typ und Wert für alle erkennbaren Typen zurück.
included_fields.observable.common_fields.include_all_fields	Kennzeichnung, die angibt, ob alle Felder aus der Tabelle „erkennbares Element“ [sn_sec_tisc_observable] für alle Typen erkennbarer Elemente zurückgegeben werden sollen. Gültige Werte: Wahr: Gibt alle Felder aus der Tabelle „erkennbares Element“ [sn_sec_tisc_observable] zurück. Falsch: Nur Felder zurückgeben, die in angegeben sind common_fields.valuesParameter. Datentyp: Boolesch
included_fields.observable.common_fields.values	Liste der Felder, die für alle Typen erkennbarer Elemente zurückgegeben werden sollen. Verwenden Sie diesen Parameter nur, wenn der Wert von ist common_fields.include_all_fieldsIst „falsch“. Datentyp: Array von Zeichenfolgen `"values": [ "String" ]` Die angegebenen Felder müssen Spaltennamen aus der Tabelle „erkennbares Element“ [sn_sec_tisc_observable] sein.
Include_fields.reference	Felder, die für Referenzen erkennbarer Elemente zurückgegeben werden sollen. Referenzen erkennbarer Elemente sind externe Referenzen, die verwendet werden, um Verweise auf Informationen zu beschreiben, die außerhalb von STIX dargestellt werden. Datentyp: Objekt `"reference": { "include_all_fields": Boolean, "values": [Array] }` Standard: Gibt die Felder reference_Source, sys_ID und url zurück.
included_fields.reference.include_all_fields	Kennzeichnung, die angibt, ob alle verfügbaren Felder für Referenzen erkennbarer Elemente zurückgegeben werden sollen. Gültige Werte: Wahr: Gibt alle Felder für Referenzen erkennbarer Elemente zurück. Falsch: Nur Felder zurückgeben, die in angegeben sind reference.valuesParameter. Datentyp: Boolesch
Include_fields.reference.values	Liste der Felder, die für Referenzen erkennbarer Elemente zurückgegeben werden sollen. Verwenden Sie diesen Parameter nur, wenn der Wert von ist reference.include_all_fieldsIst „falsch“. Datentyp: Array von Zeichenfolgen `"values": [ "String" ]` Die angegebenen Felder müssen Spaltennamen aus der Tabelle „Referenz für erkennbare Elemente“ [sn_sec_tisc_observable_reference] sein.
Include_fields.<stix_object>	Objekt mit Feldern, die für einen STIX-Objekttyp zurückgegeben werden sollen. Datentyp: Objekt `"<stix_object>": { "include_all_fields": Boolean, "values": [Array] }` Ersetzen `<stix_object>` Mit dem Namen des STIX-Objekttyps, z. B. `Attack_pattern` . Gültige STIX-Objekttypen: Attack_pattern Kampagne Kurs_der_Aktion Data_component data_source Gruppierung identity Incident Indikator Infrastruktur Intrusion_Set location Malware Malware_Analysis note Beobachtet_Daten Meinung Bericht Threat_actor Tool Schwachstelle Standard: Gibt die Felder-ID, den Namen und die sys_ID zurück
Include_fields.<stix_object>.include_all_fields	Kennzeichnung, die angibt, ob alle verfügbaren Felder für den STIX-Objekttyp zurückgegeben werden sollen. Gültige Werte: Wahr: Gibt alle Felder für den STIX-Objekttyp zurück. Falsch: Nur Felder zurückgeben, die in angegeben sind valuesParameter für den STIX-Objekttyp. Datentyp: Boolesch
Include_fields.<stix_object>.values	Liste der Felder, die für den STIX-Objekttyp zurückgegeben werden sollen. Verwenden Sie diesen Parameter nur, wenn der Wert von ist include_all_fieldsIst „falsch“. Datentyp: Array von Zeichenfolgen `"values": [ "String" ]` Die angegebenen Felder müssen „column_names“ aus der Tabelle für den STIX-Objekttyp sein. Die folgenden Tabellen werden für STIX-Objekte verwendet. Angriffsmuster [sn_sec_tisc_Attack_pattern] Kampagne [sn_sec_tisc_campaign] Vorgehensweise [sn_sec_tisc_course_of_action] Datenkomponente [sn_sec_tisc_aggregated_Data_component] Datenquelle [sn_sec_tisc_aggregated_Data_Source] Gruppierung [sn_sec_tisc_Threat_grouping] Identität [sn_sec_tisc_Identity] Incident [sn_sec_tisc_Threat_event] Indikator [sn_sec_tisc_indicator] Infrastruktur [sn_sec_tisc_Infrastructure] Angriffssatz [sn_sec_tisc_Intrusion_Set] Standort [sn_sec_tisc_location] Malware [sn_sec_tisc_Malware] Malware-Analyse [sn_sec_tisc_Malware_Analysis] Hinweis [sn_sec_tisc_Threat_note] Beobachtete Daten [sn_sec_tisc_observed_Data] Meinung [sn_sec_tisc_Threat_opinion] Bericht [sn_sec_tisc_Threat_Report] Bedrohungsakteur [sn_sec_tisc_Threat_actor] Tool [sn_sec_tisc_Tool] Schwachstelle [sn_sec_tisc_Vulnerability]
Erkennbare_Filter	Filter, die auf die erkennbaren Elemente angewendet werden sollen. Nur erkennbare Elemente, die den Filterkriterien entsprechen, werden in der Antwort zurückgegeben. Datentyp: Objekt `"observable_filters": { "boolean_operator": "String", "filters": [Array] }` Standard: Leeres Objekt (keine Filter angewendet)
Erkennbare_Filter.boolean_Operator	Boolescher Operator, der für die Filterbedingungen verwendet werden soll. Gültige Werte: UND: Gibt erkennbare Elemente zurück, die alle Filterbedingungen erfüllen. ODER: Gibt erkennbare Elemente zurück, die mindestens eine der Filterbedingungen erfüllen. Datentyp: Zeichenfolge
Erkennbare_Filter.Filter	Filter, die auf die erkennbaren Elemente angewendet werden sollen. Jedes Filterobjekt kann einfach oder komplex sein. Einfache Filter enthalten einen Feldnamen, einen Operator und einen Wert. Komplexe Filter enthalten einen booleschen Operator und ein Array einfacher Filter. Der boolesche Operator wird auf das Array einfacher Filter angewendet. Datentyp: Array von Objekten `"filters": [ //Simple filter { "field_name": "String", "operator": "String", "field_value": "String" }, //Complex filter { "boolean_operator": "String", "filters": [ { "field_name": "String", "operator": "String", "field_value": "String" } ] } ]`
Erkennbares Element_Filter.Filter.Feldname	Name des Felds, das zum Filtern der erkennbaren Elemente verwendet werden soll. Gültige Werte: confidence Reputation Security_type status sys_created_on sys_updated_on Threat_Score type Wert Watch_list Datentyp: Zeichenfolge
Erkennbares Element_Filter.Filter.Operator	Operator, der für den Filter verwendet werden soll. Weitere Informationen zu Operatoren finden Sie unter Operators available for filters and queries. Der Datentyp des Filterfelds bestimmt die gültigen Operatoren. Die folgenden Operatoren sind für jeden Datentyp gültig. Boolean Anwendbares Feld: Watch_list != = ISEMPTY ISNOTEMPTY Auswahl Anwendbare Felder: Reputation, Security_type, Status != = ENDSWITH IN GEFÄLLT MIR NOT IN NICHT WIE STARTSWITH Datum/Uhrzeit Anwendbares Feld: sys_created_on < <= > >= ISEMPTY ISNOTEMPTY HINWEIS EIN Anzahl Anwendbare Felder: Confidence, Threat_Score != <= = >= ISEMPTY ISNOTEMPTY Referenz Anwendbares Feld: Typ != = IN ISEMPTY ISNOTEMPTY Zeichenfolge Anwendbares Feld: Wert != <= = >= ENDSWITH IN ISEMPTY ISNOTEMPTY GEFÄLLT MIR NICHT WIE STARTSWITH Datentyp: Zeichenfolge
Erkennbare_Filter.Filter.field_value	Wert des Felds. Bei Auswahlfeldern muss der Wert der interne Wert sein, nicht der Anzeigewert. Für Datums-/Uhrzeitfelder muss der Wert im ISO-Format in der UTC-Zeitzone angegeben werden. Hinweis: Dieser Parameter ist bei Verwendung der Operatoren „ISEMPTY“ oder „ISNOTEMPTY“ nicht erforderlich. Datentyp: Zeichenfolge
page_size	Begrenzt die Anzahl der erkennbaren Elemente, die in der API-Antwort zurückgegeben werden. Wird für Paginierung verwendet. Datentyp: Zeichenfolge Standard: 100 Höchstwert: 1000
page_token	Wird verwendet, um Daten erkennbarer Elemente für die aktuelle Seite abzurufen. Um die erste Seite abzurufen, kann dieser Parameter ausgelassen werden, oder der Wert für diesen Parameter muss eine leere Zeichenfolge sein. Um die nächste Seite in der folgenden Anforderung abzurufen, verwenden Sie next_page_tokenWert aus dem Antworttext als Wert für diesen Parameter. Datentyp: Zeichenfolge Standard: Leere Zeichenfolge
Beziehungen	Beziehungstypen, die für jedes erkennbare Element in der Antwort zurückgegeben werden sollen. Die Beziehungen können mit einem anderen erkennbaren Element, einer Referenz für erkennbare Elemente oder einem STEX-Objekt (Structured Threat Information Expression) bestehen. Gültige Werte: Attack_pattern Kampagne Kurs_der_Aktion Data_component data_source Gruppierung identity Incident Indikator Infrastruktur Intrusion_Set location Malware Malware_Analysis note erkennbares Element Beobachtet_Daten Meinung Referenz Bericht Threat_actor Tool Schwachstelle Beispiel: Übergeben Sie das Array `[„erkennbares Element“, „Threat_actor“]` Gibt alle zugehörigen erkennbaren Elemente und Bedrohungsakteure für jedes erkennbare Element in der Antwort zurück. Datentyp: Array Standard: Leeres Array (keine Beziehungen zurückgegeben)

Header

Tabelle : 10. Anforderungskopfzeilen
Kopfzeile	Beschreibung
Akzeptieren	Datenformat des Antworttexts. Unterstützt nur application/json.
Content-Type	Datenformat des Anforderungstexts. Unterstützt nur application/json.

Tabelle : 11. Antwortkopfzeilen
Kopfzeile	Beschreibung
Keine

Statuscodes

Die folgenden Statuscodes gelten für diese HTTP-Aktion. Eine Liste der möglichen Statuscodes, die in der REST API verwendet werden, finden Sie unter REST API-HTTP-Antwortcodes .

Tabelle : 12. Statuscodes
Statuscode	Beschreibung
200	Erfolgreich. Die Anforderung wurde erfolgreich verarbeitet.
400	Ungültige Anforderung. Die Anforderungsparameter sind ungültig, oder das Anforderungstext-JSON weist einen syntaktischen Fehler auf. Informationen zum Anzeigen von Details zum Fehler finden Sie unter errorParameter im Antworttext.
401	Nicht autorisiert. Die Anwenderauthentifizierung ist ungültig. Überprüfen Sie den Anwendernamen und das Passwort oder das OAuth-Token.
403	Unzulässig. Dem aufrufenden Anwender fehlt eine erforderliche Rolle. Die Rolle sn_sec_tisc.api_obs_read_Access ist für den Zugriff auf diesen Endpunkt erforderlich.
429	Zu viele Anforderungen. Die Anzahl der API-Anforderungen überschreitet die Quotengrenze für die API. Standardmäßig beträgt der Grenzwert 500 Anforderungen pro Stunde.
500	Interner Serverfehler. Weitere Informationen zum Fehler finden Sie in den Anwendungsprotokollen in der Tabelle „Protokoll“ [syslog].

Parameter des Antwort-Haupttexts (JSON)


Name	Beschreibung
Fehler	Fehlerinformationen. Dieser Parameter wird nur zurückgegeben, wenn die Anforderung fehlgeschlagen ist. Datentyp: Objekt `"error": { "message": "String", "detail": "String" }`
Fehler.Nachricht	Fehlermeldung mit dem Grund, warum die Anforderung fehlgeschlagen ist. Datentyp: Zeichenfolge
error.detail	Zusätzliche Details dazu, warum die Anforderung fehlgeschlagen ist. Datentyp: Zeichenfolge
Ist_Last_page	Kennzeichnung, die angibt, ob dies die letzte Seite mit Daten erkennbarer Elemente ist. Gültige Werte: Wahr: Diese Antwort enthält die letzte Seite mit Daten. Falsch: Es gibt zusätzliche Seiten, die zurückgegeben werden können. Datentyp: Boolesch
next_page_token	Verwenden Sie diesen Wert in der nächsten API-Anforderung, um die nächste Seite mit Daten erkennbarer Elemente abzurufen. Geben Sie diesen Wert in an page_tokenParameter im Anforderungstext. Datentyp: Zeichenfolge
Erkennbare Elemente	Objekte erkennbarer Elemente. Datentyp: Array von Objekten `"observables": [ { "attributes": {Object}, "relationships": {Object}, "sys_id": "String", "type": "String", "value": "String" } ]` Jedes Objekt erkennbarer Elemente enthält auch die von angegebenen Felder included_fields.observable.common_fieldsParameter im Anforderungstext.
Erkennbare Elemente.Attribute	Name-Wert-Paare für die von angegebenen Felder included_fields.observable.attributes.<observable_type>Parameter im Anforderungstext. Datentyp: Objekt `"attributes": { "<field>": "<value>" }`
Erkennbare Elemente.Beziehungen	Beziehungen für das erkennbare Element. Die Typen der zurückgegebenen Beziehungen werden von angegeben relationshipsParameter im Anforderungstext und die für jede Beziehung zurückgegebenen Felder werden von angegeben included_fieldsParameter im Anforderungstext. Dieses Beispiel zeigt die grundlegende Struktur dieses Parameters. Die zurückgegebenen Beziehungstypen und Felder variieren jedoch je nach Anforderungstext-Parametern. Datentyp: Objekt `"relationships": { "observable": [ { "sys_id": "String", "type": "String", "value": "String" } ], "indicator": [ { "id": "String", "name": "String", "sys_id": "String" } ], "attack_pattern": [ { "id": "String", "name": "String", "sys_id": "String" } ] }`
Erkennbare Elemente.sys_ID	SYS_ID des erkennbaren Elements. Datentyp: Zeichenfolge Tabelle: Erkennbares Element [sn_sec_tisc_observable]
Erkennbare Elemente.Typ	Typ des erkennbaren Elements. Eine vollständige Liste der gültigen erkennbaren Typen finden Sie unter Wert Feld in der Tabelle „Typ des erkennbaren Elements“ [sn_sec_tisc_observable_type]. Datentyp: Zeichenfolge
Erkennbare Elemente.Wert	Wert, der dem erkennbaren Element zugeordnet ist, z. B. eine IP-Adresse oder URL. Datentyp: Zeichenfolge
origin	Ursprungsanwendung der Antwort, d. h. Threat Intelligence-Sicherheitszentrum( TISC). Der Wert dieses Parameters ist `sn_sec_tisc` . Dieser Wert kann optional von SIEMs verwendet werden, die die API-Antwort verwenden, um nachzuverfolgen, ob die Intelligenz von stammt TISC Hat zur Erstellung von Security Incidents geführt. Datentyp: Zeichenfolge
page_size	Maximale Anzahl von erkennbaren Elementen, die in der Antwort zurückgegeben werden. Wird für Paginierung verwendet. Datentyp: Zeichenfolge
status	Status der API-Anforderung. Mögliche Werte: Fehler Erfolg Wenn die Anforderung fehlgeschlagen ist, lesen Sie unter errorParameter im Antworttext für weitere Informationen zum Fehler. Datentyp: Zeichenfolge

cURL-Anforderung

Dieses Beispiel gibt die erste Seite der Daten erkennbarer Elemente zurück. Die observable_filtersDer Parameter gibt an, dass nur erkennbare Elemente zurückgegeben werden sollen, die der Bedingung entsprechen Status = aktiv UND [Threat_Score >= 70 ODER Konfidenz >= 50] .

curl 'http://instance.servicenow.com/api/sn_sec_tisc/v1/threat_intel_data/observables' \
--request POST \
--header 'Content-Type: application/json' \
--header 'Authorization: Basic YWRtaW46YWRtaW4=' \
--data '{
   "page_size": "100",
   "page_token": "",
   "relationships": [
      "observable",
      "threat_actor",
      "indicator",
      "reference",
      "attack_pattern"
   ],
   "included_fields": {
      "observable": {
         "common_fields": {
            "include_all_fields": false,
            "values": [
               "value",
               "reputation",
               "confidence"
            ]
         },
         "attributes": {
            "ip_v4_address": {
               "include_all_fields": false,
               "values": [
                  "as_number"
               ]
            },
            "artifact": {
               "include_all_fields": false,
               "values": [
                  "mime_type",
                  "encryption_algorithm"
               ]
            }
         }
      },
      "threat_actor": {
         "include_all_fields": false,
         "values": [
            "name",
            "aliases",
            "description",
            "threat_actor_roles"
         ]
      },
      "attack_pattern": {
         "include_all_fields": true
      },
      "indicator": {
         "include_all_fields": false,
         "values": [
            "name",
            "pattern",
            "pattern_type",
            "indicator_types"
         ]
      },
      "reference": {
         "include_all_fields": true,
         "values": [
            "description"
         ]
      }
   },
   "observable_filters": {
      "boolean_operator": "AND",
      "filters": [
         {
            "field_name": "status",
            "operator": "=",
            "field_value": "active"
         },
         {
            "boolean_operator": "OR",
            "filters": [
               {
                  "field_name": "threat_score",
                  "operator": ">=",
                  "field_value": "70"
               },
               {
                  "field_name": "confidence",
                  "operator": ">=",
                  "field_value": "50"
               }
            ]
         }
      ]
   }
}'

Antworttext.

{
   "status": "success",
   "observables": [
      {
         "sys_id": "792e3d1543a0421060eee0ea78b8f227",
         "type": "url",
         "value": "https://www.example.com",
         "confidence": "60",
         "reputation": "",
         "relationships": {
            "observable": [
               {
                  "sys_id": "ccadb19143a0421060eee0ea78b8f25a",
                  "type": "ip_v4_address",
                  "value": "1.1.1.1",
                  "confidence": "20",
                  "reputation": "malicious"
               }
            ],
            "indicator": [
               {
                  "id": "indicator--294d97754364c21060eee0ea78b8f2ae",
                  "indicator_types": "",
                  "name": "Poison Ivy",
                  "pattern": "",
                  "pattern_type": "sigma",
                  "sys_id": "a54d97754364c21060eee0ea78b8f2ae",
                  "type": "indicator"
               }
            ],
            "attack_pattern": [
               {
                  "name": "Phishing",
                  "sys_id": "010d5bf14364c21060eee0ea78b8f2ac",
                  "id": "attack-pattern--810d5bf14364c21060eee0ea78b8f2ac",
                  "type": "attack-pattern"
               }
            ],
            "reference": [
               {
                  "description": "phishing",
                  "reference_source": "CAPEC-98",
                  "sys_created_on": "2024-02-25T03:34:45.000Z",
                  "sys_id": "a42d97354364c21060eee0ea78b8f28c",
                  "sys_updated_on": "2024-02-25T03:34:45.000Z",
                  "url": " https://capec.mitre.org/data/98.html "
               }
            ]
         },
         "attributes": {
            "encryption_algorithm": "mime-type-indicated",
            "mime_type": "application/zip"
         }
      },
      {
         "sys_id": "ccadb19143a0421060eee0ea78b8f2242",
         "type": "ip_v4_address",
         "value": "1.2.2.1",
         "confidence": "70",
         "reputation": "",
         "relationships": {}
      },
      {
         "sys_id": "7ccd359143a0421060eee0ea78b8f264",
         "type": "artifact",
         "value": "pom.xml",
         "confidence": "",
         "reputation": "",
         "relationships": {}
      }
   ],
   "page_size": "100",
   "next_page_token": "drejvfgbresg|7ccd359143a0421060eee0ea78b8f264",
   "is_last_page": true,
   "origin": "sn_sec_tisc"
}