TISC API

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:48分

    • TISC API は、脅威インテリジェンスセキュリティセンター (TISC) アプリケーションで脅威インテリジェンスデータを追加および取得するためのエンドポイントを提供します。

    この API によって取得されたデータは、セキュリティ情報イベント管理 (SIEM) システムなどの他のセキュリティツールで使用できます。SIEM システムは、この API を使用して TISC と統合し、 TISC 内の脅威に関連する観測事象を取得し、組織のネットワーク内でこれらの脅威を自動的に検出して監視できます。この API を使用すると、セキュリティツールからの観測事象を双方向で共有できます。SIEM システムは、環境内の例外アクティビティを監視し、例外アクティビティに関連付けられた観測事象のリストを TISCに提供できます。

    この API を使用して、脅威インテリジェンスコンテキストで SIEM アラートを強化することもできます。たとえば、IP アドレスからの異常に高いトラフィックに基づいて SIEM アラートが生成された場合、 TISC 関連する IP アドレスまたはドメインが既知の悪意のあるアクティビティにリンクされているかどうかなどの追加情報を提供できます。この拡張データにより、セキュリティアナリストはアラートをトリアージし、コンテキスト情報を使用して効率的な修復を行うことができます。

    この API には、ServiceNow Store で利用可能な 脅威インテリジェンスセキュリティセンター アプリケーションが必要です。

    この API は sn_sec_tisc 名前空間で実行されます。

    この API の現在のバージョンは v1 です。

    API 認証の詳細については、「 REST API」の「REST API セキュリティ」セクションを参照してください。

    TISCの詳細については、「Threat Intelligence Security Center」を参照してください。

    TISC API - POST /sn_sec_tisc/threat_intel_data/add_observables

    観測事象ソースレコードを 脅威インテリジェンスセキュリティセンター (TISC) アプリケーションに追加します。

    観測事象ソースレコードは観測事象ソース [sn_sec_tisc_observable_source] テーブルに作成され、TISC データフローでの重複排除と集計によって処理されます。

    注:
    このエンドポイントを使用して観測事象ソースレコードを直接更新することはできません。新しいレコードのみを作成できます。したがって、更新が必要なフィールドがごくわずかであっても、すべてのフィールドを要求に含める必要があります。

    このエンドポイントにアクセスするには、呼び出し元に sn_sec_tisc.api_obs_write_access ロールが必要です。このロールは、デフォルトで脅威インテリジェンスアドミンロール (sn_sec_tisc.admin) に含まれています。

    URL 形式

    バージョニングされた URL: /api/sn_sec_tisc/{api_version}/threat_intel_data/add_observables

    デフォルト URL: /api/sn_sec_tisc/threat_intel_data/add_observables

    注:
    利用可能なバージョンは、 REST API エクスプローラーで指定されます。スクリプト済み REST API の場合、[ スクリプト済み REST サービス] フォームに追加のバージョン情報があります。

    サポートされている要求パラメーター

    表 : 1. パスパラメーター
    名前 説明
    api_version オプションアクセスするエンドポイントのバージョン。たとえば、v1v2 などです。最新以外のエンドポイントバージョンを使用する場合にのみ、この値を指定してください。

    データタイプ:文字列
    表 : 2. クエリパラメーター
    名前 説明
    なし
    表 : 3. 要求本文パラメーター (JSON)
    名前 説明
    観察事項 必須。TISCに追加する観測事象オブジェクトのリスト。観測事象オブジェクトごとに、すべての検証が合格すると観測事象ソースレコードが作成され、ソースは要求本文の source パラメーターで定義されたとおりになります。

    データタイプ:オブジェクトのアレイ

    "observables": [
   {
      "attributes": {Object},
      "<field>": "String"
   }
]
    observables.attributes 観測事象に関する属性データを含むフィールドと値のペア。属性は、IP アドレスの AS 番号やネットワークのソケットタイプなど、観測事象タイプに固有です。

    すべての観測事象タイプのすべての属性がサポートされています。有効な属性の完全なリストについては、以下の「観測事象の属性」セクションを参照してください。

    データタイプ: オブジェクト

    "attributes": {
   "<field>": "<value>"
}
    observables.<field> 観測事象に関する一般的なデータを含む名前と値のペア。このパラメーターで指定できるフィールドは、すべての観測事象タイプに共通です。

    [ type ] フィールドと [ value ] フィールドは、すべての観測事象で必須です。

    注:
    値を指定する場合は、次のガイドラインに従ってください。
    • すべての日付は UTC タイムゾーンの ISO 形式である必要があります。
    • 一部のフィールドには、指定されたテーブルの値が必要であるか、使用可能な値のリストがあります。これらのフィールドに無効な値が指定された場合でも、観測事象ソースレコードは作成されますが、無効な値はスキップされます。

    有効なフィールド:

    additional_context
    観測事象に関する追加コンテキスト。
    attack_phases
    攻撃フェーズ名をカンマ区切り値として列挙します。有効な攻撃フェーズの完全なリストについては、キルチェーンフェーズ [sn_sec_tisc_kill_chain_phase] テーブルの [キルチェーンフェーズ名 ] フィールドを参照してください。
    例:
    "attack_phases": "Lockheed Martin: Reconnaissance,Lockheed Martin: Installation"
    author
    観測事象の作成者。
    信頼性
    ソースシステムが観測事象データの正確性に対して持っている信頼性。0 〜 100 の数値である必要があります。
    説明
    観測事象の説明。
    expiration_time
    観測事象レコードの有効期限。
    external_source_id
    ソースシステムからの観測事象の外部 ID。
    first_observed
    データが最初に確認された日付。
    first_seen
    この観測事象が悪意のあるアクティビティを実行していることが初めて確認された日付。
    last_observed
    データが最後に確認された日付。
    last_seen
    この観測事象が悪意のあるアクティビティを実行していることが最後に確認された日付。
    メモ
    観測事象に関する追加のメモ。HTML として書式設定できます。
    reputation
    観測事象の評価。
    可能な値:
    • クリア
    • 悪意がある
    • 怪しい
    • 不明
    source_reported_score
    ソースシステムによって報告された観測事象の悪意スコア。0 〜 100 の数値である必要があります。
    tags
    タグをカンマ区切り値で列挙します。有効なタグの完全なリストについては、タグ [sn_sec_tisc_tag] テーブルの [名前 ] フィールドを参照してください。指定されたタグが存在しない場合、タグは自動的に作成され、観測事象に関連付けられます。
    taxonomies
    カンマ区切り値としての分類のリスト。有効な分類の完全なリストについては、分類値 [sn_sec_tisc_taxonomy_value] テーブルの [分類値 ] フィールドを参照してください。
    threat_level
    観測事象の脅威レベル。
    可能な値:
    threat_severity
    観測事象の脅威の重大度。
    可能な値:
    • 重大
    tlp
    信号機プロトコル (TLP) を使用する観測事象のデータ感度レベル。
    可能な値:
    • CLEAR
    • 琥珀色
    • 琥珀色 + 厳格 (AMBER+STRICT)
    テーブル:TLP ラベル [sn_sec_tisc_tlp_label] テーブルの [ラベル] フィールド。
    type
    必須。観測事象のタイプ。

    有効な観測事象タイプの完全なリストについては、観測事象タイプ [sn_sec_tisc_observable_type] テーブルの [値 ] フィールド、または以下の「観測事象属性」セクションを参照してください。

    usage_categories
    使用カテゴリをカンマ区切り値でリストします。有効な使用カテゴリの完全なリストについては、使用率カテゴリ [sn_sec_tisc_usage_category] テーブルの [使用率カテゴリ ] フィールドを参照してください。
    必須。IP アドレスや URL などの観測事象に関連付けられた値。

    データタイプ:文字列

    テーブル:観察事項ソース [sn_sec_tisc_observable_source]
    ソース 必須。SIEM システムなどの観測事象を最初に検出したソース。

    ソースは、API 要求にリストされているすべての観測事象に使用されます。

    データタイプ:文字列

    格納場所:要求本文で指定されたソースは、API 統合 [sn_sec_tisc_api_integration] テーブルに追加されます。

    ヘッダー

    次のリクエストや応答ヘッダーは、この HTTP アクションにのみ適用されるか、またはこのアクションに別個の方法で適用されます。REST API で使用される一般的なヘッダーのリストについては、「 サポートされている REST API ヘッダー」を参照してください。

    表 : 4. 要求ヘッダー
    ヘッダー 説明
    承認 応答本文のデータフォーマット。application/json のみをサポートします。
    Content-Type 要求本文のデータ形式。application/json のみをサポートします。
    表 : 5. 応答ヘッダー
    ヘッダー 説明
    なし

    ステータスコード

    この HTTP アクションには、次のステータスコードが適用されます。REST API で使用される可能性のあるステータスコードのリストについては、「 REST API HTTP 応答コード」を参照してください。

    表 : 6. ステータスコード
    ステータスコード 説明
    200 成功。要求が正常に処理されました。
    400 要求が正しくありません。要求パラメーターが無効であるか、要求本文の JSON に構文エラーがあります。

    エラーの詳細を表示するには、応答本文の error パラメーターを参照してください。
    401 権限がありません。ユーザー認証が無効です。ユーザー名とパスワードまたは OAuth トークンを確認します。
    403 禁止されました。呼び出し元ユーザーに必要なロールがありません。このエンドポイントにアクセスするには、sn_sec_tisc.api_obs_write_access ロールが必要です。
    429 要求が多すぎます。API 要求の数が API のレート制限を超えています。デフォルトでは、1 時間あたり 100 要求に制限されています。
    500 内部サーバーエラーエラーの詳細については、ログ [syslog] テーブルのアプリケーションログを確認してください。

    応答本文のパラメーター (JSON)

    名前 説明
    エラー エラー情報。このパラメーターは、要求が失敗した場合にのみ返されます。

    データタイプ: オブジェクト

    "error": {
   "message": "String",
   "detail": "String"
}
    error.message 要求が失敗した理由を含むエラーメッセージ。

    データタイプ:文字列
    error.detail 要求が失敗した理由に関するその他の詳細。

    データタイプ:文字列
    error_records TISCに追加できなかった要求に含まれる観測事象の詳細。

    データタイプ:オブジェクトのアレイ

    "error_records": [
  {
    "error_message": "String",
    "type": "String",
    "value": "String"
  }
]
    error_records.error_message 観測事象のレコードを作成できなかった理由を説明するエラーメッセージ。

    データタイプ:文字列
    error_records.type 観測事象のタイプ。

    有効な観測事象タイプの完全なリストについては、観測事象タイプ [sn_sec_tisc_observable_type] テーブルの [値 ] フィールド、または以下の「観測事象属性」セクションを参照してください。

    データタイプ:文字列
    error_records.value IP アドレスや URL などの観測事象に関連付けられた値。

    データタイプ:文字列
    metadata API 要求によって作成されたレコードの数に関するメタデータ。 
    "metadata": {
  "error_records": Number,
  "success_records": Number,
  "total_records": Number
}

    データタイプ: オブジェクト
    metadata.error_records 要求に含まれ、 TISCに追加できなかった観測事象の数。

    データタイプ:数値
    metadata.success_records TISC 年に正常に作成された観測事象レコードの数。

    データタイプ:数値
    metadata.total_records 要求に含まれる観測事象の合計数。

    データタイプ:数値
    ステータス API 要求のステータス。
    可能な値:
    • エラー:観測事象が TISCに正常に追加されませんでした。
    • failure:要求が正しくないか、システムエラーにより、要求が失敗しました。エラーの詳細については、応答本文の error パラメーターを参照してください。
    • partial_success:一部の観測事象が TISCに正常に追加されました。
    • 成功:すべての観測事象が TISCに正常に追加されました。

    データタイプ:文字列
    success_records 正常に作成された観測事象レコードの詳細。

    データタイプ:オブジェクトのアレイ

    "success_records": [
  {
    "sys_id": "String",
    "type": "String",
    "value": "String"
  }
]
    success_records.sys_id 観測事象レコードのSys_id。

    データタイプ:文字列
    success_records.type 観測事象のタイプ。

    有効な観測事象タイプの完全なリストについては、観測事象タイプ [sn_sec_tisc_observable_type] テーブルの [値 ] フィールド、または以下の「観測事象属性」セクションを参照してください。

    データタイプ:文字列
    success_records.value IP アドレスや URL などの観測事象に関連付けられた値。

    データタイプ:文字列

    観察事項属性

    次の表に、各観測事象タイプの有効な属性を示します。
    注:
    すべての日付は UTC タイムゾーンの ISO 形式である必要があります。
    観察事項タイプ 属性 データタイプ
    artifact decryption_key 文字列
    encryption_algorithm 文字列
    md5_hash 文字列
    mime_type 文字列
    sha1_hash 文字列
    sha256_hash 文字列
    sha512_hash 文字列
    URL 文字列
    autonomous_system_number 名前 文字列
    RIR 文字列
    ディレクトリ directory_creation_time 日付
    directory_last_accessed_time 日付
    directory_last_modified_time 日付
    encoded_path 文字列
    domain_name is_fqdn

    (完全修飾ドメイン名)

    		 ブール
    resolves_to 文字列
    email_address display_name 文字列
    email_message email_body 文字列
    email_recipients_bcc 文字列
    email_recipients_cc 文字列
    email_recipients_to 文字列
    email_sender 文字列
    email_subject 文字列
    sent_date 日付
    email_subject なし
    ファイル encoded_file_name 文字列
    file_created_time 日付
    file_last_accessed_time 日付
    file_last_modified_time 日付
    file_name 文字列
    magic_number 文字列
    md5_hash 文字列
    mime_type 文字列
    sha1_hash 文字列
    sha256_hash 文字列
    sha512_hash 文字列
    ip_v4_address as_number 文字列
    mac_address 文字列
    ip_v4_cidr as_number 文字列
    mac_address 文字列
    ip_v6_address as_number 文字列
    mac_address 文字列
    ip_v6_cidr as_number 文字列
    mac_address 文字列
    mac_address なし
    md5_hash なし
    mutex_name なし
    ネットワーク destination_bytes_count 整数
    destination_packets_count 整数
    destination_port
    end_time 日付
    http_message_body_length 整数
    http_request_header 文字列
    http_request_method 文字列
    http_request_value 文字列
    http_request_version 文字列
    network_source 文字列
    network_destination 文字列
    icmp_code_byte 文字列
    icmp_type_byte 文字列
    is_network_active ブール
    is_socket_blocking ブール
    is_socket_listening ブール
    network_protocols 文字列
    socket_address_family 文字列
    可能な値:
    • af_unspec
    • af_inet
    • af_ipx
    • af_appletalk
    • af_netbios
    • af_inet6
    • af_irda
    • af_bth
    socket_descriptor 整数
    socket_handle 整数
    socket_options 文字列
    socket_type 文字列
    可能な値:
    • service_kernel_driver
    • service_file_system_driver
    • service_win32_own_process
    • service_win32_share_process
    source_bytes_count 整数
    source_packets_count 整数
    source_port 文字列
    start_time 日付
    tcp_destination_flags 文字列
    tcp_source_flags 文字列
    その他 なし
    process aslr_enabled ブール
    command_line 文字列
    CWD

    (現在の作業ディレクトリ)

    		 文字列
    dep_enabled ブール
    environment_variables 文字列
    is_hidden ブール
    owner_sid 文字列
    pid

    (プロセス ID)

    		 文字列
    priority 文字列
    process_created_time 日付
    service_descriptions 文字列
    service_display_name 文字列
    service_group_name 文字列
    service_name 文字列
    service_start_type 文字列
    可能な値:
    • service_auto_start
    • service_boot_start
    • service_demand_start
    • service_disabled
    • service_system_alert
    service_status 文字列
    可能な値:
    • service_continue_pending
    • service_pause_pending
    • service_paused
    • service_running
    • service_start_pending
    • service_stop_pending
    • service_stopped
    service_type 文字列
    可能な値:
    • service_kernel_driver
    • service_file_system_driver
    • service_win32_own_process
    • service_win32_share_process
    startup_info 文字列
    windows_integrity_level 文字列
    可能な値:
    • システム
    window_title 文字列
    sha1_hash なし
    sha256_hash なし
    sha512_hash なし
    ソフトウェア cpe

    (共通プラットフォーム列挙)

    		 文字列
    supported_languages 文字列
    SWID

    (ソフトウェアの識別)

    		 文字列
    ベンダー 文字列
    バージョン 文字列
    URL なし
    user_account account_created_time 日付
    account_expiry_time 日付
    口座_タイプ 文字列
    can_escalate_privileges ブール
    credentials_last_changed_time 日付
    display_name 文字列
    first_login_time 日付
    is_account_disabled ブール
    is_privileged ブール
    is_service_account ブール
    last_login_time 日付
    account_login 文字列
    user_id 文字列
    windows_registry_key key_modified_time 日付
    registry_value 文字列
    subkeys_count 整数
    x509_certificate authority_key_identifier 文字列
    basic_constraints 文字列
    certificate_policies 文字列
    crl_distribution_points 文字列
    extended_key_usage 文字列
    inhibit_any_policy 文字列
    発行者 文字列
    issuer_alternative_name 文字列
    is_self_signed ブール
    key_usage 文字列
    name_constraints 文字列
    policy_constraints 文字列
    policy_mappings 文字列
    private_key_usage_valid_from 日付
    private_key_usage_valid_until 日付
    signature_algorithm 文字列
    件名 文字列
    subject_alternative_name 文字列
    subject_directory_attributes 文字列
    subject_key_identifier 文字列
    subject_public_key_algorithm 文字列
    subject_public_key_exponent 整数
    subject_public_key_modulus 文字列
    valid_from 日付
    valid_until 日付
    バージョン 文字列

    cURL 要求

    このサンプル要求には、 TISCでレコードを作成する観測事象が 3 つあります。

    curl 'http://instance.servicenow.com/api/sn_sec_tisc/v1/threat_intel_data/add_observables' \
--request POST \
--header 'Content-Type: application/json' \
--header 'Authorization: Basic YWRtaW46YWRtaW4=' \
--data '{
   "source": "Sentinel",
   "observables": [
      {
         "value": "1.2.1.45",
         "type": "ip_v4_address",
         "reputation": "malicious",
         "confidence": "90",
         "tags": "critical,important",
         "taxonomies": "MITRE: T121",
         "attack_phases": "Lockheed Martin: Reconnaissance",
         "usage_categories": "Infected Bot",
         "first_seen": "2023-10-14T18:01:34.000Z",
         "attributes": {
            "as_number": "14280"
         }
      },
      {
         "value": "https://example.com",
         "type": "url",
         "tags": "important",
         "confidence": "50",
         "reputation": "malicious"
      },
      {
         "value": "1.1.1.1",
         "type": "ip_add",
         "confidence": "50",
         "reputation": "malicious"
      }
   ]
}'

    3 つの観測事象のうち 2 つが TISC に追加されました。観測事象タイプが無効であるため、レコードが 1 つ作成されませんでした。

    {
   "status": "partial_success",
   "metadata": {
      "total_records": 3,
      "success_records": 2,
      "error_records": 1
   },
   "success_records": [
      {
         "value": "1.2.1.45",
         "type": "ip_v4_address",
         "sys_id": "e519392643e642102164e0ea78b8f29d"
      },
      {
         "value": "https://example.com",
         "type": "url",
         "sys_id": "ad1979ae43ea42102164e0ea78b8f241"
      }
   ],
   "error_records": [
      {
         "value": "1.1.1.1",
         "type": "ip_va",
         "error_message": "The 'type' field value is invalid"
      }
   ]
}

    TISC API - POST /sn_sec_tisc/threat_intel_data/observables

    観測事象と他の脅威インテリジェンスデータ (構造化脅威情報表現 (STIX) オブジェクトなど) との関係を含む、観測事象データを取得します。

    応答で返された観測事象は、 sys_id 昇順でソートされます。

    観測事象と STIX オブジェクトの詳細については、「 IoC Repository」を参照してください。

    このエンドポイントにアクセスするには、呼び出し元に sn_sec_tisc.api_obs_read_access ロールが必要です。このロールは、デフォルトで脅威インテリジェンスアドミンロール (sn_sec_tisc.admin) に含まれています。

    URL 形式

    バージョニングされた URL: /api/sn_sec_tisc/{api_version}/threat_intel_data/observables

    デフォルト URL: /api/sn_sec_tisc/threat_intel_data/observables

    注:
    利用可能なバージョンは、 REST API エクスプローラーで指定されます。スクリプト済み REST API の場合、[ スクリプト済み REST サービス] フォームに追加のバージョン情報があります。

    サポートされている要求パラメーター

    表 : 7. パスパラメーター
    名前 説明
    api_version オプションアクセスするエンドポイントのバージョン。たとえば、v1v2 などです。最新以外のエンドポイントバージョンを使用する場合にのみ、この値を指定してください。

    データタイプ:文字列
    表 : 8. クエリパラメーター
    名前 説明
    なし
    表 : 9. 要求本文パラメーター (JSON)
    名前 説明
    included_fields 応答内の観測事象、観測事象参照、および STIX オブジェクトに対して返すフィールド。観測事象、参照、および STIX オブジェクトのタイプごとに異なるフィールドを返すことができます。

    ServiceNow sys_created_on、sys_updated_on、およびsys_idを除くシステムフィールドは、応答で返されません。

    データタイプ: オブジェクト

    "included_fields": { 
   "observable": {Object},
   "reference": {Object},
   "<stix_object>": {Object}
}
    included_fields.observable 観測事象に対して返すフィールド。

    データタイプ: オブジェクト

    "observable": { 
   "attributes": {Object},
   "common_fields": {Object}
}

    デフォルト:すべての観測事象タイプのフィールドsyd_id、タイプ、および値を返します。
    included_fields.observable.attributes 指定された観測事象タイプに対して返すフィールド。

    データタイプ: オブジェクト

    "attributes": { 
   "<observable_type>": {Object}
}

    デフォルト:観測事象タイプに固有のフィールドは返されません。syd_id、タイプ、および値のフィールドのみが返されます。
    included_fields.observable.attributes.<observable_type> 観測事象タイプに対して返すフィールド。

    データタイプ: オブジェクト

    "<observable_type>": { 
   "include_all_fields": Boolean, 
   "values": [Array] 
}

    <observable_type>アーティファクトなどの観測事象タイプの名前に置き換えます。有効な観測事象タイプの完全なリストについては、観測事象タイプ [sn_sec_tisc_observable_type] テーブルの [値] フィールドを参照してください。
    included_fields.observable.attributes.<observable_type>.include_all_fields 観測事象タイプの利用可能なすべてのフィールドを返すかどうかを示すフラグ。
    有効な値:
    • true:観測事象タイプのすべてのフィールドを返します。
    • false:観測事象タイプの values パラメーターで指定されたフィールドのみを返します。

    データタイプ:ブーリアン
    included_fields.observable.attributes.<observable_type>.values 観測事象タイプに対して返されるフィールドのリスト。このパラメーターは、 include_all_fields の値が false の場合にのみ使用してください。

    データタイプ:文字列のアレイ

    "values": [
   "String"
]
    指定されたフィールドは、観測事象タイプのテーブルからcolumn_namesする必要があります。観測事象タイプには、次のテーブルが使用されます。
    • アーティファクト [sn_sec_tisc_artifact]
    • AS 番号 [sn_sec_tisc_as_number]
    • ディレクトリ [sn_sec_tisc_directory]
    • ドメイン名 [sn_sec_tisc_domain_name]
    • メールアドレス [sn_sec_tisc_email_address]
    • メールメッセージ [sn_sec_tisc_email_message]
    • 電子メールの件名 [sn_sec_tisc_email_subject]
    • ファイル [sn_sec_tisc_file]
    • IPv4 [アドレス sn_sec_tisc_ipv4_address]
    • IPv4 CIDR [sn_sec_tisc_ipv4_cidr]
    • IPv6 アドレス [sn_sec_tisc_ipv6_address]
    • IPv6 CIDR [sn_sec_tisc_ipv6_cidr]
    • MAC アドレス [sn_sec_tisc_mac_address]
    • MD5 ハッシュ [sn_sec_tisc_md5_hash]
    • ミューテックス名 [sn_sec_tisc_mutex_name]
    • ネットワーク [sn_sec_tisc_network]
    • その他の観察事項 [sn_sec_tisc_other_observable]
    • プロセス [sn_sec_tisc_process]
    • SHA1 ハッシュ [sn_sec_tisc_sha1_hash]
    • SHA256 ハッシュ [sn_sec_tisc_sha256_hash]
    • SHA512 ハッシュ [sn_sec_tisc_sha512_hash]
    • ソフトウェア [sn_sec_tisc_software]
    • URL [sn_sec_tisc_url]
    • ユーザーアカウント [sn_sec_tisc_user_account]
    • Windows レジストリキー [sn_sec_tisc_windows_registry_key]
    • X.509 証明書 [sn_sec_tisc_x_509_certificate]
    included_fields.observable.common_fields すべての観測事象タイプに対して返すフィールド。

    フィールドはすべての観測事象タイプに共通である必要があるため、観測事象 [sn_sec_tisc_observable] テーブルからのものである必要があります。

    データタイプ: オブジェクト

    "common_fields": { 
   "include_all_fields": Boolean, 
   "values": [Array] 
}

    デフォルト:すべての観測事象タイプのフィールドsyd_id、タイプ、および値を返します。
    included_fields.observable.common_fields.include_all_fields すべての観測事象タイプの観測事象 [sn_sec_tisc_observable] テーブルからすべてのフィールドを返すかどうかを示すフラグ。
    有効な値:
    • true:観測事象 [sn_sec_tisc_observable] テーブルからすべてのフィールドを返します。
    • false: common_fields.values パラメーターで指定されたフィールドのみを返します。

    データタイプ:ブーリアン
    included_fields.observable.common_fields.values すべての観測事象タイプに対して返されるフィールドのリスト。このパラメーターは、 common_fields.include_all_fields の値が false の場合にのみ使用してください。

    データタイプ:文字列のアレイ

    "values": [
   "String"
]

    指定するフィールドは、観測事象 [sn_sec_tisc_observable] テーブルの列名である必要があります。
    included_fields.reference 観測事象参照のために返されるフィールド。観測事象参照は、STIX の外部で表される情報へのポインターを記述するために使用される外部参照です。

    データタイプ: オブジェクト

    "reference": { 
   "include_all_fields": Boolean, 
   "values": [Array] 
}

    デフォルト:reference_source、sys_id、および URL のフィールドを返します。
    included_fields.reference.include_all_fields 観測事象参照に利用可能なすべてのフィールドを返すかどうかを示すフラグ。
    有効な値:
    • true:観測事象参照のすべてのフィールドを返します。
    • false: reference.values パラメーターで指定されたフィールドのみを返します。

    データタイプ:ブーリアン
    included_fields.reference.values 観測事象参照のために返されるフィールドのリスト。このパラメーターは、 reference.include_all_fields の値が false の場合にのみ使用してください。

    データタイプ:文字列のアレイ

    "values": [
   "String"
]

    指定するフィールドは、観測事象参照 [sn_sec_tisc_observable_reference] テーブルの列名である必要があります。
    included_fields.<stix_object> STIX オブジェクトタイプに対して返すフィールドを含むオブジェクト。

    データタイプ: オブジェクト

    "<stix_object>": { 
  "include_all_fields": Boolean, 
  "values": [Array] 
}

    <stix_object> を STIX オブジェクトタイプの名前 (attack_pattern など) に置き換えます。

    有効な STIX オブジェクトタイプ:
    • attack_pattern
    • キャンペーン
    • course_of_action
    • data_component
    • data_source
    • グルーピング
    • identity
    • インシデント
    • インジケーター
    • インフラ
    • intrusion_set
    • 場所
    • マルウェア
    • malware_analysis
    • note
    • observed_data
    • 意見
    • レポート
    • threat_actor
    • ツール
    • 脆弱性

    デフォルト:id、name、および sys_id フィールドを返します。
    included_fields.<stix_object>.include_all_fields STIX オブジェクトタイプの利用可能なすべてのフィールドを返すかどうかを示すフラグ。
    有効な値:
    • true:STIX オブジェクトタイプのすべてのフィールドを返します。
    • false:STIX オブジェクトタイプの values パラメーターで指定されたフィールドのみを返します。

    データタイプ:ブーリアン
    included_fields.<stix_object>.values STIX オブジェクトタイプに対して返されるフィールドのリスト。このパラメーターは、 include_all_fields の値が false の場合にのみ使用してください。

    データタイプ:文字列のアレイ

    "values": [
   "String"
]
    指定されたフィールドは、STIX オブジェクトタイプのテーブルからcolumn_namesする必要があります。STIX オブジェクトには、次のテーブルが使用されます。
    • 攻撃パターン [sn_sec_tisc_attack_pattern]
    • キャンペーン [sn_sec_tisc_campaign]
    • 対処措置 [sn_sec_tisc_course_of_action]
    • データコンポーネント [sn_sec_tisc_aggregated_data_component]
    • データソース [sn_sec_tisc_aggregated_data_source]
    • グループ化 [sn_sec_tisc_threat_grouping]
    • ID [sn_sec_tisc_identity]
    • インシデント [sn_sec_tisc_threat_event]
    • インジケーター [sn_sec_tisc_indicator]
    • インフラストラクチャ [sn_sec_tisc_infrastructure]
    • 侵入セット [sn_sec_tisc_intrusion_set]
    • 場所 [sn_sec_tisc_location]
    • マルウェア [sn_sec_tisc_malware]
    • マルウェア分析 [sn_sec_tisc_malware_analysis]
    • 注釈 [sn_sec_tisc_threat_note]
    • 観測データ [sn_sec_tisc_observed_data]
    • 意見 [sn_sec_tisc_threat_opinion]
    • レポート [sn_sec_tisc_threat_report]
    • 攻撃者 [sn_sec_tisc_threat_actor]
    • ツール [sn_sec_tisc_tool]
    • 脆弱性 [sn_sec_tisc_vulnerability]
    observable_filters 観測事象に適用するフィルター。フィルター基準に一致する観測事象のみが応答で返されます。

    データタイプ: オブジェクト

    "observable_filters": {
   "boolean_operator": "String", 
   "filters": [Array]
}

    デフォルト:空のオブジェクト (フィルターは適用されていません)
    observable_filters.boolean_operator フィルター条件に使用するブール演算子。
    有効な値:
    • AND:すべてのフィルター条件を満たす観測事象を返します。
    • または:少なくとも 1 つのフィルター条件を満たす観測事象を返します。

    データタイプ:文字列
    observable_filters.filters 観測事象に適用するフィルター。
    各フィルターオブジェクトは、単純なものから複雑なものまで作成できます。
    • 簡易フィルターには、フィールド名、演算子、および値が含まれています。
    • 複合フィルターには、ブール演算子と簡易フィルターのアレイが含まれます。ブール演算子は、簡易フィルターの配列に適用されます。

    データタイプ:オブジェクトのアレイ

    "filters": [ 
   //Simple filter 
   { 
      "field_name": "String", 
      "operator": "String", 
      "field_value": "String" 
   }, 
   //Complex filter 
   {
      "boolean_operator": "String", 
      "filters": [
         {
	     "field_name": "String",
	     "operator": "String",
	     "field_value": "String"
         }  
      ]
   }
]
    observable_filters.filters.field_name 観測事象をフィルタリングするために使用するフィールドの名前。
    有効な値:
    • 信頼性
    • reputation
    • security_type
    • ステータス
    • sys_created_on
    • sys_updated_on
    • threat_score
    • type
    • watch_list

    データタイプ:文字列
    observable_filters.filters.operator フィルターに使用する演算子。

    演算子の詳細については、「Operators available for filters and queries」を参照してください。

    フィルターフィールドのデータタイプによって有効な演算子が決まります。次の演算子は、データタイプごとに有効です。

    ブール

    適用フィールド:watch_list

    • 次の値と異なる (!=)
    • 次の値と等しい (=)
    • ISEMPTY
    • ISNOTEMPTY
    選択肢

    適用可能なフィールド:reputation、security_type、status

    • 次の値と異なる (!=)
    • 次の値と等しい (=)
    • ENDSWITH
    • IN
    • LIKE
    • NOT IN
    • NOT LIKE
    • STARTSWITH
    日付-時刻

    適用フィールド:sys_created_on

    • <
    • <=
    • >
    • 次の値以上 (>=)
    • ISEMPTY
    • ISNOTEMPTY
    • ノートン
    • 次の値と一致
    [Number (番号)]

    適用フィールド:信頼性、threat_score

    • 次の値と異なる (!=)
    • 次の値以下 (<=)
    • 次の値と等しい (=)
    • 次の値以上 (>=)
    • ISEMPTY
    • ISNOTEMPTY
    参照

    適用フィールド:タイプ

    • 次の値と異なる (!=)
    • 次の値と等しい (=)
    • IN
    • ISEMPTY
    • ISNOTEMPTY
    文字列

    適用フィールド:値

    • 次の値と異なる (!=)
    • 次の値以下 (<=)
    • 次の値と等しい (=)
    • 次の値以上 (>=)
    • ENDSWITH
    • IN
    • ISEMPTY
    • ISNOTEMPTY
    • LIKE
    • NOT LIKE
    • STARTSWITH

    データタイプ:文字列
    observable_filters.filters.field_value フィールドの値です。

    選択フィールドの場合、値は表示値ではなく内部値である必要があります。日時フィールドの場合、値は UTC タイムゾーンの ISO 形式である必要があります。

    注:
    ISEMPTY 演算子または ISNOTEMPTY 演算子を使用する場合、このパラメーターは必要ありません。

    データタイプ:文字列
    page_size API 応答で返される観測事象の数を制限します。ページネーションに使用されます。

    データタイプ:文字列

    デフォルト:100

    最大値:1000
    page_token 現在のページの観測事象データを取得するために使用されます。

    最初のページを取得するには、このパラメーターを省略するか、このパラメーターの値を空の文字列にする必要があります。次の要求の次のページを取得するには、応答本文の next_page_token 値をこのパラメーターの値として使用します。

    データタイプ:文字列

    デフォルト:空の文字列
    relationships 応答内の観測事象ごとに返す関係タイプ。

    関係は、別の観測事象、観測事象参照、または構造化脅威情報表現 (STIX) オブジェクトとの場合があります。

    有効な値:
    • attack_pattern
    • キャンペーン
    • course_of_action
    • data_component
    • data_source
    • グルーピング
    • identity
    • インシデント
    • インジケーター
    • インフラ
    • intrusion_set
    • 場所
    • マルウェア
    • malware_analysis
    • note
    • 観測可能項目
    • observed_data
    • 意見
    • 参照
    • レポート
    • threat_actor
    • ツール
    • 脆弱性

    たとえば、アレイ ["observable", "threat_actor"] を渡すと、応答内の観測事象ごとに関連するすべての観測事象と攻撃者が返されます。

    データタイプ:アレイ

    デフォルト:空のアレイ (関係性は返されません)

    ヘッダー

    次のリクエストや応答ヘッダーは、この HTTP アクションにのみ適用されるか、またはこのアクションに別個の方法で適用されます。REST API で使用される一般的なヘッダーのリストについては、「 サポートされている REST API ヘッダー」を参照してください。

    表 : 10. 要求ヘッダー
    ヘッダー 説明
    承認 応答本文のデータフォーマット。application/json のみをサポートします。
    Content-Type 要求本文のデータ形式。application/json のみをサポートします。
    表 : 11. 応答ヘッダー
    ヘッダー 説明
    なし

    ステータスコード

    この HTTP アクションには、次のステータスコードが適用されます。REST API で使用される可能性のあるステータスコードのリストについては、「 REST API HTTP 応答コード」を参照してください。

    表 : 12. ステータスコード
    ステータスコード 説明
    200 成功。要求が正常に処理されました。
    400 要求が正しくありません。要求パラメーターが無効であるか、要求本文の JSON に構文エラーがあります。

    エラーの詳細を表示するには、応答本文の error パラメーターを参照してください。
    401 権限がありません。ユーザー認証が無効です。ユーザー名とパスワードまたは OAuth トークンを確認します。
    403 禁止されました。呼び出し元ユーザーに必要なロールがありません。このエンドポイントにアクセスするには、sn_sec_tisc.api_obs_read_access ロールが必要です。
    429 要求が多すぎます。API 要求の数が API のレート制限を超えています。デフォルトでは、1 時間あたり 500 要求に制限されています。
    500 内部サーバーエラーエラーの詳細については、ログ [syslog] テーブルのアプリケーションログを確認してください。

    応答本文のパラメーター (JSON)

    名前 説明
    エラー エラー情報。このパラメーターは、要求が失敗した場合にのみ返されます。

    データタイプ: オブジェクト

    "error": {
   "message": "String",
   "detail": "String"
}
    error.message 要求が失敗した理由を含むエラーメッセージ。

    データタイプ:文字列
    error.detail 要求が失敗した理由に関するその他の詳細。

    データタイプ:文字列
    is_last_page これが観測事象データの最後のページであるかどうかを示すフラグ。
    有効な値:
    • true:この応答には、データの最後のページが含まれます。
    • false:返すことができる追加のページがあります。

    データタイプ:ブーリアン
    next_page_token 次の API 要求でこの値を使用して、観測事象データの次のページを取得します。要求本文の page_token パラメーターにこの値を指定します。

    データタイプ:文字列
    観察事項 観測事象オブジェクト。

    データタイプ:オブジェクトのアレイ

    "observables": [
  {
    "attributes": {Object},
    "relationships": {Object},
    "sys_id": "String",
    "type": "String",
    "value": "String"
  }
]
    各観測事象オブジェクトには、要求本文の included_fields.observable.common_fields パラメーターで指定されたフィールドも含まれます。
    observables.attributes 要求本文の included_fields.observable.attributes.<observable_type> パラメーターで指定されたフィールドの名前と値のペア。

    データタイプ: オブジェクト

    "attributes": {
   "<field>": "<value>"
}
    Observables.Relationships 観測事象の関係性。返される関係のタイプは要求本文の relationships パラメーターで指定され、各関係に対して返されるフィールドは要求本文の included_fields パラメーターで指定されます。

    この例は、このパラメーターの基本構造を示しています。ただし、返される関係タイプとフィールドは、要求本文のパラメーターによって異なります。

    データタイプ: オブジェクト

    "relationships": {
   "observable": [
      {
         "sys_id": "String",
         "type": "String",
         "value": "String"
      }
   ],
   "indicator": [
      {
         "id": "String",
         "name": "String",
         "sys_id": "String"
      }
   ],
   "attack_pattern": [
      {
         "id": "String",
         "name": "String",
         "sys_id": "String"
      }
   ]
}
    observables.sys_id 観測事象のSys_id。

    データタイプ:文字列

    テーブル:観測事象 [sn_sec_tisc_observable]
    observables.type 観測事象のタイプ。有効な観測事象タイプの完全なリストについては、観測事象タイプ [sn_sec_tisc_observable_type] テーブルの [値 ] フィールドを参照してください。

    データタイプ:文字列
    observables.value IP アドレスや URL などの観測事象に関連付けられた値。

    データタイプ:文字列
    origin 応答の作成元アプリケーション。 脅威インテリジェンスセキュリティセンター (TISC) です。このパラメーターの値は sn_sec_tisc です。

    必要に応じて、API 応答を利用する SIEM がこの値を使用して、 TISC からのインテリジェンスがセキュリティインシデントの作成につながったかどうかを追跡できます。

    データタイプ:文字列
    page_size 応答で返される観測事象の最大数。ページネーションに使用されます。

    データタイプ:文字列
    ステータス API 要求のステータス。
    可能な値:
    • failure
    • 正常終了

    要求が失敗した場合は、応答本文の error パラメーターでエラーの詳細を確認してください。

    データタイプ:文字列

    cURL 要求

    この例では、観測事象データの最初のページを返します。observable_filtersパラメーターは、ステータス = アクティブ AND [threat_score >= 70 OR 信頼性 >= 50] に一致する観測事象のみを返すように指定します。

    curl 'http://instance.servicenow.com/api/sn_sec_tisc/v1/threat_intel_data/observables' \
--request POST \
--header 'Content-Type: application/json' \
--header 'Authorization: Basic YWRtaW46YWRtaW4=' \
--data '{
   "page_size": "100",
   "page_token": "",
   "relationships": [
      "observable",
      "threat_actor",
      "indicator",
      "reference",
      "attack_pattern"
   ],
   "included_fields": {
      "observable": {
         "common_fields": {
            "include_all_fields": false,
            "values": [
               "value",
               "reputation",
               "confidence"
            ]
         },
         "attributes": {
            "ip_v4_address": {
               "include_all_fields": false,
               "values": [
                  "as_number"
               ]
            },
            "artifact": {
               "include_all_fields": false,
               "values": [
                  "mime_type",
                  "encryption_algorithm"
               ]
            }
         }
      },
      "threat_actor": {
         "include_all_fields": false,
         "values": [
            "name",
            "aliases",
            "description",
            "threat_actor_roles"
         ]
      },
      "attack_pattern": {
         "include_all_fields": true
      },
      "indicator": {
         "include_all_fields": false,
         "values": [
            "name",
            "pattern",
            "pattern_type",
            "indicator_types"
         ]
      },
      "reference": {
         "include_all_fields": true,
         "values": [
            "description"
         ]
      }
   },
   "observable_filters": {
      "boolean_operator": "AND",
      "filters": [
         {
            "field_name": "status",
            "operator": "=",
            "field_value": "active"
         },
         {
            "boolean_operator": "OR",
            "filters": [
               {
                  "field_name": "threat_score",
                  "operator": ">=",
                  "field_value": "70"
               },
               {
                  "field_name": "confidence",
                  "operator": ">=",
                  "field_value": "50"
               }
            ]
         }
      ]
   }
}'

    応答本文。

    {
   "status": "success",
   "observables": [
      {
         "sys_id": "792e3d1543a0421060eee0ea78b8f227",
         "type": "url",
         "value": "https://www.example.com",
         "confidence": "60",
         "reputation": "",
         "relationships": {
            "observable": [
               {
                  "sys_id": "ccadb19143a0421060eee0ea78b8f25a",
                  "type": "ip_v4_address",
                  "value": "1.1.1.1",
                  "confidence": "20",
                  "reputation": "malicious"
               }
            ],
            "indicator": [
               {
                  "id": "indicator--294d97754364c21060eee0ea78b8f2ae",
                  "indicator_types": "",
                  "name": "Poison Ivy",
                  "pattern": "",
                  "pattern_type": "sigma",
                  "sys_id": "a54d97754364c21060eee0ea78b8f2ae",
                  "type": "indicator"
               }
            ],
            "attack_pattern": [
               {
                  "name": "Phishing",
                  "sys_id": "010d5bf14364c21060eee0ea78b8f2ac",
                  "id": "attack-pattern--810d5bf14364c21060eee0ea78b8f2ac",
                  "type": "attack-pattern"
               }
            ],
            "reference": [
               {
                  "description": "phishing",
                  "reference_source": "CAPEC-98",
                  "sys_created_on": "2024-02-25T03:34:45.000Z",
                  "sys_id": "a42d97354364c21060eee0ea78b8f28c",
                  "sys_updated_on": "2024-02-25T03:34:45.000Z",
                  "url": " https://capec.mitre.org/data/98.html "
               }
            ]
         },
         "attributes": {
            "encryption_algorithm": "mime-type-indicated",
            "mime_type": "application/zip"
         }
      },
      {
         "sys_id": "ccadb19143a0421060eee0ea78b8f2242",
         "type": "ip_v4_address",
         "value": "1.2.2.1",
         "confidence": "70",
         "reputation": "",
         "relationships": {}
      },
      {
         "sys_id": "7ccd359143a0421060eee0ea78b8f264",
         "type": "artifact",
         "value": "pom.xml",
         "confidence": "",
         "reputation": "",
         "relationships": {}
      }
   ],
   "page_size": "100",
   "next_page_token": "drejvfgbresg|7ccd359143a0421060eee0ea78b8f264",
   "is_last_page": true,
   "origin": "sn_sec_tisc"
}