TISC 인텔 교환 API
외부 시스템이 (TISC) 애플리케이션과 위협 인텔리전스 보안 센터 위협 인텔리전스 데이터를 공유할 수 있도록 합니다.
이 API에는 위협 인텔리전스 보안 센터 에서 ServiceNow Store사용할 수 있는 애플리케이션이 필요합니다.
에 대한 TISC자세한 내용은 다음 문서를 참조하십시오 Threat Intelligence Security Center.
이 API는 sn_sec_tisc 네임스페이스에서 실행됩니다. 호출하는 사용자에게 sn_sec_tisc.api_post_intel 역할이 있어야 합니다.
이 API의 현재 버전은 v1입니다.
TISC 인텔 교환 - POST /sn_sec_tisc/tisc_intel_sharing_api/post_intel
외부 소스의 위협 인텔리전스 데이터를 (TISC) 애플리케이션과 공유합니다 위협 인텔리전스 보안 센터 .
이 엔드포인트는 표시기, 객체 및 옵저버블에 대한 기록뿐만 아니라 인바운드 인텔리전스 기록을 생성합니다.
표시기 기록은 표시기 소스 [sn_sec_tisc_indicator_source] 테이블에 생성됩니다.
객체 기록은 객체 소스 [sn_sec_tisc_object_source]를 확장하는 다음 테이블에 생성됩니다.
- 공격 패턴 소스 [sn_sec_tisc_attack_pattern_source]
- 캠페인 소스 [sn_sec_tisc_campaign_source]
- 동작 소스 방침 [sn_sec_tisc_course_of_action_source]
- 데이터 구성요소 [sn_sec_tisc_data_component]
- 데이터 소스 [sn_sec_tisc_data_source]
- ID 소스 [sn_sec_tisc_identity_source]
- 인프라 소스 [sn_sec_tisc_infrastructure_source]
- 침입 세트 소스 [sn_sec_tisc_intrusion_set_source]
- 위치 소스 [sn_sec_tisc_location_source]
- 맬웨어 분석 소스 [sn_sec_tisc_malware_analysis_source]
- 맬웨어 소스 [sn_sec_tisc_malware_source]
- 표시 정의 소스 [sn_sec_tisc_marking_definition_source]
- 객체 사이팅 소스 [sn_sec_tisc_object_sighting_source]
- 관찰된 데이터 소스 [sn_sec_tisc_observed_data_source]
- 위협 액터 소스 [sn_sec_tisc_threat_actor_source]
- 위협 이벤트 소스 [sn_sec_tisc_threat_event_source]
- 위협 그룹화 소스 [sn_sec_tisc_threat_grouping_source]
- 위협 메모 소스 [sn_sec_tisc_threat_note_source]
- 위협 의견 소스 [sn_sec_tisc_threat_opinion_source]
- 위협 보고서 소스 [sn_sec_tisc_threat_report_source]
- 도구 소스 [sn_sec_tisc_tool_source]
- 취약성 소스 [sn_sec_tisc_vulnerability_source]
옵저버블 기록은 옵저버블 소스 [sn_sec_tisc_observable_source]를 확장하는 다음 테이블에 생성됩니다.
- 아티팩트 소스 [sn_sec_tisc_artifact_source]
- AS 번호 소스 [sn_sec_tisc_as_number_source]
- 디렉터리 소스 [sn_sec_tisc_directory_source]
- 도메인 이름 소스 [sn_sec_tisc_domain_name_source]
- 이메일 주소 소스 [sn_sec_tisc_email_address_source]
- 이메일 메시지 소스 [sn_sec_tisc_email_message_source]
- 이메일 제목 소스 [sn_sec_tisc_email_subject_source]
- 파일 소스 [sn_sec_tisc_file_source]
- IPv4 주소 소스 [sn_sec_tisc_ipv4_address_source]
- IPv4 CIDR 소스 [sn_sec_tisc_ipv4_cidr_source]
- IPv6 주소 소스 [sn_sec_tisc_ipv6_address_source]
- IPv6 CIDR 소스 [sn_sec_tisc_ipv6_cidr_source]
- MAC 주소 소스 [sn_sec_tisc_mac_address_source]
- MD5 해시 소스 [sn_sec_tisc_md5_hash_source]
- 뮤텍스 이름 소스 [sn_sec_tisc_mutex_name_source]
- 네트워크 소스 [sn_sec_tisc_network_source]
- 기타 옵저버블 소스 [sn_sec_tisc_other_observable_source]
- 프로세스 소스 [sn_sec_tisc_process_source]
- SHA1 해시 소스 [sn_sec_tisc_sha1_hash_source]
- SHA256 해시 소스 [sn_sec_tisc_sha256_hash_source]
- SHA512 해시 소스 [sn_sec_tisc_sha512_hash_source]
- 소프트웨어 소스 [sn_sec_tisc_software_source]
- URL 소스 [sn_sec_tisc_url_source]
- 사용자 계정 소스 [sn_sec_tisc_user_account_source]
- Windows 레지스트리 키 소스 [sn_sec_tisc_windows_registry_key_source]
- X.509 인증서 소스 [sn_sec_tisc_x_509_certificate_source]
URL 형식
버전이 지정된 URL: /api/sn_sec_tisc/{api_version}/tisc_intel_sharing_api/post_intel
기본 URL: /api/sn_sec_tisc/tisc_intel_sharing_api/post_intel
지원되는 요청 매개변수
| 이름 | 설명 |
|---|---|
| api_version | 옵션입니다. 액세스할 엔드포인트의 버전입니다. 예를 들어 v1 또는 v2입니다. 최신 버전이 아닌 엔드포인트 버전을 사용하도록 이 값만 지정하십시오. 데이터 유형: 문자열 |
| 이름 | 설명 |
|---|---|
| 없음 |
| 이름 | 설명 |
|---|---|
| <Object> | 공유할 위협 인텔리전스 데이터를 포함하는 STIX 2.1 또는 MISP 페이로드입니다.TISC MISP를 사용하는 경우 MISP 이벤트 페이로드의 배열이어야 합니다. |
헤더
다음 요청 및 응답 헤더는 이 HTTP 작업에만 적용되거나 고유한 방식으로 이 작업에 적용됩니다. REST API에 사용되는 일반 헤더 목록은 지원되는 REST API 헤더를 참조하십시오.
| 머리글 | 설명 |
|---|---|
| 수용 | 응답 본문의 데이터 형식입니다. application/json만 지원합니다. |
| 프로파일-GUID | 데이터가 공유되는 수신 인스턴스에 구성된 인바운드 인텔리전스 프로파일의 고유 식별자입니다. 고유 식별자를 얻으려면 다음의 관리 탭으로 이동하십시오. 그런 다음 인바운드 인텔리전스 프로파일 로 이동하여 사용할 프로파일을 클릭합니다. 프로파일 페이지에서 프로파일 ID 복사 또는 이메일 프로파일 상세 정보를 선택합니다. |
| 공유 인텔 형식 | 공유 중인 데이터의 형식입니다. 가능한 값:
|
| 머리글 | 설명 |
|---|---|
| 콘텐츠-형식 | 응답 본문의 데이터 형식입니다. application/json만 지원합니다. |
상태 코드
이 HTTP 작업에 적용되는 상태 코드는 다음과 같습니다. REST API에 사용되는 가능한 상태 코드 목록은 REST API HTTP 응답 코드를 참조하십시오.
| 상태 코드 | 설명 |
|---|---|
| 200 | 성공입니다. 요청이 성공적으로 처리되었습니다. |
| 400 | 잘못된 요청입니다. 가능한 오류:
|
| 422 | 처리할 수 없는 컨텐츠입니다. 요청 본문이 Shared-Intel-Format 요청 헤더에 지정된 형식을 따르지 않습니다. |
| 500 | 내부 서버 오류입니다. 요청을 처리하는 동안 예기치 않은 오류가 발생했습니다. 응답에는 오류에 대한 추가 정보가 포함되어 있습니다. |
응답 본문 매개변수(JSON)
| 이름 | 설명 |
|---|---|
| 오류 | 오류 정보입니다. 이 매개변수는 요청이 실패한 경우에만 반환됩니다. 데이터 유형: 객체 |
| 오류.메시지 | 요청에 실패한 이유를 포함하는 오류 메시지입니다. 데이터 유형: 문자열 |
| 오류.상세 정보 | 요청 실패 원인에 대한 추가 정보입니다. 데이터 유형: 문자열 |
| 결과 | 성공적으로 생성된 기록에 대한 상세 정보입니다.데이터 유형: 객체 |
| result.createdEntitiesCount | 생성된 엔터티의 각 유형에 대한 개수입니다.데이터 유형: 객체 |
| result.createdEntitiesCount.indicators | 생성된 표시기 수입니다. 데이터 유형: 숫자 |
| result.createdEntitiesCount.objects | 생성된 객체의 수입니다. 데이터 유형: 숫자 |
| result.createdEntitiesCount.observables | 생성된 옵저버블 수입니다. 데이터 유형: 숫자 |
| result.receivedIntelligenceRecord | 생성된 인바운드 인텔리전스 기록의 식별 번호입니다. 데이터 유형: 문자열 테이블: 인바운드 인텔리전스 [sn_sec_tisc_inbound_intelligence] 열: 번호 |
cURL 요청
이 예에서는 STIX 2.1 형식의 데이터를 기반으로 표시기, 객체(맬웨어) 및 옵저버블(도메인 이름)에 대한 레코드를 생성합니다.
curl "https://instancename.service-now.com/api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel" \
--request POST \
--header 'Shared-Intel-Format: STIX 2.1' \
--header 'Profile-GUID: a87febc22b80b210ceeaf5486e91bfdb' \
--header 'Content-Type: application/json' \
--user 'username:password' \
--data '{
"type": "bundle",
"objects": [
{
"id": "domain-name--4b5f73f2-1bf2-5250-8926-55f0604bcb0c",
"type": "domain-name",
"defanged": false,
"value": "testdomain.com",
"object_marking_refs": [
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"
]
},
{
"id": "indicator--64c35f36-1b32-4250-8926-55f0604bcbaf",
"type": "indicator",
"spec_version": "2.1",
"revoked": false,
"confidence": 74,
"object_marking_refs": [
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"
],
"pattern": "[ domain-name:value = 'testdomain.com' ]",
"name": "Test Indicator",
"description": "References to this domain are indicative of the presence of the Test malware in the environment",
"valid_from": "2011-02-11T00:00:00.000Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "exploit"
}
]
},
{
"id": "malware--1ec31776-1b7a-4610-8f18-cb31604bcb36",
"type": "malware",
"spec_version": "2.1",
"revoked": false,
"confidence": 60,
"object_marking_refs": [
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"
],
"name": "Test Malware",
"description": "Once infected with this malware, a host becomes part of the Test Botnet",
"is_family": false,
"last_seen": "2023-06-26T08:04:17.000Z",
"aliases": [
"Alias1"
],
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "control"
}
],
"capabilities": [
"anti-vm"
]
}
]
}'응답 본문.
{
"result": {
"receivedIntelligenceRecord": "IBTI0001001",
"createdEntitiesCount": {
"observables": 1.0,
"indicators": 1.0,
"objects": 1.0
}
}
}cURL 요청
이 예에서는 MISP 형식의 데이터를 기반으로 객체 및 옵저버블에 대한 기록을 만듭니다.
curl "https://instancename.service-now.com/api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel" \
--request POST \
--header 'Shared-Intel-Format: MISP' \
--header 'Profile-GUID: a87febc22b80b210ceeaf5486e91bfdb' \
--header 'Content-Type: application/json' \
--user 'username:password' \
--data '[
{
"Event": {
"id": "134",
"orgc_id": "3",
"org_id": "1",
"date": "2016-03-28",
"threat_level_id": "3",
"info": "OSINT - TREASUREHUNT: A CUSTOM POS MALWARE TOOL",
"published": true,
"uuid": "56f92df0-24f0-4c6e-a297-6f2402de0b81",
"attribute_count": "54",
"analysis": "2",
"timestamp": "1459171202",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1727129707",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"protected": null,
"event_creator_email": "user.name@email.com",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "ed6dd3f3-f4a9-4109-974c-4b8da8795b96",
"local": true
},
"Orgc": {
"id": "3",
"name": "EXAMPLE",
"uuid": "55f6ea5e-2c60-40e5-964f-47a8950d210f",
"local": false
},
"Attribute": [
{
"id": "17426",
"type": "link",
"category": "External analysis",
"to_ids": false,
"uuid": "56f92e2a-1be0-4a3a-a3b6-3f2a02de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170858",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "0",
"object_relation": null,
"value": "https://www.example.html",
"Galaxy": [],
"ShadowAttribute": []
},
{
"id": "17429",
"type": "md5",
"category": "Payload delivery",
"to_ids": true,
"uuid": "56f92ea5-2d50-4fc9-92ef-6f2302de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170981",
"comment": "TREASUREHUNT 0.1",
"value": "cec2810556c63e9c225afb6a5ca58bc1",
"Galaxy": [],
"ShadowAttribute": []
},
{
"id": "17430",
"type": "md5",
"category": "Payload delivery",
"to_ids": true,
"uuid": "56f92ea6-2890-41b3-8059-6f2302de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170982",
"comment": "TREASUREHUNT 0.1",
"value": "cb75de605c171e36c8a593e337275d8f",
"Galaxy": [],
"ShadowAttribute": []
},
{
"id": "17431",
"type": "md5",
"category": "Payload delivery",
"to_ids": true,
"uuid": "56f92ea6-009c-4348-a0b2-6f2302de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170982",
"comment": "TREASUREHUNT 0.1",
"value": "6a9348f582b2e121a5d9bff1e8f0935f",
"Galaxy": [],
"ShadowAttribute": []
}
],
"Tag": [
{
"id": "35",
"name": "tlp:white",
"colour": "#ffffff",
"exportable": true
}
]
}
},
{
"Event": {
"id": "646",
"orgc_id": "3",
"org_id": "1",
"date": "2017-03-10",
"threat_level_id": "2",
"info": "OSINT - Wikileaks Vault7 JQJSNICKER code leak",
"published": true,
"uuid": "58c2fcf1-283c-45fa-b289-45ae02de0b81",
"attribute_count": "14",
"analysis": "2",
"timestamp": "1489174168",
"distribution": "3",
"event_creator_email": "user.name@example.com",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "ed6dd3f3-f4a9-4109-974c-4b8da8795b96",
"local": true
},
"Orgc": {
"id": "3",
"name": "CIRCL",
"uuid": "55f6ea5e-2c60-40e5-964f-47a8950d210f",
"local": false
},
"Attribute": [
{
"id": "140266",
"type": "link",
"category": "External analysis",
"to_ids": false,
"uuid": "58c2fd63-b1a4-4f74-aa79-41a602de0b81",
"value": "http://example.com/",
"Tag": [
{
"id": "35",
"name": "tlp:white",
"colour": "#ffffff"
}
]
},
{
"id": "140268",
"type": "filename|sha1",
"category": "Payload delivery",
"to_ids": true,
"uuid": "58c2fdc4-e6d8-4f6e-9eb5-4dbb02de0b81",
"comment": "JQJSNICKER",
"value": "Installer.dll.embedded.core.dll.file|02aa4d3712f324aa4b125056b52a5200691eb62b"
},
{
"id": "140269",
"type": "filename|sha256",
"category": "Payload delivery",
"to_ids": true,
"uuid": "58c2fdc6-5064-49be-b39a-429402de0b81",
"comment": "JQJSNICKER",
"value": "Installer.dll.embedded.core.dll.file|ea042bd3a7df11273e233c423e9740e6b51001911139855ef39501472a1e5fb0"
}
],
"Tag": [
{
"id": "35",
"name": "tlp:white",
"colour": "#ffffff"
}
]
}
}
]'응답 본문.
{
"result": {
"receivedIntelligenceRecord": "IBTI0001005",
"createdEntitiesCount": {
"observables": 9,
"indicators": 0,
"objects": 2
}
}
}