TISC インテリジェンス交換 API
外部システムが脅威インテリジェンスデータを 脅威インテリジェンスセキュリティセンター (TISC) アプリケーションと共有できるようにします。
この API には、ServiceNow Store で利用可能な 脅威インテリジェンスセキュリティセンター アプリケーションが必要です。
TISCの詳細については、「Threat Intelligence Security Center」を参照してください。
この API は sn_sec_tisc 名前空間で実行されます。呼び出し元ユーザーには sn_sec_tisc.api_post_intel ロールが必要です。
この API の現在のバージョンは v1 です。
TISC Intel Exchange - POST /sn_sec_tisc/tisc_intel_sharing_api/post_intel
外部ソースからの脅威インテリジェンスデータを 脅威インテリジェンスセキュリティセンター (TISC) アプリケーションと共有します。
このエンドポイントは、受信インテリジェンスレコードの他、インジケーター、オブジェクト、および観測事象のレコードを作成します。
インジケーターレコードは、インジケーターソース [sn_sec_tisc_indicator_source] テーブルに作成されます。
オブジェクトソース [sn_sec_tisc_object_source] を拡張する次のテーブルにオブジェクトレコードが作成されます。
- 攻撃パターンソース [sn_sec_tisc_attack_pattern_source]
- キャンペーンソース [sn_sec_tisc_campaign_source]
- 対処措置ソース [sn_sec_tisc_course_of_action_source]
- データコンポーネント [sn_sec_tisc_data_component]
- データソース [sn_sec_tisc_data_source]
- ID ソース [sn_sec_tisc_identity_source]
- インフラストラクチャソース [sn_sec_tisc_infrastructure_source]
- 侵入セットソース [sn_sec_tisc_intrusion_set_source]
- 場所のソース [sn_sec_tisc_location_source]
- マルウェア分析ソース [sn_sec_tisc_malware_analysis_source]
- マルウェアソース [sn_sec_tisc_malware_source]
- マーキング定義ソース [sn_sec_tisc_marking_definition_source]
- オブジェクトサイティングソース [sn_sec_tisc_object_sighting_source]
- 観察データソース [sn_sec_tisc_observed_data_source]
- 攻撃者ソース [sn_sec_tisc_threat_actor_source]
- 脅威イベントのソース [sn_sec_tisc_threat_event_source]
- 脅威グループ化ソース [sn_sec_tisc_threat_grouping_source]
- 脅威メモのソース [sn_sec_tisc_threat_note_source]
- 脅威に関する意見のソース [sn_sec_tisc_threat_opinion_source]
- 脅威レポートのソース [sn_sec_tisc_threat_report_source]
- ツールソース [sn_sec_tisc_tool_source]
- 脆弱性ソース [sn_sec_tisc_vulnerability_source]
観測事象ソース [sn_sec_tisc_observable_source] を拡張する次のテーブルに観測事象レコードが作成されます。
- アーティファクトソース [sn_sec_tisc_artifact_source]
- AS 番号ソース [sn_sec_tisc_as_number_source]
- ディレクトリソース [sn_sec_tisc_directory_source]
- ドメイン名ソース [sn_sec_tisc_domain_name_source]
- メールアドレスソース [sn_sec_tisc_email_address_source]
- メールメッセージソース [sn_sec_tisc_email_message_source]
- メール件名ソース [sn_sec_tisc_email_subject_source]
- ファイルソース [sn_sec_tisc_file_source]
- IPv4 アドレスソース [sn_sec_tisc_ipv4_address_source]
- IPv4 CIDR ソース [sn_sec_tisc_ipv4_cidr_source]
- IPv6 アドレスソース [sn_sec_tisc_ipv6_address_source]
- IPv6 CIDR ソース [sn_sec_tisc_ipv6_cidr_source]
- MAC アドレスソース [sn_sec_tisc_mac_address_source]
- MD5 ハッシュソース [sn_sec_tisc_md5_hash_source]
- ミューテックス名ソース [sn_sec_tisc_mutex_name_source]
- ネットワークソース [sn_sec_tisc_network_source]
- その他の観察事項ソース [sn_sec_tisc_other_observable_source]
- プロセスソース [sn_sec_tisc_process_source]
- SHA1 ハッシュソース [sn_sec_tisc_sha1_hash_source]
- SHA256 ハッシュソース [sn_sec_tisc_sha256_hash_source]
- SHA512 ハッシュソース [sn_sec_tisc_sha512_hash_source]
- ソフトウェアソース [sn_sec_tisc_software_source]
- URL ソース [sn_sec_tisc_url_source]
- ユーザーアカウントソース [sn_sec_tisc_user_account_source]
- Windows レジストリキーソース [sn_sec_tisc_windows_registry_key_source]
- X.509 証明書ソース [sn_sec_tisc_x_509_certificate_source]
URL 形式
バージョニングされた URL: /api/sn_sec_tisc/{api_version}/tisc_intel_sharing_api/post_intel
デフォルト URL: /api/sn_sec_tisc/tisc_intel_sharing_api/post_intel
サポートされている要求パラメーター
| 名前 | 説明 |
|---|---|
| api_version | オプション。アクセスするエンドポイントのバージョン。たとえば、 v1 や v2 などです。最新以外のエンドポイントバージョンを使用する場合にのみ、この値を指定してください。 データタイプ:文字列 |
| 名前 | 説明 |
|---|---|
| なし |
| 名前 | 説明 |
|---|---|
| <Object> | TISCと共有する脅威インテリジェンスデータを含む STIX 2.1 または MISP ペイロード。MISP を使用する場合は、 MISP イベントペイロードのアレイである必要があります。 |
ヘッダー
次の要求ヘッダーと応答ヘッダーは、この HTTP アクションにのみ適用されるか、別の方法でこのアクションに適用されます。REST API で使用される一般的なヘッダーのリストについては、「 サポートされている REST API ヘッダー」を参照してください。
| ヘッダー | 説明 |
|---|---|
| 承認 | 応答本文のデータフォーマット。application/json のみをサポートします。 |
| プロファイル GUID | データを共有している受信インスタンスで構成された受信インテリジェンスプロファイルの一意の識別子。 一意の識別子を取得するには、の [ 管理 ] タブに移動します をクリックし、[ 受信インテリジェンスプロファイル ] に移動して、使用するプロファイルをクリックします。プロファイルページで、[ プロファイル ID をコピー ] または [ プロファイルの詳細をメール] を選択します。 |
| shared-intel-format | 共有されるデータの形式。 可能な値:
|
| ヘッダー | 説明 |
|---|---|
| Content-Type | 応答本文のデータフォーマット。application/json のみをサポートします。 |
ステータスコード
この HTTP アクションには、次のステータスコードが適用されます。REST API で使用される可能性のあるステータスコードのリストについては、「 REST API HTTP 応答コード」を参照してください。
| ステータスコード | 説明 |
|---|---|
| 200 | 成功。要求が正常に処理されました。 |
| 400 | 要求が正しくありません。 考えられるエラー:
|
| 422 | 処理不能なコンテンツ。要求本文が、 Shared-Intel-Format 要求ヘッダーで指定された形式に従っていません。 |
| 500 | 内部サーバーエラー要求の処理中に予期しないエラーが発生しました。応答には、エラーに関する追加情報が含まれています。 |
応答本文のパラメーター (JSON)
| 名前 | 説明 |
|---|---|
| エラー | エラー情報。このパラメーターは、要求が失敗した場合にのみ返されます。 データタイプ: オブジェクト |
| error.message | 要求が失敗した理由を含むエラーメッセージ。 データタイプ:文字列 |
| error.detail | 要求が失敗した理由に関するその他の詳細。 データタイプ:文字列 |
| result | 正常に作成されたレコードの詳細。データタイプ: オブジェクト |
| result.createdEntitiesCount | 作成されたエンティティの各タイプの数。データタイプ: オブジェクト |
| result.createdEntitiesCount.indicators | 作成されたインジケーターの数。 データタイプ:数値 |
| result.createdEntitiesCount.objects | 作成されたオブジェクトの数。 データタイプ:数値 |
| result.createdEntitiesCount.observables | 作成された観測事象の数。 データタイプ:数値 |
| result.receivedIntelligenceRecord | 作成された受信インテリジェンスレコードの識別番号。 データタイプ:文字列 テーブル:受信インテリジェンス [sn_sec_tisc_inbound_intelligence] 列:数値 |
cURL 要求
この例では、STIX 2.1 形式のデータに基づいて、インジケーター、オブジェクト (マルウェア)、および観測事象 (ドメイン名) のレコードを作成します。
curl "https://instancename.service-now.com/api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel" \
--request POST \
--header 'Shared-Intel-Format: STIX 2.1' \
--header 'Profile-GUID: a87febc22b80b210ceeaf5486e91bfdb' \
--header 'Content-Type: application/json' \
--user 'username:password' \
--data '{
"type": "bundle",
"objects": [
{
"id": "domain-name--4b5f73f2-1bf2-5250-8926-55f0604bcb0c",
"type": "domain-name",
"defanged": false,
"value": "testdomain.com",
"object_marking_refs": [
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"
]
},
{
"id": "indicator--64c35f36-1b32-4250-8926-55f0604bcbaf",
"type": "indicator",
"spec_version": "2.1",
"revoked": false,
"confidence": 74,
"object_marking_refs": [
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"
],
"pattern": "[ domain-name:value = 'testdomain.com' ]",
"name": "Test Indicator",
"description": "References to this domain are indicative of the presence of the Test malware in the environment",
"valid_from": "2011-02-11T00:00:00.000Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "exploit"
}
]
},
{
"id": "malware--1ec31776-1b7a-4610-8f18-cb31604bcb36",
"type": "malware",
"spec_version": "2.1",
"revoked": false,
"confidence": 60,
"object_marking_refs": [
"marking-definition--f88d31f6-486f-44da-b317-01333bde0b82"
],
"name": "Test Malware",
"description": "Once infected with this malware, a host becomes part of the Test Botnet",
"is_family": false,
"last_seen": "2023-06-26T08:04:17.000Z",
"aliases": [
"Alias1"
],
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "control"
}
],
"capabilities": [
"anti-vm"
]
}
]
}'応答本文。
{
"result": {
"receivedIntelligenceRecord": "IBTI0001001",
"createdEntitiesCount": {
"observables": 1.0,
"indicators": 1.0,
"objects": 1.0
}
}
}cURL 要求
この例では、MISP 形式のデータに基づいてオブジェクトと観測事象のレコードを作成します。
curl "https://instancename.service-now.com/api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel" \
--request POST \
--header 'Shared-Intel-Format: MISP' \
--header 'Profile-GUID: a87febc22b80b210ceeaf5486e91bfdb' \
--header 'Content-Type: application/json' \
--user 'username:password' \
--data '[
{
"Event": {
"id": "134",
"orgc_id": "3",
"org_id": "1",
"date": "2016-03-28",
"threat_level_id": "3",
"info": "OSINT - TREASUREHUNT: A CUSTOM POS MALWARE TOOL",
"published": true,
"uuid": "56f92df0-24f0-4c6e-a297-6f2402de0b81",
"attribute_count": "54",
"analysis": "2",
"timestamp": "1459171202",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1727129707",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"protected": null,
"event_creator_email": "user.name@email.com",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "ed6dd3f3-f4a9-4109-974c-4b8da8795b96",
"local": true
},
"Orgc": {
"id": "3",
"name": "EXAMPLE",
"uuid": "55f6ea5e-2c60-40e5-964f-47a8950d210f",
"local": false
},
"Attribute": [
{
"id": "17426",
"type": "link",
"category": "External analysis",
"to_ids": false,
"uuid": "56f92e2a-1be0-4a3a-a3b6-3f2a02de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170858",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "0",
"object_relation": null,
"value": "https://www.example.html",
"Galaxy": [],
"ShadowAttribute": []
},
{
"id": "17429",
"type": "md5",
"category": "Payload delivery",
"to_ids": true,
"uuid": "56f92ea5-2d50-4fc9-92ef-6f2302de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170981",
"comment": "TREASUREHUNT 0.1",
"value": "cec2810556c63e9c225afb6a5ca58bc1",
"Galaxy": [],
"ShadowAttribute": []
},
{
"id": "17430",
"type": "md5",
"category": "Payload delivery",
"to_ids": true,
"uuid": "56f92ea6-2890-41b3-8059-6f2302de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170982",
"comment": "TREASUREHUNT 0.1",
"value": "cb75de605c171e36c8a593e337275d8f",
"Galaxy": [],
"ShadowAttribute": []
},
{
"id": "17431",
"type": "md5",
"category": "Payload delivery",
"to_ids": true,
"uuid": "56f92ea6-009c-4348-a0b2-6f2302de0b81",
"event_id": "134",
"distribution": "5",
"timestamp": "1459170982",
"comment": "TREASUREHUNT 0.1",
"value": "6a9348f582b2e121a5d9bff1e8f0935f",
"Galaxy": [],
"ShadowAttribute": []
}
],
"Tag": [
{
"id": "35",
"name": "tlp:white",
"colour": "#ffffff",
"exportable": true
}
]
}
},
{
"Event": {
"id": "646",
"orgc_id": "3",
"org_id": "1",
"date": "2017-03-10",
"threat_level_id": "2",
"info": "OSINT - Wikileaks Vault7 JQJSNICKER code leak",
"published": true,
"uuid": "58c2fcf1-283c-45fa-b289-45ae02de0b81",
"attribute_count": "14",
"analysis": "2",
"timestamp": "1489174168",
"distribution": "3",
"event_creator_email": "user.name@example.com",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "ed6dd3f3-f4a9-4109-974c-4b8da8795b96",
"local": true
},
"Orgc": {
"id": "3",
"name": "CIRCL",
"uuid": "55f6ea5e-2c60-40e5-964f-47a8950d210f",
"local": false
},
"Attribute": [
{
"id": "140266",
"type": "link",
"category": "External analysis",
"to_ids": false,
"uuid": "58c2fd63-b1a4-4f74-aa79-41a602de0b81",
"value": "http://example.com/",
"Tag": [
{
"id": "35",
"name": "tlp:white",
"colour": "#ffffff"
}
]
},
{
"id": "140268",
"type": "filename|sha1",
"category": "Payload delivery",
"to_ids": true,
"uuid": "58c2fdc4-e6d8-4f6e-9eb5-4dbb02de0b81",
"comment": "JQJSNICKER",
"value": "Installer.dll.embedded.core.dll.file|02aa4d3712f324aa4b125056b52a5200691eb62b"
},
{
"id": "140269",
"type": "filename|sha256",
"category": "Payload delivery",
"to_ids": true,
"uuid": "58c2fdc6-5064-49be-b39a-429402de0b81",
"comment": "JQJSNICKER",
"value": "Installer.dll.embedded.core.dll.file|ea042bd3a7df11273e233c423e9740e6b51001911139855ef39501472a1e5fb0"
}
],
"Tag": [
{
"id": "35",
"name": "tlp:white",
"colour": "#ffffff"
}
]
}
}
]'応答本文。
{
"result": {
"receivedIntelligenceRecord": "IBTI0001005",
"createdEntitiesCount": {
"observables": 9,
"indicators": 0,
"objects": 2
}
}
}