taxii-add-observed-ip
パイプラインで渡されたレコードのIPアドレスをTAXII 2.xサーバーの特定コレクションにObservedData STIXオブジェクトとして追加します。観測されたIPアドレスをTAXIIサーバーに公開する際に使用します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | 加工クエリ |
| 必要な権限 | ユーザー権限 |
| ライセンス使用量 | ライセンス集計対象外のコマンド |
| 並列実行 | 非対応 |
| 分散実行 | 非対応 |
構文
taxii-add-observed-ip profile=profile_name apiroot=api_root_name id=collection_id
オプション
profile=profile_name- 使用するTAXII接続プロファイル名です。
apiroot=api_root_name- オブジェクトを追加するTAXII APIルート名です。必須オプションです。
id=collection_id- オブジェクトを追加するコレクションID(GUID形式)です。必須オプションです。
入力フィールド
| フィールド | タイプ | 必須/任意 | 説明 |
|---|---|---|---|
| ip | 文字列またはIPアドレス | 必須 | TAXIIコレクションに追加するIPアドレス |
| _time | タイムスタンプ | 任意 | 観測時刻。省略した場合は現在時刻を使用します。 |
出力フィールド
入力レコードをそのまま出力します。エラーが発生した場合は _error フィールドが追加されます。
| フィールド | タイプ | 説明 |
|---|---|---|
| _error | 文字列 | エラー発生時のエラーメッセージ |
エラーコード
パースエラー
| エラーコード | メッセージ | 説明 |
|---|---|---|
| 201800 | No available TAXII profile found. | 使用可能なTAXIIプロファイルがない場合 |
| 201801 | Specify valid TAXII profile. | 指定したTAXIIプロファイル名が有効でない場合 |
| 201802 | Specify apiroot option | apiroot オプションを指定していない場合 |
| 201803 | Specify id option | id オプションを指定していない場合 |
| 201804 | check GUID format of TAXII id option | id オプションがGUID形式でない場合 |
説明
パイプラインで渡された各レコードの ip フィールド値をIPv4Address STIX Cyber ObservableにラップしてObservedDataオブジェクトを作成し、指定したTAXIIコレクションに追加します。_time フィールドがある場合はその値を観測時刻(first_observed、last_observed)として使用し、ない場合は現在時刻を使用します。
ip フィールドが有効なIPアドレスでない場合やTAXIIサーバーへのリクエストが失敗した場合は、_error フィールドにエラーメッセージを記録してレコードをそのまま出力します。
使用例
-
観測されたIPアドレスをTAXIIコレクションに追加
table sonar_event_00001 | fields _time, src_ip | rename src_ip as ip | taxii-add-observed-ip profile="my-taxii" apiroot="taxii" id="12345678-1234-1234-1234-123456789abc"イベントテーブルから送信元IPを取得し、TAXIIコレクションに観測IPオブジェクトとして追加します。