MITRE ATT&CK検知トレンド取得
特定のMITRE ATT&CKテクニックに対する検知トレンドデータを取得します。
必要な権限
MEMBER以上のロールが必要です。
HTTPリクエスト
GET /api/sonar/mitre-attack/detection/:mitre_id
cURL例
curl -H "Authorization: Bearer <API_KEY>" \
"https://HOSTNAME/api/sonar/mitre-attack/detection/T1190?from=2024-01-01+00:00:00%2B0900&to=2024-01-31+23:59:59%2B0900&span=1d"
リクエストパラメータ
| キー | 必須 | 型 | 説明 | 備考 |
|---|---|---|---|---|
| mitre_id | ○ | 文字列 | MITRE ATT&CKテクニックID | パスパラメータ(例:T1001) |
| tactic_id | × | 文字列 | MITRE ATT&CKタクティクスID | 例:TA0001 |
| from | ○ | 日付 | 開始日時 | yyyy-MM-dd HH:mm:ssZ形式 |
| to | ○ | 日付 | 終了日時 | yyyy-MM-dd HH:mm:ssZ形式 |
| span | × | 文字列 | トレンドグループ時間間隔 | 例:1d、1h |
正常応答
{
"detection": {
"host_count": 5,
"event_count": 120,
"trends": [
{
"_time": "2024-01-01 00:00:00+0900",
"count": 15
},
{
"_time": "2024-01-02 00:00:00+0900",
"count": 22
}
]
}
}
- detection(マップ):検知トレンドデータ
- host_count(32ビット整数):検知されたホスト数
- event_count(32ビット整数):検知されたイベント数
- trends(配列):時間帯別の検知トレンド
- _time(文字列):時間区間
- count(32ビット整数):当該区間の検知件数
エラー応答
日付フォーマットが不正な場合
HTTPステータスコード 400
{
"error_code": "invalid-argument",
"error_msg": "'from' parameter should be date format (yyyy-MM-dd HH:mm:ss+0000)"
}
テクニックが存在しない場合
HTTPステータスコード 200
{
"detection": null
}