taxii-delete-object
파이프라인으로 전달된 레코드의 id 필드 값을 사용하여 TAXII 2.x 서버의 특정 컬렉션에서 STIX 객체를 폐기(revoke) 처리합니다. TAXII 프로토콜에서 객체 삭제는 revoked 플래그를 true로 설정하는 방식으로 구현됩니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 가공 쿼리 |
| 필요 권한 | 사용자 권한 |
| 라이선스 사용량 | 라이선스 집계와 무관한 명령어 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 미지원 |
문법
taxii-delete-object profile=profile_name apiroot=api_root_name id=collection_id
옵션
profile=profile_name- 사용할 TAXII 접속 프로파일 이름입니다.
apiroot=api_root_name- 객체를 삭제할 TAXII API 루트 이름입니다. 필수 옵션입니다.
id=collection_id- 객체를 삭제할 컬렉션 ID(GUID 형식)입니다. 필수 옵션입니다.
입력 필드
| 필드 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| id | 문자열 | 필수 | 삭제할 STIX 객체 ID |
출력 필드
입력 레코드를 그대로 출력합니다. 오류가 발생하면 _error 필드가 추가됩니다.
| 필드 | 타입 | 설명 |
|---|---|---|
| _error | 문자열 | 오류 발생 시 오류 메시지 |
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
| 201800 | No available TAXII profile found. | 사용 가능한 TAXII 프로파일이 없는 경우 |
| 201801 | Specify valid TAXII profile. | 지정한 TAXII 프로파일 이름이 유효하지 않은 경우 |
| 201802 | Specify apiroot option | apiroot 옵션을 지정하지 않은 경우 |
| 201803 | Specify id option | 컬렉션 id 옵션을 지정하지 않은 경우 |
| 201804 | check GUID format of TAXII id option | 컬렉션 id 옵션이 GUID 형식이 아닌 경우 |
설명
파이프라인으로 전달된 각 레코드의 id 필드에 해당하는 STIX 객체를 TAXII 컬렉션에서 조회하고, 해당 객체의 revoked 속성을 true로 설정하여 업데이트합니다. id 필드가 문자열이 아니거나 대상 객체가 존재하지 않으면 _error 필드에 오류 메시지를 기록합니다.
TAXII 프로토콜에서 객체 삭제는 실제 삭제가 아닌 폐기(revocation) 처리이므로, 폐기된 객체는 revoked=true 상태로 컬렉션에 남아 있습니다.
사용 예
-
컬렉션에서 STIX 객체 폐기 처리
taxii-objects profile="my-taxii" apiroot="taxii" id="12345678-1234-1234-1234-123456789abc" | search type == "indicator" AND revoked == false | taxii-delete-object profile="my-taxii" apiroot="taxii" id="12345678-1234-1234-1234-123456789abc"컬렉션에서 폐기되지 않은 indicator 유형 객체를 모두 폐기 처리합니다.
호환성
taxii-delete-object 명령어는 소나 4.0 이전 버전부터 제공되었습니다.