MITRE ATT&CK 대시보드 조회

지정한 기간과 필터 조건에 따라 MITRE ATT&CK 대시보드 데이터를 조회합니다.

필요 권한

사용자 이상의 계정으로 이용할 수 있습니다.

HTTP 요청

cURL 예시

curl -H "Authorization: Bearer <API_KEY>" \
     "https://HOSTNAME/api/sonar/mitre-attack/dashboard?from=2024-01-01+00:00:00%2B0900&to=2024-01-31+23:59:59%2B0900"

요청 매개변수

정상 응답

{
  "dashboard": {
    "tactics": [
      {
        "mitre_id": "TA0001",
        "name": "Initial Access",
        "description": "The adversary is trying to get into your network.",
        "count": 15
      }
    ],
    "techniques": [
      {
        "mitre_id": "T1190",
        "name": "Exploit Public-Facing Application",
        "tactic_ids": [
          "TA0001"
        ],
        "count": 8
      }
    ],
    "total_events": 150,
    "time_range": {
      "from": "2024-01-01 00:00:00+0900",
      "to": "2024-01-31 23:59:59+0900"
    }
  }
}

• dashboard (맵): 대시보드 데이터
  • tactics (배열): 탐지된 MITRE ATT&CK 택틱 목록
    • mitre_id (문자열): MITRE ATT&CK 택틱 ID
    • name (문자열): 택틱 이름
    • description (문자열): 택틱 설명
    • count (32비트 정수): 탐지 건수
  • techniques (배열): 탐지된 MITRE ATT&CK 테크닉 목록
    • mitre_id (문자열): MITRE ATT&CK 테크닉 ID
    • name (문자열): 테크닉 이름
    • tactic_ids (문자열 배열): 연관된 택틱 ID 목록
    • count (32비트 정수): 탐지 건수
  • total_events (32비트 정수): 전체 이벤트 수
  • time_range (맵): 조회 시간 범위
    • from (문자열): 시작 일시
    • to (문자열): 끝 일시

오류 응답

날짜 포맷이 잘못된 경우

HTTP 상태 코드 400 응답

{
  "error_code": "invalid-argument",
  "error_msg": "'from' parameter should be date format (yyyy-MM-dd HH:mm:ss+0000)"
}

addrs에 유효하지 않은 IP 주소가 포함된 경우

HTTP 상태 코드 400 응답

{
  "error_code": "invalid-argument",
  "error_msg": "invalid IP address: 999.999.999.999"
}

addrs에 유효하지 않은 CIDR 표기가 포함된 경우

HTTP 상태 코드 400 응답

{
  "error_code": "invalid-argument",
  "error_msg": "invalid IP address in CIDR notation: 999.999.999.999/24"
}

addrs에 CIDR 마스크가 0~32 범위를 벗어난 경우

HTTP 상태 코드 400 응답

{
  "error_code": "invalid-argument",
  "error_msg": "CIDR mask must be between 0 and 32: 10.0.0.0/33"
}