MITRE ATT&CK 탐지 추이 조회

특정 MITRE ATT&CK 테크닉에 대한 탐지 추이 데이터를 조회합니다.

필요 권한

사용자 이상의 계정으로 이용할 수 있습니다.

HTTP 요청

GET /api/sonar/mitre-attack/detection/:mitre_id

cURL 예시

curl -H "Authorization: Bearer <API_KEY>" \
     "https://HOSTNAME/api/sonar/mitre-attack/detection/T1190?from=2024-01-01+00:00:00%2B0900&to=2024-01-31+23:59:59%2B0900&span=1d"

요청 매개변수

키	필수	타입	설명	비고
mitre_id	O	문자열	MITRE ATT&CK 테크닉 ID	경로 파라미터 (예: `T1001`)
tactic_id	X	문자열	MITRE ATT&CK 택틱 ID	예: `TA0001`
from	O	날짜	시작 일시	`yyyy-MM-dd HH:mm:ssZ` 형식
to	O	날짜	끝 일시	`yyyy-MM-dd HH:mm:ssZ` 형식
span	X	문자열	추이 그룹 시간 간격	예: `1d`, `1h`

정상 응답

{
  "detection": {
    "host_count": 5,
    "event_count": 120,
    "trends": [
      {
        "_time": "2024-01-01 00:00:00+0900",
        "count": 15
      },
      {
        "_time": "2024-01-02 00:00:00+0900",
        "count": 22
      }
    ]
  }
}

detection (맵): 탐지 추이 데이터
- host_count (32비트 정수): 탐지된 호스트 수
- event_count (32비트 정수): 탐지된 이벤트 수
- trends (배열): 시간대별 탐지 추이
  - _time (문자열): 시간 구간
  - count (32비트 정수): 해당 구간의 탐지 건수

오류 응답

날짜 포맷이 잘못된 경우

HTTP 상태 코드 400 응답

{
  "error_code": "invalid-argument",
  "error_msg": "'from' parameter should be date format (yyyy-MM-dd HH:mm:ss+0000)"
}

테크닉이 존재하지 않는 경우

HTTP 상태 코드 200 응답

{
  "detection": null
}