フィードは、Axur プラットフォームの API から外部のシステムやプラットフォームへ、データを継続的かつ自動的に送信するための仕組みです。現在、プラットフォームでは同じデータ形式(JSON)および同じ作成フローを使用する、2つのフィード配信モードを提供しています。
Feed Pull – データを必要に応じて取得(ポーリング)
Feed Push(Webhook 2.0) – 設定されたエンドポイントへデータを自動送信
サイバーセキュリティの文脈では、フィードはフィッシング、データ漏洩、侵害された認証情報などのデジタル脅威に関するデータを提供するために利用でき、SIEM やその他の外部システムとの連携を可能にします。
フィードの種類
Feed Pull
Pull モードでは、外部システムが必要に応じて HTTP リクエストを実行し、フィードデータを取得します。以下の用途に適しています。
スケジュールされた連携
バッチ処理
すでにポーリングを使用している環境
Feed Push
Push モードは Webhook 2.0 とも呼ばれ、新しいイベントが生成されると同時に、Axur プラットフォームから顧客が定義したエンドポイントへイベントが自動的に送信されます。以下の用途に適しています。
自動化された連携
SIEM
低レイテンシおよび継続的な配信が求められるケース
Feed Pull と Feed Push の違い
特徴 | Feed Pull | Feed Push |
配信方法 | オンデマンド取得 | 自動送信 |
ポーリングの必要性 | あり | なし |
レイテンシ | 取得頻度に依存 | ほぼリアルタイム |
データ形式 | JSON | JSON(同一形式) |
フィードの作成方法
まず、プラットフォームのAPI&インテグレーションページ(https://one.axur.com/api-integrations)にアクセスし、「フィード」セクションに移動します。
作成フローを開始するには、「フィードを追加」ボタンをクリックします。そこから、テンプレートを使用するか、最初からフィードを作成するかを選択できます。
テンプレートの使用
プラットフォームは主要なユースケースのリストを提案します。
テンプレートを選択した後、最終ステップは設定の確認になります。提案された内容と異なるものが必要な場合は、編集できます。どのテンプレートもユースケースに合わない場合は、「テンプレートをスキップ」をクリックします。
最初からフィードを作成する
「テンプレートをスキップ」を選択した場合、フィードのすべての条件を設定する必要があります。
チケットまたはクレデンシャルのフィードを作成することを選択する必要があります。
👉 異なるAPIであるため、両方のために単一のフィードを作成することはできません。したがって、両方のタイプからデータを取得したい場合は、2つのフィードを作成する必要があります。
配信モードの選択
このステップでは、データをどのように配信するかを選択します。
Pull:HTTP リクエストによる取得
Push(Webhook 2.0):設定されたエンドポイントへの自動送信
どちらを選択しても、データ形式および利用可能なフィルターは同じです。
2. 仕様を記入する必要があります。以下を考慮してください:
イベント日
これはイベント更新のために考慮される日付です。これは必須フィールドです。
認証情報の場合、このフィールドは事前に入力されます。チケットの場合、選択可能なオプションは以下の通りです:
最初の検出 (ticket.creation.date): チケットまたは認証情報の最初の検出のみを考慮します。同じチケットに他の検出があっても、フィードには表示されません。
任意の検出 (open.date): チケットのすべての検出を考慮します。
登録されたインシデント (incident.date): チケットがインシデントとして登録された日付のみを考慮します。インシデントになっていないチケットはフィードに表示されません。
撤去要求 (takedown.request.date): 撤去が要求された日付のみを考慮します。撤去要求のないチケットはフィードに表示されません。
任意のチケット更新 (ticket.last-update.date): チケットのすべての更新を考慮します。例えば:メモの追加、タグの追加/削除、インシデントの登録、撤去の要求など。これらのアクションはすべてフィードの更新を引き起こします。
チケットパラメータ
このフィールドでは、フィードのフィルターを定義する必要があります。「ヒントを表示」をクリックすると、フィードの作成例とヒントが表示されます。
複数のフィールドを選択する場合は、パラメータ間に & を使用する必要があります。例えば:
type=fake-social-media-profile&creation.collector=facebook
このフィールドは任意です。空白のままにすると、「イベント日付」フィールドで選択した日付からすべてのイベントが受信されます。
フィードのタイトル
フィードにタイトルを定義するのが最終ステップです。任意ですが、このステップは組織に大いに役立つことがあります。
これはフィードが保存された後に編集できる唯一の設定です。
フィードリスト
フィードリストでは、Axurプラットフォーム上でチームのマネージャーユーザーによって作成されたすべてのフィードを見ることができます。フィードには3つの可能なステータスがあります:
緑: 過去24時間以内に少なくとも1回のリクエストを受けた場合。
黄色: 過去24時間以内にリクエストがなかった場合。
空: フィードがリクエストを受けたことがない場合。
フィードリストでは、どのユーザーがフィードを作成したか、誰が最後に編集したかを確認できます。さらに、フィードへの最後のクエリがいつ行われたか、どのチケットが最後に取得されたかも確認できます。
使用例
フィードを作成する前に、どの使用例に適用するかを考慮する必要があります。いくつかの例を挙げます:
使用例:Facebookからの偽のソーシャルメディアプロファイルの検出を受け取りたい。
イベント日付:任意の検出 (open.date)
パラメータ:type=fake-social-media-profile&creation.collector=facebook
タイトル:偽のFacebookプロファイル
使用例:2024年1月から、ディープ&ダークウェブのすべてのタイプのチケットを受け取りたい。
イベント日付:任意の検出 (open.date)
パラメータ:type=dw-activity,data-exposure-message,data-exposure-website,data-sale-message,data-sale-website,fraud-tool-scheme-message,fraud-tool-scheme-website,suspicious-activity-message,suspicious-activity-website,infrastructure-exposure,ransomware-attack&open.date=ge2024-01-01
タイトル:ディープ&ダークウェブ検出(2024/01/01以降)
使用例:削除リクエストがあったフィッシングチケットを受け取りたい。
イベント日付:削除リクエスト済み (takedown.request.date)
パラメータ:type=phishing
タイトル:削除リクエスト付きフィッシング
使用例:インシデントとなったすべてのチケットを受け取りたい。
イベント日付:インシデント登録済み
パラメータ:空白のまま。
タイトル:プラットフォームのインシデント
リクエストとレスポンス
AxurプラットフォームのAPIに対するリクエストであるため、APIキーは常に認証として含まれる必要があります。認証についての詳細は、技術文書のこのセクションを参照してください。
更新なしのリクエストレスポンスの例
{
"feedData": {
"id": "f48ba821-2880-48fc-bc0e-dffe8312ad4d",
"title": "Detecções de Executivos & VIPs",
"url": "https://api.axur.com/gateway/1.0/api/integration-feed/feeds/feed/f48ba821-2880-48fc-bc0e-dffe8312ad4d",
"createdAt": 1728325096238,
"lastRequest": 1728325104483,
"isActive": true,
"customerKey": "CTA",
"params": "type=executive-fake-social-media-profile,executive-personalinfo-leak,executive-credential-leak,executive-mobile-phone,executive-card-leak",
"eventDate": "open.date",
"nextPage": 1,
"feedType": "ticket"
},
"collectionData": {
"tickets": [],
"pageable": {
"pageNumber": 1,
"pageSize": 50,
"total": 0
}
}
}更新を含むリクエスト応答の例
{
"feedData": {
"id": "31575706-f762-4c56-aafc-78542c9e670b",
"title": "Phishings marcados como incidente",
"url": "https://api.axur.com/gateway/1.0/api/integration-feed/feeds/feed/31575706-f762-4c56-aafc-78542c9e670b",
"lastDataRetrieved": "z5qb1r",
"createdAt": 1728336214469,
"lastRequest": 1728336221044,
"isActive": true,
"customerKey": "ORMUS",
"params": "type=phishing&incident.date=ge2021-01-01",
"eventDate": "incident.date",
"nextPage": 1,
"feedType": "ticket"
},
"collectionData": {
"tickets": [
{
"ticket": {
"reference": "https://ormuspay.wixsite.com/ormuspay/phish-pt",
"ticketKey": "z5qb1r",
"customerKey": "ORMUS",
"creation.user": "10426",
"last-update.date": "2023-01-10T17:34:45Z",
"creation.customer": "ORMUS",
"creation.date": "2022-07-22T13:43:18Z"
},
"detection": {
"creation.user": "10426",
"close.date": "2022-07-26T12:20:36Z",
"treatment.type": "axur",
"incident.date": "2022-07-22T13:43:19Z",
"takedown.notification.date": [
"2022-07-25T17:24:41Z"
],
"isp": "Wix.com Ltd.",
"treatment.date": "2022-07-25T17:22:39Z",
"type": "phishing",
"takedown.resolution": "resolved",
"resolution": "resolved",
"assets": [
"ORMUSP"
],
"host": "ormuspay.wixsite.com",
"takedown.request.date": "2022-07-25T17:19:38Z",
"group": [
null,
"efc_autonotification_failed",
"efc_af_second_verification",
"reup_validation"
],
"takedown.verification.last.type": "auto",
"open.date": "2022-07-22T13:43:18Z",
"takedown.notification.last.type": "manual",
"takedown.reup": "false",
"ip": "199.15.163.145",
"takedown.close.date": "2022-07-26T12:20:36Z",
"creation.customer": "ORMUS",
"domain.registrar": "GoDaddy.com, LLC",
"takedown": "true",
"resolution.reason": "",
"takedown.verification.date": [
"2022-07-26T00:35:12Z",
"2022-07-26T06:52:39Z"
],
"domain": "wixsite.com",
"takedown.uptime": "68155281",
"takedown.close.type": "manual",
"status": "closed"
},
"texts": [],
"snapshots": {
"ipFilter": {
"filtering": false,
"countries": []
},
"content": {
"title": "Login ormus-pay | Ormuspay",
"httpStatusCode": {
"code": 200,
"message": "OK"
},
"hashMD5": {
"value": "ed1e1924300caf7f9902b15df7472cca"
}
},
"isp": {
"location": {
"country": {
"name": "United States"
}
},
"name": "Wix.com Ltd."
},
"digitalLocation": {
"url": "https://ormuspay.wixsite.com/ormuspay/phish-pt",
"host": {
"name": "ormuspay.wixsite.com",
"domain": {
"name": "wixsite.com"
},
"ip": {
"address": "199.15.163.145"
}
}
},
"referenceInfo": {
"originalReference": "https://ormuspay.wixsite.com/ormuspay/phish-pt",
"redirectChain": [],
"finalReference": "https://ormuspay.wixsite.com/ormuspay/phish-pt"
},
"domainInfo": {
"status": "Registered",
"registrar": "GoDaddy.com, LLC",
"registrarEmail": "[email protected]",
"registrant": "Registration Private",
"registrantEmail": "Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=wixsite.com",
"nameServers": {
"hostnames": [
"dns1.p07.nsone.net",
"dns2.p07.nsone.net",
"dns3.p07.nsone.net",
"dns4.p07.nsone.net"
],
"ipAddresses": [
null,
null,
null,
null,
null,
null,
null,
null
]
}
}
}
}
],
"pageable": {
"pageNumber": 1,
"pageSize": 50,
"total": 1
}
}
}FAQ
?dry-run=trueとは何ですか?
このパラメーターはフィードのテストに使用され、URLの最後に追加する必要があります。例えば:https://api.axur.com/gateway/1.0/api/integration-feed/feeds/feed/f27afda8-2e5f-4f55-9243b-4941b49ee51e?dry-run=true。
このパラメーターはテストを容易にするためにあり、フィードの更新ポインターが動かないようにします。正しいイベントが通過していることがテストされ、確認されたら、このパラメーターを削除してフィードポインターが動くようにし、既に読まれた更新を受け取らないようにしてください。
フィードとWebhooksの違いは何ですか?
フィードでは、ユーザーは受け取りたいイベントを正確に選択できますが、これらのイベントを送信するためにはフィードを照会する必要があります。つまり、データはリアルタイムで送信されず、自動的に更新されません。
Webhooksでは、ユーザーはフィルタリングなしで利用可能なすべてのイベントを受け取ります。さらに、Webhooksは照会する必要がなく、イベントはリアルタイムで送信されます。
チケットとクレデンシャルの両方のフィードが欲しいです。どうすればいいですか?
それらは異なるAPIなので、クレデンシャル検出を取得するためのフィードと、チケット検出を取得するための別のフィードを作成する必要があります。同じフィードで両方のタイプを受け取ることはできません。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊