บทนำ
บทความนี้รวบรวม Use Case ที่พบบ่อยในการใช้ RESTful API และ Syslog ของ Athena NDR เพื่อ integrate กับระบบภายนอก ช่วยให้วิศวกร SOC และทีมพัฒนาเข้าใจแนวทางการใช้งาน API ในชีวิตจริง ได้แก่ การดึง Security Incident ไปยัง SIEM, การสร้าง Ticket อัตโนมัติ และการ push IOC เข้าสู่ Custom Intelligence
ข้อกำหนดเบื้องต้น
- Athena NDR v3.0.98 ขึ้นไป พร้อม API Account
- เอกสารอ้างอิง Sangfor Cyber Command RESTful API to 3rd Party.pdf
- ระบบปลายทางที่พร้อมรับข้อมูล (SIEM, SOAR, Ticket, Threat Intelligence Platform)
Use Case 1: Stream Security Log ไปยัง SIEM ผ่าน Syslog
- ไปที่ System > Data Sharing > Third-Party Platforms คลิก Add
- กรอก Platform Name, Platform IP, เลือก Transmission Protocol เป็น Syslog
- เลือก Protocol (TCP/UDP), Port (default 514) และ Format ที่ SIEM รองรับ เช่น CEF สำหรับ ArcSight/QRadar, LEEF สำหรับ IBM QRadar
- กำหนด Data Type (Security Incident + Security Alert) และ filter ตาม Threat Type/Severity ที่ต้องการ
- บันทึกและตรวจสอบว่า SIEM ได้รับ log ตาม format ที่ตั้งไว้
Use Case 2: ดึง Security Incident ผ่าน REST API ไป SOAR
- SOAR เรียก API login ของ Athena NDR เพื่อรับ token
- เรียก endpoint
/api/v1/incidents(ตามเอกสาร API) โดยส่ง parameter filter เช่น severity, time range - SOAR parse JSON response เพื่อดึง incident_id, threat_name, src_ip, dst_ip และ evidence
- สร้าง Playbook ใน SOAR ให้ enrich, assign owner และสร้าง ticket โดยอัตโนมัติ
- กรณีต้องการ mark incident เป็น handled จาก SOAR เรียก endpoint update incident status ตามที่ API reference ระบุ
Use Case 3: สร้าง Ticket อัตโนมัติใน ITSM
- ตั้ง webhook/middleware ระหว่าง Athena NDR และ ITSM (เช่น Jira, ServiceNow)
- ให้ middleware poll REST API ของ Athena NDR ทุก X นาที เพื่อดึง incident ใหม่ที่ severity = High
- Middleware สร้าง ticket ใหม่พร้อม attach รายละเอียด incident
- เมื่อ ticket ถูก resolve ใน ITSM middleware สามารถเรียก API ของ Athena NDR เพื่อมาร์ค incident เป็น Handled
Use Case 4: Push IOC เข้า Custom Intelligence
- เตรียมรายการ IOC (IP, Domain, URL, File Hash) ในรูปไฟล์ .txt
- ใช้ API หรือช่องทาง import ใน System > Security Capabilities > Detection Engines > New > Custom Intelligence (รองรับสูงสุด 50,000 IOC ต่อไฟล์)
- ระบุ Intelligence Type, Threat Type, Severity และ Source
- ระบบจะเริ่มใช้ IOC เหล่านี้ในการตรวจจับทันที
- สามารถ schedule ให้ระบบภายนอก (TIP, MISP) push IOC เข้ามาอัตโนมัติเป็นรอบ
Use Case 5: Sync Asset จาก CMDB
- ใช้ REST API เพื่อ import asset จาก CMDB เข้ามาใน Athena NDR
- รวมข้อมูล IP, hostname, owner, business system, importance เพื่อให้ dashboard และ report แสดงข้อมูลตรงกับความเป็นจริง
- สามารถ sync เป็นรอบ (เช่น ทุกวัน) หรือ on-demand เมื่อมี asset ใหม่
หมายเหตุ
- ทุกการใช้ API ควรใช้ HTTPS และจำกัด source IP ของ client ผ่าน Web UI Access Control
- หากต้องการ throughput สูง แนะนำให้ใช้ Syslog แทน REST API polling เนื่องจาก real-time กว่าและ overhead น้อยกว่า
- เก็บ log การเรียก API ทั้งฝั่ง client และฝั่ง Athena NDR ไว้เพื่อใช้ในการ audit และ troubleshoot
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น