L’API de cybersécurité Feedly – ​​Feedly Blog | Affiliation Center

L'API de cybersécurité Feedly – ​​Feedly Blog

150 000 professionnels de la cybersécurité utilisent Feedly pour collecter des informations sur l’évolution du paysage des menaces.

La recherche et la collecte des menaces constituent une étape de la veille, de l’investigation et de la réponse globales aux menaces.

L’API Feedly Cybersecurity permet aux équipes de sécurité d’intégrer facilement les informations qu’elles collectent dans Feedly dans d’autres systèmes et applications. Certaines équipes utilisent l’API pour extraire des données sur les menaces et les vulnérabilités et alimenter des modèles de priorisation des menaces d’apprentissage automatique plus larges. Certaines équipes utilisent l’API pour créer des tickets Jira basés sur le contenu des tableaux Feedly afin de s’assurer que les vulnérabilités critiques sont examinées et corrigées en temps opportun.

L’accès à l’API Feedly (jusqu’à 200 000 requêtes par mois) est un module complémentaire inclus dans l’édition Enterprise du package Feedly for Cybersecurity.

Dans ce tutoriel, nous allons vous montrer comment utiliser l’API Feedly pour accéder au contenu de vos flux de sécurité, de vos tableaux et de vos priorités Leo.

Authentification

Lorsque vous vous abonnez à Feedly for Cybersecurity Enterprise Edition, nous vous fournirons un jeton d’accès Feedly spécial associé à votre compte. Ce jeton vous permettra d’accéder au contenu de vos flux, tableaux et priorités et d’effectuer jusqu’à 200 000 requêtes par mois.

Articles au format JSON

La représentation JSON d’un article combine une partie du contenu open source inclus sur le RSS ou sur le site Web, des informations CVE/CVSS/Exploit agrégées à partir de bases de données de vulnérabilités et d’exploits, ainsi que les résultats des modèles de cybersécurité Leo.

Le titre, le contenu et les informations visuelles vous donnent accès à l’essentiel du contenu des articles :

Représentation JSON du cœur de l’article

Le tableau commonTopics représente la classification des sujets de Leo. Les entités représentent des CVE, des produits ou des entreprises que Leo a identifiés dans l’article. L’entité CVE inclut CVSS et exploite les informations extraites des bases de données de vulnérabilités.

Le CVSS estimé représente le résultat du modèle de notation CVSS de Leo. Ceci est utile pour les zero-days et les articles qui ne mentionnent pas explicitement un CVE. Dans ces cas, Leo lit le contenu de l’article et calcule un score CVSS approximatif basé sur la terminologie utilisée dans l’article ou le tweet.

Leo enrichissement de l’article

Conseil de pro : lorsqu’un article est ouvert dans l’application Web Feedly, vous pouvez utiliser le raccourci clavier Maj+D pour voir et inspecter le JSON de l’article.

Utilisez le raccourci clavier MAJ+D pour voir l’aperçu de l’article JSON

Accéder au contenu de vos flux

Imaginons que vous disposiez d’un flux « Security News » contenant une liste de sources de sécurité connues et fiables que vous souhaitez suivre.

L’API Feedly vous permet d’interroger Feedly et de demander les 100 derniers articles agrégés dans ce flux. Les articles sont normalisés dans un format JSON qui comprend le titre, le contenu, les informations sources, ainsi que toutes certaines métadonnées de cybersécurité (classification des sujets Leo, métadonnées CVE, métadonnées CVSS, informations sur les exploits.

Vous pouvez utiliser le Point de terminaison de flux pour obtenir les 100 derniers articles publiés dans un flux :

Présentation du point de terminaison de flux

Le paramètre le plus important est le streamId. Chaque flux de votre compte Feedly a un identifiant de flux unique. Lorsque vous sélectionnez le flux dans la barre de navigation de gauche, vous voyez le streamId dans le cadre de l’URL. L’ID de flux est au format `enterprise/xxxx/category/xxxx` pour les flux d’équipe et `user/xxxx/category/xxxx` pour les flux personnels.

Trouver le streamId d’un flux

le paramètre de comptage définit le nombre d’articles que le serveur renverra. Nous vous recommandons de sélectionner un nombre compris entre 20 et 100. Si vous avez besoin d’accéder à plus de 100 articles, vous pouvez utiliser le paramètre de continuation renvoyé par la réponse pour enchaîner les requêtes et demander les 100 articles suivants.

Finalement, le paramètre importantOnly vous permet d’obtenir la liste des articles du flux qui ont été priorisés par Leo.

Des conseils de dépannage:

  • Assurez-vous que les demandes que vous faites sont authentifiées à l’aide du jeton que vous avez reçu de l’équipe Feedly.
  • Assurez-vous que le streamId est codé en URL lorsqu’il est transmis en tant que paramètre au point de terminaison Stream.

Accéder au contenu de vos tableaux

Les équipes de sécurité utilisent des tableaux pour mettre en signet les articles critiques que tout le monde dans l’équipe devrait connaître. Ils utilisent également souvent des tableaux pour mettre en signet les articles qu’ils souhaitent partager avec d’autres applications.

Vous pouvez utiliser le même point de terminaison Stream pour accéder aux N derniers articles marqués manuellement par votre équipe dans un tableau.

La seule différence sera le streamId. Les streamIds du tableau d’équipe sont au format `enterprise/xxxx/tag/xxxx`. Les streamIds du tableau personnel sont au format `user/xxxx/tag/xxxx`.

Trouver le streamId d’une carte

Si les utilisateurs ont annoté les articles avec des notes et des surlignages lors de l’enregistrement de l’article dans un tableau, ces notes et surlignages seront inclus dans la structure JSON de l’article.

JSON de notes et de faits saillants

Exemple : Intégration de Feedly à votre système de billetterie

Voici un exemple de la façon dont vous pouvez rationaliser l’intégration entre le travail de recherche et de collecte de votre équipe de renseignements sur les menaces et le travail d’analyse et de correction de votre équipe des opérations.

L’équipe de recherche crée un tableau Feedly appelé Critical Vulns où pourquoi mettre en signet les articles liés aux vulnérabilités critiques qu’ils veulent que l’équipe des opérations soit au courant et examine.

Chaque fois que l’équipe de recherche trouve un aperçu critique, elle enregistre cet article dans le tableau Critical Vulns, en ajoutant une note expliquant pourquoi elle pense que la vulnérabilité doit être examinée et corrigée.

Au lieu de demander à l’équipe de recherche de créer manuellement un ticket dans votre système de ticketing (Jira, Service Now, etc.), vous pouvez écrire une petite application qui, toutes les 5 minutes, se connecte au tableau Critical Vulns, demande les 20 derniers articles mis en signet dans ce board, et pour chaque nouvel article, utilisé l’API de votre système de billetterie pour créer un nouveau ticket. L’application peut enrichir le ticket avec l’URL de l’article enregistré dans le tableau, les informations CVE, ainsi que les notes et les faits saillants du chercheur.

C’est un moyen puissant de briser les silos entre votre équipe de recherche et votre équipe d’exploitation et de vous assurer que les vulnérabilités critiques sont corrigées plus rapidement.

Conseil de pro : il existe une solution simple pour trouver les nouveaux articles enregistrés dans un tableau. Lorsque votre application traite une liste d’articles, elle doit enregistrer le premier article de la liste et la prochaine fois qu’elle utilisera l’application Stream Feedly pour obtenir les derniers articles mis en signet sur un tableau, votre application pourra utiliser le paramètre newerThan du /v3/stream/content et transmettez cet identifiant d’article au lieu d’un horodatage pour obtenir des articles plus récents.

Beaucoup plus…

L’application Web et les applications mobiles Feedly sont construites au-dessus de l’API Feedly. Cela signifie que chaque élément d’information disponible dans l’application et chaque action effectuée dans l’application est disponible dans l’API.

Pour plus d’informations sur l’API Feedly, veuillez visiter le Site Web du développeur Feedly.

Rationalisez votre intelligence open source

Nous sommes ravis de voir de nombreuses équipes de sécurité utiliser l’API Feedly pour rationaliser leur processus de renseignement sur les menaces open source. Inscrivez-vous aujourd’hui et découvrez ce que Feedly for Cybersecurity peut faire pour vous !

Si vous souhaitez en savoir plus sur la feuille de route de Leo, vous pouvez rejoindre la Feedly Community Slack. 2020 sera une année passionnante avec de nouvelles compétences et des expérimentations audacieuses !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.