Öffentliche API-Endpunkte
IBM® QRadar® Use Case Manager stellt APIs bereit, die Sie für die Interaktion mit den Daten verwenden können.
Use Case Explorer (Explorer für Anwendungsfälle)
Generierung und Download von Berichtsdaten im CSV- oder JSON-Format.
| Endpunkt | Beschreibung |
|---|---|
| POST: /api/use_case_explorer | Generiert einen Bericht zum Anwendungsfallexplorer. |
| GET: /api/use_case_explorer/{reportId}/status | Überprüft den Status eines Anwendungsfallexplorerberichts. |
| GET: /api/use_case_explorer/{reportId}/result | Gibt die Ergebnisse des Use Case Explorer-Ergebnisses seitenweise als JSON-Array zurück |
| POST: /api/use_case_explorer/{reportId}/download_csv | Startet einen Job zum Download eines Explorer-Berichts als CSV-Datei. |
| GET: /api/use_case_explorer/download_csv/{jobId}/status | Überprüft den Status eines Downloadjobs für eine CSV-Datei im Anwendungsfallexplorer. |
| GET: /api/use_case_explorer/download_csv/{jobId}/result | Gibt die Ergebnisse des CSV-Download-Jobs für den Anwendungsfallexplorer zurück. |
| POST: /api/use_case_explorer/{reportId}/download_json | Startet einen Job zum Herunterladen eines Use Case Explorer-Berichts als JSON-Datei |
| GET: /api/use_case_explorer/download_json/{jobId}/status | Überprüft den Status eines Downloadjobs für JSON-Dateien im Anwendungsfallexplorer. |
| GET: /api/use_case_explorer/download_json/{jobId}/result | Gibt die Ergebnisse des JSON-Download-Jobs für den Anwendungsfallexplorer zurück. |
| POST: /api/rules_export/html/{reportId}/download_report | Startet einen Job zum Herunterladen von Use Case Explorer-Regeln als komprimierten HTML-Bericht. Wichtig: Es muss dasselbe SEC-Token wie QRadar Use Case
Manager im Anforderungsheader übergeben werden.
|
| GET: /api/rules_export/html/download_report/{jobId}/status | Überprüft den Status eines Downloadjobs für einen komprimierten HTML-Bericht des Anwendungsfallexplorers. |
| GET: /api/rules_export/html/download_report/{jobId}/result | Gibt die Ergebnisse des Jobs zum Herunterladen komprimierter HTML-Berichte im Anwendungsfallexplorer zurück. |
Protokollquellenabdeckung
Abrufen von Informationen über die Aktivität und den Umfang der Regelprotokollquellen.
| Endpunkt | Beschreibung |
|---|---|
| GET: /api/log_source_types/activity_and_current_rules_count | Gibt Informationen zur Regelprotokollquellentypaktivität und zur aktuellen Abdeckung zurück. |
| GET: /api/log_source_types/current_and_potential_rules_count | Gibt Informationen zur Abdeckung des aktuellen und potenziellen Regelprotokollquellentyps zurück. |
MITRE-Endpunkte
Informationen über Regelzuordnungen abrufen. Erstellen Sie benutzerdefinierte Gegnergruppen und ordnen Sie sie bestehenden Taktiken und Techniken zu. Laden Sie benutzerdefinierte MITRE-Gruppentechnikdateien hoch.
| Endpunkt | Beschreibung |
|---|---|
| POST: /api/custom_mitre_group_technique | Laden Sie eine benutzerdefinierte MITRE-Gruppentechnik-Datei hoch. |
| GET: /api/mappings | Gibt alle MITRE ATT & CK-Regelzuordnungen in QRadar Use Case Managerzurück |
| POST: /api/mappings | Importiert zuvor erstellte Zuordnungen in QRadar Use Case
Manager. Wichtig: Es muss dasselbe SEC-Token wie QRadar Use Case
Manager im Anforderungsheader übergeben werden.
|
| DELETE: /api/mappings | Löscht alle angepassten Regelzuordnungen in QRadar Use Case
Manager und setzt die Zuordnungen auf den IBM Standardwert zurück. Wichtig: Es muss dasselbe SEC-Token wie QRadar Use Case
Manager im Anforderungsheader übergeben werden.
|
| GET: /api/mappings/by_name | Gibt die Regelzuordnungen in QRadar Use Case Managerzurück |
| POST: /api/mappings/by_name | Erstellt neue Regelzuordnungen in QRadar Use Case Manager. |
| DELETE: /api/mappings/by_name | Löscht die Regelzuordnungen in QRadar Use Case
Manager nach Regel-ID. Wichtig: Es muss dasselbe SEC-Token wie QRadar Use Case
Manager im Anforderungsheader übergeben werden.
|
| GET: /api/mitre/mitre_coverage/{ruleUUID} | Gibt alle Regel-und untergeordneten Zuordnungen in QRadar Use Case Manager nach Regel-UUID zurück. |
| GET: /api/mappings/tactics | Gibt alle MITRE ATT & CK-Taktiken und -Techniken in QRadar Use Case Managerzurück |
| GET: /api/mappings/tactics/{tactic_id} | Gibt alle Techniken für die angeforderte MITRE ATT & CK-Taktik in QRadar Use Case Managerzurück |
| GET: /api/mappings/numbers_by_tactic | Gibt die Anzahl der MITRE ATT & CK-Regelzuordnungen pro Taktik in QRadar Use Case Managerzurück. |
| GET: /api/mappings/trends | Gibt die Anzahl der Zuordnungen von MITRE ATT & CK-Regeln in QRadar Use Case Manager pro Tag seit der angegebenen Zeit zurück |
Optimierungsergebnisse
Informieren Sie sich über Tuning-Ergebnisse.
| Endpunkt | Beschreibung |
|---|---|
| GET: /api/rule/findings | Ruft alle Optimierungsergebnisse ab. |
| GET: /api/rule/findings/{ruleId}/findingsByRuleId | Gibt alle Optimierungsergebnisse für eine bestimmte Regel-ID zurück |
Aktive Regelkarten-APIs
Informieren Sie sich über die Diagramme Liste der abgeschlossenen Verstöße nach Grund und Übersicht der aktiven Regeln.
| Element | Beschreibung |
|---|---|
| GET: /api/rule/offense_count | Gibt die Job-ID zurück, die verwendet werden kann, um alle Regeln mit der Anzahl der Verstöße abzurufen. |
| GET: /api/rule/offense_count/{job_id}/status | Gibt den Status des API-Aufrufs zur Zählung der Regelverstöße zurück. |
| GET: /api/rule/offense_count/{job_id}/results | Gibt das Ergebnis eines API-Aufrufs zum Zählen von Regelverstößen zurück. |
| GET: /api/offenses | Gibt die Job-ID zurück, die zum Abrufen der Liste aller Straftaten verwendet werden kann. |
| GET: /api/offenses/{job_id}/status | Gibt den Status des API-Aufrufs für Verstöße zurück. |
| GET: /api/offenses/{job_id}/results | Liefert das Ergebnis des API-Aufrufs für Verstöße. |
| GET: /api/offenses/closing_reasons | Gibt alle Gründe für die Schließung von Straftaten zurück. |
Beispiel
Das folgende Beispiel zeigt eine Anfrage, die das SEC-Token im Header übergibt.
curl -i -k -X 'POST' 'https://xxxxxx/console/plugins/app_proxy:UseCaseManager_Service/api/mappings/by_name?rule_id=234567' -H 'accept: application/json' -H 'sec:xxxxxx'Dabei steht -H 'sec:xxxxxx' für dasselbe SEC-Token, das in QRadar Use Case
Managerverwendet wird.