Creación de una secuencia de sucesos AMP de Cisco
La API de Cisco AMP for Endpoints devuelve las credenciales de Advanced Message Queuing Protocol (AMQP) en varias respuestas de consulta de la API de Cisco AMP for Endpoints.
Procedimiento
- Descargue la herramienta de línea de mandatos curl desde el sitio web de descargas de curl (https://curl.haxx.se/download.html).Puede ejecutar el mandato curl en el servidor Cisco o QRadar Console.
- Para crear una secuencia de sucesos de Cisco AMP, escriba uno de los siguientes ejemplos de mandatos. Necesita los valores de parámetro cuando configura un origen de registro en IBM
QRadar.Este mandato puede ejecutarse en cualquier dispositivo. No es necesario que se ejecute en el recopilador de sucesos.Importante: Debido a problemas de formato, pegue las consultas en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Ejemplo 1: Llamada de API predeterminada para obtener todos los ID de suceso y todos los GUID de grupo en una única secuencia de sucesos.
curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>"}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'Ejemplo 2: llamada de API con varios ID de suceso definidos y GUID de grupo.
curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519105, 1090519102,553648199,1090519112], \"group_guid":["0a00a0aa-0000-000a-a000-0a0aa0a0aaa0","aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'Ejemplo 3: llamada de API con un único ID de suceso definido y GUID de grupo.
curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519112], \"group_guid":["aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'Al especificar la consulta, se deben configurar los valores siguientes:- <STREAMNAME> es un nombre de su elección para la secuencia de sucesos.
- <group_guid> es el GUID de grupo que desea utilizar para enlazar con la secuencia de sucesos <0a00a0aa-0000-000a-a000-0a0aa0a0aaa0>. Puede consultar la API de Cisco AMP para encontrar un valor de GUID de grupo, o puede dejar este valor en blanco.
- <CLIENTID:APIKEY> es el ID de cliente y la clave de API que ha creado.
Si se encuentra en la región de Asia Pacífico Japón y China (APJC), cambie
'https://api.amp.cisco.com/v1/event_streams'por'https://api.apjc.amp.cisco.com/v1/event_streams'.Si se encuentra en la región europea, cambie
'https://api.amp.cisco.com/v1/event_streams'por'https://api.eu.amp.cisco.com/v1/event_streams'.Respuesta de consulta de ejemplo:
{ "version":"v1.2.0", "metadata":{ "links":{ "self":"https://api.amp.cisco.com/v1/event_streams" } }, "data":{ "id":2216, "name":"STREAMNAME", "group_guids":[ "0a00a8aa-0000-000a-a000-0a0aa0a0aaa0" ], "event_types":[ 553648130, 554696714 ], "amqp_credentials":{ "user_name":"1116-aa00a0000000000000a0", "queue_name":"event_stream_1116", "password":"0a0aa00a0a0aa000000a0000aa0000aa0a00000a", "host":"export-streaming.amp.cisco.com", "port":"443", "proto":"https" } } }Cada origen de registro puede aceptar una sola corriente independientemente del número de tipos de suceso o group_guids solicitados en la corriente. Si la API de Cisco AMP acepta la solicitud y devuelve la información de conexión de secuencia, puede conectarse a dicha información.
Para obtener más información, consulte la documentación de Cisco (https://api-docs.amp.cisco.com/api_actions/details?api_action=POST+%2Fv1%2Fevent_streams&api_host=api.amp.cisco.com&api_resource=EventStream&api_version=v1).