Cisco AMP イベント・ストリームの作成

Cisco AMP for Endpoints API は、Cisco AMP for Endpoints API のいくつかの照会応答で Advanced Message Queuing Protocol (AMQP) 資格情報を返します。

1. curl コマンド・ライン・ツールを curl ダウンロード Web サイト (https://curl.haxx.se/download.html) からダウンロードします。
   curl コマンドは、 Cisco サーバーまたは QRadar Consoleで実行できます。
2. Cisco AMP イベント・ストリームを作成するには、以下のコマンド例のいずれかを入力します。 このパラメーター値は、 IBM QRadarでログ・ソースを構成するときに必要になります。
   このコマンドは、どのデバイスでも実行できます。 イベント・コレクター上で実行する必要はありません。

   重要: フォーマットの問題のため、照会をテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

   例 1: 単一のイベント・ストリーム内のすべてのイベント ID およびすべてのグループ GUID を取得するためのデフォルト API 呼び出し。

   curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>"}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

   例 2: 複数の定義済みイベント ID およびグループ GUID が含まれる API 呼び出し。

   curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519105, 1090519102,553648199,1090519112], \"group_guid":["0a00a0aa-0000-000a-a000-0a0aa0a0aaa0","aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

   例 3: 単一の定義済みイベント ID およびグループ GUID が含まれる API 呼び出し。

   curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519112], \"group_guid":["aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

   照会を入力する場合は、以下の値を構成する必要があります。

   • <STREAMNAME> は、イベント・ストリーム用に選択した名前です。
   • <group_guid> は、 <0a00a0aa-0000-000-a000-0a0a0a0aaa0> イベント・ストリームにリンクするために使用するグループ GUID です。 グループ GUID 値を見つけるために Cisco AMP API を参照するか、この値をブランクのままにしておくことができます。
   • <CLIENTID:APIKEY> は、作成した クライアント ID および API キー です。

   アジア太平洋、日本、中国 (APJC) 地域にいる場合は、'https://api.amp.cisco.com/v1/event_streams' を 'https://api.apjc.amp.cisco.com/v1/event_streams' に変更します。

   ヨーロッパ地域にいる場合は、'https://api.amp.cisco.com/v1/event_streams' を 'https://api.eu.amp.cisco.com/v1/event_streams' に変更します。

   照会応答の例:

   {
      "version":"v1.2.0",
      "metadata":{
         "links":{
            "self":"https://api.amp.cisco.com/v1/event_streams"
         }
      },
      "data":{
         "id":2216,
         "name":"STREAMNAME",
         "group_guids":[
            "0a00a8aa-0000-000a-a000-0a0aa0a0aaa0"
         ],
         "event_types":[
            553648130,
            554696714
         ],
         "amqp_credentials":{
            "user_name":"1116-aa00a0000000000000a0",
            "queue_name":"event_stream_1116",
            "password":"0a0aa00a0a0aa000000a0000aa0000aa0a00000a",
            "host":"export-streaming.amp.cisco.com",
            "port":"443",
            "proto":"https"
         }
      }
   }
   

   各ログ・ソースは、ストリーム内で要求されたイベント・タイプまたは group_guids の数にかかわらず、単一のストリームを受け入れることができます。 Cisco AMP API が要求を受け入れ、ストリーム接続情報を返した場合、ユーザーはその情報に接続できます。

   詳細については、 Cisco の資料 (https://api-docs.amp.cisco.com/api_actions/details?api_action=POST+%2Fv1%2Fevent_stream&api_host=api.amp.cisco.com&api_resource=EventStream&api_version=v1) を参照してください。