QRadar API エンドポイントの資料およびサポートされるバージョン
QRadar® SIEM Console 上の特定の URL(エンドポイント)に HTTPS リクエストを送信することで RESTful API にアクセスします。 この要求を送信するには、任意のプログラミング言語に組み込まれている HTTP 実装を使用します。 各要求には、認証情報と、要求を変更するパラメーターが含まれています。
QRadar および API のバージョン
| QRadar のバージョン | 導入された REST API のバージョン | サポートされる REST API バージョン | 非推奨の REST API バージョン |
|---|---|---|---|
| 7.5.0 アップデート・パッケージ 14 | 27.0 | 27.0 26.0 25.0 |
24.x |
| 7.5.0 パッケージ12と13を更新 | 26.0 | 26.0 25.0 24.0 |
23.x |
| 7.5.0 パッケージ11の更新 | 25.0 | 25.0 24.0 23.0 |
22.x |
| 7.5.0 パッケージ10の更新 | 24.0 | 24.0 23.0 22.0 |
21.x |
| 7.5.0 パッケージ9の更新 | 23.0 | 23.0 22.0 21.0 |
20.x |
| 7.5.0 パッケージ8を更新 | 22.0 | 22.0 21.0 20.0 |
19.x |
| 7.5.0 パッケージ7の更新 | 21.0 | 21.0 20.0 19.0 |
18.x |
| 7.5.0 パッケージ 6 の更新 | 20.0 | 20.0 19.0 18.0 |
17.x |
| 7.5.0 パッケージ 3 の更新 | 19.0 | 19.0 18.0 17.0 |
16.x |
| 7.5.0 パッケージ 2 の更新 | 18.0 | 18.0 17.0 16.0 |
15.x |
| 7.5.0 | 17.0 16.0 15.0 |
14.x | |
| 7.4.3 | 16.0 | 16.0 15.0 14.0 |
13.x |
| 7.4.2 | 15.0 | 15.0 14.0 13.1 13.0 |
12.x |
| 7.4.1 | 14.0 | 14.0 13.1 13.0 12.1 12.0 |
11.x |
| 7.4.0 フィックスパック 1 | 13.1 | 13.1 13.0 12.1 12.0 |
10.x |
| 7.4.0 | 13.0 | 13.0 12.1 12.0 |
10.x |
API エンドポイント
API エンドポイント は、アクセスするリソースの URL と、そのリソースに対して実行するアクションで構成されます。 アクションは、要求の HTTP メソッド (GET、POST、PUT、または DELETE) によって示されます。
API にアクセスするために必要な許可
- 許可ヘッダーに指定されている QRadar ユーザーのユーザー名およびパスワード。
このユーザー名とパスワードは、HTTP 基本認証を使用して指定します。 すべての要求について、ユーザー名とパスワードを指定して API 要求を行うことができますが、API と QRadar との統合には、常に許可サービス・トークンを使用してください。 資料ページを表示する場合は、ユーザー名とパスワードを使用するオプションのみがサポートされます。
ユーザー・ロール、セキュリティー・プロファイル、およびユーザーの作成について詳しくは、「 IBM QRadar 管理ガイド」を参照してください。
- 許可サービス・トークンを SEC ヘッダーで指定。
許可サービスとして認証を行うには、許可サービスを使用する認証トークンを作成します。 QRadar 許可サービスには、さまざまな API リソースへのアクセスを制御するロールおよびセキュリティー・プロファイルが割り当てられています。
許可サービスの作成時に指定した有効期限日付が、このトークンの有効期限になります。
ユーザー・ロール、セキュリティー・プロファイル、および許可サービスの作成について詳しくは、「 IBM QRadar 管理ガイド」を参照してください。
API 要求および応答
API 要求を送信すると、サーバーから HTTP 応答が返されます。 HTTP 応答の本体には、要求が成功したかどうかを示す状況コードと、応答の詳細が含まれています。 ほとんどのリソースでは、この応答が JavaScript Object Notation (JSON) 形式になります。 使用するプログラミング言語に組み込まれた JSON パッケージまたはライブラリーを使用して、データを抽出することができます。
このプロセスの完全な例については、 GitHub ( https://github.com/ibm-security-intelligence/api-samples )にあるサンプルコードを参照してください。
バージョン・ヘッダー
特定のバージョンの API を要求するには、バージョン・ヘッダーを使用します。 バージョン・ヘッダーを指定しない場合、最新バージョンの API が使用されます。これにより、 QRadar のアップグレード時に統合が中断される可能性があります。 API を使用するたびにバージョン・ヘッダーを指定すると、API クライアントとの統合を解除することなく、新しいバージョンの QRadar に簡単にアップグレードすることができます。
各 API は、セマンティック・バージョン管理のメジャー・コンポーネントとマイナー・コンポーネントを使用します。 API のメジャー・バージョンは、「3」などの自然数を使用して指定します。 API のマイナー・バージョンは、「3.1」のように、メジャー・コンポーネントとマイナー・コンポーネントの組み合わせで指定します。 バージョン・ヘッダーは、API のメジャー・バージョンに設定することも、マイナー・バージョンに設定することもできます。 既存のバージョンと互換性のある変更は、マイナー・バージョン番号の値を増分して導入されます。 互換性のない変更は、メジャー・バージョン番号の値を増分して導入されます。
マイナー・コンポーネントを指定せずに、API のメジャー・バージョンをバージョン・ヘッダーに指定した場合、サーバーは、その API のメジャー・バージョン中の最新のマイナー・バージョンで応答します。 例えば、クライアントがバージョン「3」を要求した場合、サーバーはバージョン「3.1」で応答します。 バージョン 3.0 を使用したい場合は、バージョン・ヘッダーで「3.0」を指定する必要があります。 あるエンドポイントの最新バージョンよりも新しいバージョンを要求した場合、そのエンドポイントの使用可能な最新バージョンが返されます。 各エンドポイントは、より新しいバージョンで変更されていない場合でも、そのエンドポイントが有効である各バージョンにリストされています。
非推奨のエンドポイント
その使用が推奨されず、将来のリリースで削除される予定である API エンドポイントには、非推奨 というマークが付けられます。 統合で代わりの API を使用するための時間的猶予を設けるために、非推奨のエンドポイントは、少なくとも 1 回のリリースを経てから削除されます。それまでは、非推奨であっても正常に機能します。 対話式 API 資料ページには、エンドポイントが「非推奨」としてマークされていることが示されます。 また、非推奨のエンドポイントの API 応答メッセージには、以下のヘッダーが含まれています。Deprecated. 個々の API エンドポイント、または API エンドポイントのバージョン全体に非推奨のマークを付けることができます。 非推奨のエンドポイントは、削除されるまでは引き続き正常に機能します。
API エンドポイントの非推奨プロセスが完了すると、その API エンドポイントは削除されます。 削除されたエンドポイントは、正常に応答しなくなります。 削除されたエンドポイントを呼び出そうとすると、エラーが返されます。 1 つのHTTP 410 Gone削除された個々のエンドポイントに対して応答が返されます。 1 つのHTTP 422 Unprocessable Entityサポートされなくなったバージョンに対する要求に対して応答が返されます。
特定のバージョンの API エンドポイントを呼び出すには、API 要求にバージョン・ヘッダーを含めてください。 特定のバージョンが明示的に要求されていない API 統合はサポートされていません。 バージョンを指定しなかった場合、その要求は、使用可能な最新バージョンに誘導されます。 互換性のない新しいエンドポイントのバージョンがリリースに指定されている場合、統合が解除される可能性があります。 新しいバージョンが使用可能になった場合に簡単にアップグレードできるように、要求のバージョンはコード内で 1 つの場所にまとめておいてください。