QRadar API 엔드포인트 문서 및 지원되는 버전

QRadar® SIEM 콘솔에서 특정 URL(엔드포인트)로 HTTPS 요청을 전송하여 RESTful API에 액세스합니다. 이러한 요청을 보내려면 선택한 프로그래밍 언어에 빌드된 HTTP 구현을 사용하십시오. 각 요청에는 인증 정보 및 요청을 수정하는 매개변수가 포함되어 있습니다.

QRadar 및 API 버전

참고: API 버전 12.0 이상에 대한 QRadar API 엔드포인트 문서는 이제 GitHub에서 호스팅됩니다. 아래 테이블에서 특정 버전 번호를 클릭하여 각 API 버전에 대한 엔드포인트 문서에 액세스하십시오.
모든 QRadar 버전에는 다음 표에 설명된 대로 REST API 버전이 있습니다.
표 1. QRadar 및 API 버전
QRadar 버전 도입된 REST API 버전 지원되는 REST API 버전 더 이상 사용되지 않는 REST API 버전
7.5.0 패키지 12 및 13 업데이트 26.0

26.0

25.0

24.0

  
7.5.0 업데이트 패키지 11 25.0

25.0

24.0

23.0

  
7.5.0 패키지 10 업데이트 24.0

24.0

23.0

22.0

  
7.5.0 패키지 9 업데이트 23.0

23.0

22.0

21.0

  
7.5.0 패키지 8 업데이트 22.0

22.0

21.0

20.0

  
7.5.0 패키지 7 업데이트 21.0

21.0

20.0

19.0

  
7.5.0 패키지 6 업데이트 20.0

20.0

19.0

18.0

 17.x
7.5.0 패키지 3 업데이트 19.0

19.0

18.0

17.0

 16.x
7.5.0 패키지 2 업데이트 18.0

18.0

17.0

16.0

 15.x
7.5.0

17.0

17.0

16.0

15.0

 14.x
7.4.3 16.0 16.0

15.0

14.0

13.x
7.4.2 15.0 15.0

14.0

13.1

13.0

 12.x
7.4.1 14.0

14.0

13.1

13.0

12.1

12.0

 11.x
7.4.0 수정팩 1 13.1

13.1

13.0

12.1

12.0

 10.x
7.4.0 13.0

13.0

12.1

12.0

 10.x

API 엔드포인트

API 엔드포인트에는 액세스할 자원의 URL 및 해당 자원에 대해 완료할 조치가 포함됩니다. 조치는 요청의 HTTP 메소드로 표시됩니다(GET, POST, PUT 또는 DELETE).

API에 액세스하기 위한 필수 권한

인증 정보가 HTTP 헤더로서 모든 API 요청에 포함되어야 합니다. 다음 방법 중 하나로 필수 액세스 신임 정보를 제공하십시오.
  • 권한 헤더에 지정된 QRadar 사용자의 사용자 이름 및 비밀번호입니다.

    HTTP 기본 인증을 사용하여 사용자 이름과 비밀번호를 지정합니다. 모든 요청에 사용자 이름과 비밀번호를 제공하여 API 요청을 작성할 수 있지만 QRadar와의 모든 API 통합에 권한 서비스 토큰을 사용하십시오. 문서 페이지를 보기 위해서는 사용자 이름 및 비밀번호 옵션만이 지원됩니다.

    사용자 역할, 보안 프로파일 및 사용자 작성에 대한 자세한 정보는 IBM QRadar 관리 안내서를 참조하십시오.

  • SEC 헤더에 지정된 권한 서비스 토큰.

    권한 서비스로서 인증하려면 권한 서비스를 사용하는 인증 토큰을 작성합니다. QRadar 권한 부여된 서비스에는 다양한 API 자원에 대한 액세스를 제어하는 역할 및 보안 프로파일이 지정되어 있습니다.

    토큰은 권한 부여된 서비스를 작성할 때 지정한 만료 날짜까지 유효합니다.

    사용자 역할, 보안 프로파일 및 권한 부여된 서비스 작성에 대한 자세한 정보는 IBM QRadar 관리 안내서를 참조하십시오.

API 요청과 응답

API 요청을 보낼 때 서버는 HTTP 응답을 리턴합니다. HTTP 응답에는 요청의 성공 여부를 표시하는 상태 코드 및 응답 본문에 응답 세부사항이 포함됩니다. 대부분의 자원은 이 응답을 JSON(JavaScript Object Notation)으로 형식화합니다. 데이터를 추출하기 위해 사용하는 프로그래밍 언어에서 기본 제공되는 JSON 패키지 또는 라이브러리를 사용할 수 있습니다.

이 프로세스의 전체 예제는 샘플 코드를 참조하세요 GitHub ( https://github.com/ibm-security-intelligence/api-samples ).

버전 헤더

API의 특정 버전을 요청하기 위해 버전 헤더를 사용합니다. 버전 헤더를 제공하지 않으면 최신 버전의 API가 사용되므로 QRadar 가 업그레이드될 때 통합이 중단될 수 있습니다. API를 사용할 때마다 버전 헤더를 제공하는 경우에는 API 클라이언트를 중단하지 않고 QRadar의 새 버전으로 업그레이드하는 것이 더 쉽습니다.

API는 시맨틱 버전화의 주 및 부 구성요소를 사용합니다. 자연수는 API의 주 버전을 지정하는 데 사용됩니다(예: '3'). API의 부 버전은 주 및 부 구성요소로 지정됩니다(예: '3.1'). 버전 헤더를 API의 주 또는 부 버전으로 설정할 수 있습니다. 기존 버전과 호환 가능한 변경사항은 증가된 부 버전 번호로 소개됩니다. 호환되지 않는 변경사항은 주 버전 번호 증가로 소개됩니다.

API의 주 버전이 부 구성요소 없이 버전 헤더에 지정되면 서버는 주 API 버전 내에 최신 부 버전으로 응답합니다. 예를 들어, 클라이언트가 버전 '3'을 요청하면 서버는 버전 '3.1'로 응답합니다. 버전 3.0을 사용하고 싶은 경우에는 버전 헤더에 '3.0'을 요청해야 합니다. 엔드포인트의 최신 버전보다 큰 버전을 요청하는 경우에는 해당 엔드포인트의 사용 가능한 가장 최신 버전이 리턴됩니다. 각 엔드포인트는 새 버전에서 변경되지 않더라도 유효한 모든 버전 아래에 나열됩니다.

엔드포인트 더 이상 사용되지 않음 처리

API 엔드포인트는 사용이 권장되지 않고 이후 릴리스에서 제거될 것임을 나타내기 위해 더 이상 사용되지 않음으로 표시됩니다. 대안을 사용하기 위한 통합 시간을 제공하기 위해 더 이상 사용되지 않는 엔드포인트는 제거되기 전에 최소 하나의 릴리스 동안은 계속해서 작동합니다. 대화식 API 문서 페이지는 엔드포인트가 더 이상 사용되지 않음으로 표시됨을 표시합니다. 또한 더 이상 사용되지 않는 엔드포인트에 대한 API 응답 메시지에 헤더가 포함됩니다.Deprecated. 개별 API 엔드포인트 또는 API 엔드포인트의 전체 버전을 더 이상 사용되지 않음으로 표시할 수 있습니다. 더 이상 사용되지 않는 엔드포인트는 여전히 제거될 때까지 계속해서 작동합니다.

API 엔드포인트가 더 이상 사용되지 않음 처리 프로세스를 완료하면 이는 제거됩니다. 제거된 엔드포인트는 더 이상 성공적으로 응답하지 않습니다. 제거된 엔드포인트를 호출하려고 시도하면 오류가 리턴됩니다. 잠금HTTP 410 Gone제거된 개별 엔드포인트에 대해 응답이 리턴됩니다. 잠금HTTP 422 Unprocessable Entity더 이상 지원되지 않는 버전의 요청에 대해 응답이 리턴됩니다.

API 엔드포인트의 특정 버전을 호출하기 위한 API 요청에 버전 헤더를 포함하십시오. 특정 버전을 명시적으로 요청하지 않는 API 통합은 지원되지 않습니다. 버전을 지정하지 않으면 요청은 사용 가능한 가장 최신 버전으로 지정됩니다. 릴리스에 엔드포인트의 새 호환되지 않는 버전이 포함되면 통합이 깨질 수 있습니다. 코드의 한 위치에 요청 버전을 두어서 새 버전이 사용 가능하게 될 때 업그레이드를 쉽게 하십시오.