공용 API 엔드포인트
IBM® QRadar® Use Case Manager 는 데이터와 상호작용하는 데 사용할 수 있는 API를 제공합니다.
유스 케이스 탐색기
CSV 또는 JSON 형식의 보고서 데이터를 생성하고 다운로드하세요.
| 엔드포인트 | 설명 |
|---|---|
| POST: /api/use_case_explorer | 유스 케이스 탐색기 보고서를 생성합니다. |
| GET: /api/use_case_explorer/{reportId}/status | 유스 케이스 탐색기 보고서의 상태를 확인합니다. |
| GET: /api/use_case_explorer/{reportId}/result | 유스 케이스 탐색기 결과의 결과를 페이지별 JSON 배열 페이지로 리턴합니다. |
| POST: /api/use_case_explorer/{reportId}/download_csv | 사용 탐색기 보고서를 CSV 파일로 다운로드하는 작업을 시작합니다. |
| GET: /api/use_case_explorer/download_csv/{jobId}/status | 유스 케이스 탐색기 CSV 파일 다운로드 작업의 상태를 확인합니다. |
| GET: /api/use_case_explorer/download_csv/{jobId}/result | 유스 케이스 탐색기 다운로드 CSV 작업의 결과를 리턴합니다. |
| POST: /api/use_case_explorer/{reportId}/download_json | 유스 케이스 탐색기 보고서를 JSON 파일로 다운로드하는 작업을 시작합니다. |
| GET: /api/use_case_explorer/download_json/{jobId}/status | 유스 케이스 탐색기 JSON 파일 다운로드 작업의 상태를 확인합니다. |
| GET: /api/use_case_explorer/download_json/{jobId}/result | 유스 케이스 탐색기 다운로드 JSON 작업의 결과를 리턴합니다. |
| POST: /api/rules_export/html/{reportId}/download_report | 유스 케이스 탐색기 규칙을 압축된 HTML 보고서로 다운로드하는 작업을 시작합니다. 중요: 요청 헤더에서 QRadar Use Case
Manager 와 동일한 SEC 토큰을 전달해야 합니다.
|
| GET: /api/rules_export/html/download_report/{jobId}/status | 유스 케이스 탐색기 압축 HTML 보고서 다운로드 작업의 상태를 확인합니다. |
| GET: /api/rules_export/html/download_report/{jobId}/result | 유스 케이스 탐색기 다운로드 압축 HTML 보고서 작업의 결과를 리턴합니다. |
로그 소스 적용 범위
규칙 로그 소스 유형 활동 및 적용 범위에 대한 정보를 확인하세요.
| 엔드포인트 | 설명 |
|---|---|
| GET: /api/log_source_types/activity_and_current_rules_count | 규칙-로그 소스 유형 활동 및 현재 적용 범위에 대한 정보를 리턴합니다. |
| GET: /api/log_source_types/current_and_potential_rules_count | 현재 및 잠재적 규칙 로그 소스 유형 적용 범위에 대한 정보를 리턴합니다. |
MITRE 엔드포인트
규칙 매핑에 대한 정보를 확인하세요. 맞춤형 적 그룹을 생성하고 기존 전술과 기법에 매핑하세요. 사용자 지정 MITRE 그룹 기술 파일을 업로드하세요.
| 엔드포인트 | 설명 |
|---|---|
| POST: /api/custom_mitre_group_technique | 사용자 지정 MITRE 그룹 기술 파일을 업로드하세요. |
| GET: /api/mappings | QRadar Use Case Manager의 모든 MITRE ATT & CK룰 맵핑을 리턴합니다. |
| POST: /api/mappings | 이전에 작성된 맵핑을 QRadar Use Case
Manager로 가져옵니다. 중요: 요청 헤더에서 QRadar Use Case
Manager 와 동일한 SEC 토큰을 전달해야 합니다.
|
| DELETE: /api/mappings | QRadar Use Case
Manager 에서 사용자 정의된 규칙 맵핑을 삭제하고 맵핑을 다시 IBM 기본값으로 재설정합니다. 중요: 요청 헤더에서 QRadar Use Case
Manager 와 동일한 SEC 토큰을 전달해야 합니다.
|
| GET: /api/mappings/by_name | QRadar Use Case Manager의 규칙 맵핑을 리턴합니다. |
| POST: /api/mappings/by_name | QRadar Use Case Manager에서 새 규칙 맵핑을 작성합니다. |
| DELETE: /api/mappings/by_name | 규칙 ID별로 QRadar Use Case
Manager 에서 규칙 맵핑을 삭제합니다. 중요: 요청 헤더에서 QRadar Use Case
Manager 와 동일한 SEC 토큰을 전달해야 합니다.
|
| GET: /api/mitre/mitre_coverage/{ruleUUID} | QRadar Use Case Manager 의 모든 규칙 및 하위 맵핑을 규칙 UUID별로 리턴합니다. |
| GET: /api/mappings/tactics | QRadar Use Case Manager의 모든 MITRE ATT & CK 전술 및 기술을 리턴합니다. |
| GET: /api/mappings/tactics/{tactic_id} | QRadar Use Case Manager에서 요청된 MITRE ATT & CK 전술에 대한 모든 기술을 리턴합니다. |
| GET: /api/mappings/numbers_by_tactic | QRadar Use Case Manager에서 전술당 MITRE ATT & CK룰 맵핑 수를 리턴합니다. |
| GET: /api/mappings/trends | 지정된 시간 이후 일당 QRadar Use Case Manager 의 MITRE ATT & CK룰 맵핑 수를 리턴합니다. |
튜닝 찾은 결과
튜닝 결과에 대한 정보를 확인하세요.
| 엔드포인트 | 설명 |
|---|---|
| GET: /api/rule/findings | 모든 튜닝 결과를 가져옵니다. |
| GET: /api/rule/findings/{ruleId}/findingsByRuleId | 특정 규칙 ID에 대한 모든 튜닝 찾은 결과를 리턴합니다. |
활성 규칙 차트 API
사유별 비공개 운영원칙 목록 및 활성 운영원칙 개요 차트에 대한 정보를 확인하세요.
| 요소 | 설명 |
|---|---|
| GET: /api/rule/offense_count | 위반 횟수가 있는 모든 규칙을 가져오는 데 사용할 수 있는 작업 ID를 반환합니다. |
| GET: /api/rule/offense_count/{job_id}/status | 규칙 위반 횟수 API 호출의 상태를 반환합니다. |
| GET: /api/rule/offense_count/{job_id}/results | 규칙 위반 횟수 API 호출 결과를 반환합니다. |
| GET: /api/offenses | 모든 위반 사항 목록을 가져오는 데 사용할 수 있는 작업 ID를 반환합니다. |
| GET: /api/offenses/{job_id}/status | 위반 API 호출의 상태를 반환합니다. |
| GET: /api/offenses/{job_id}/results | 위반 API 호출 결과를 반환합니다. |
| GET: /api/offenses/closing_reasons | 모든 위반 종료 사유를 반환합니다. |
예
다음 예제는 헤더에서 SEC 토큰을 전달하는 요청을 보여줍니다.
curl -i -k -X 'POST' 'https://xxxxxx/console/plugins/app_proxy:UseCaseManager_Service/api/mappings/by_name?rule_id=234567' -H 'accept: application/json' -H 'sec:xxxxxx'여기서 -H 'sec:xxxxxx' 는 QRadar Use Case
Manager에서 사용되는 것과 동일한 SEC 토큰입니다.