Terminais de API públicos
IBM® QRadar® Use Case Manager fornece APIs que podem ser usadas para interagir com os dados.
Explorador de caso de uso
Gere e baixe dados de relatórios nos formatos CSV ou JSON.
| Terminal | Descrição |
|---|---|
| POST: /api/use_case_explorer | Gera um relatório do Explorador de Casos de Uso |
| GET: /api/use_case_explorer/{reportId}/status | Verifica o status de um relatório do Explorador de Casos de Uso |
| GET: /api/use_case_explorer/{reportId}/result | Retorna os resultados do resultado do Use Case Explorer como uma matriz JSON página por página. |
| POST: /api/use_case_explorer/{reportId}/download_csv | Inicia uma tarefa para baixar um relatório do Use Explorer como um arquivo CSV. |
| GET: /api/use_case_explorer/download_csv/{jobId}/status | Verifica o status de uma tarefa de download do arquivo CSV do Use Case Explorer. |
| GET: /api/use_case_explorer/download_csv/{jobId}/result | Retorna os resultados da tarefa de download do Use Case Explorer CSV. |
| POST: /api/use_case_explorer/{reportId}/download_json | Inicia uma tarefa para fazer download do relatório do Use Case Explorer como um arquivo JSON. |
| GET: /api/use_case_explorer/download_json/{jobId}/status | Verifica o status de uma tarefa de download de arquivo JSON do Explorador de Caso de Uso |
| GET: /api/use_case_explorer/download_json/{jobId}/result | Retorna os resultados da tarefa JSON de download do Use Case Explorer. |
| POST: /api/rules_export/html/{reportId}/download_report | Inicia uma tarefa para fazer download das regras do Explorador de Caso de Uso como um relatório HTML compactado Importante: Requer a transmissão do mesmo token SEC que o QRadar Use Case
Manager no cabeçalho da solicitação.
|
| GET: /api/rules_export/html/download_report/{jobId}/status | Verifica o status de uma tarefa de download do relatório HTML compactada do Explorador de Caso de Uso |
| GET: /api/rules_export/html/download_report/{jobId}/result | Retorna os resultados da tarefa de relatório HTML compactada de download do Explorador de Caso de Uso |
Cobertura de origem de log:
Obtenha informações sobre a atividade e a cobertura do tipo de fonte do registro de regras.
| Terminal | Descrição |
|---|---|
| GET: /api/log_source_types/activity_and_current_rules_count | Retorna informações sobre a atividade de tipo de origem de log de regra e a cobertura atual |
| GET: /api/log_source_types/current_and_potential_rules_count | Retorna informações sobre a cobertura do tipo de origem de log de regra atual e potencial |
Terminais do MITRE
Obter informações sobre mapeamentos de regras. Crie grupos de adversários personalizados e mapeie-os para as táticas e técnicas existentes. Faça upload de arquivos personalizados de técnicas de grupo do MITRE.
| Terminal | Descrição |
|---|---|
| POST: /api/custom_mitre_group_technique | Carregue um arquivo de técnica de grupo MITRE personalizado. |
| GET: /api/mappings | Retorna todos os mapeamentos de regras do MITRE ATT & CK em QRadar Use Case Manager |
| POST: /api/mappings | Importa mapeamentos criados anteriormente para o QRadar Use Case
Manager Importante: Requer a transmissão do mesmo token SEC que o QRadar Use Case
Manager no cabeçalho da solicitação.
|
| DELETE: /api/mappings | Exclui quaisquer mapeamentos de regras customizadas no QRadar Use Case
Manager e reconfigura os mapeamentos de volta para o padrão IBM Importante: Requer a transmissão do mesmo token SEC que o QRadar Use Case
Manager no cabeçalho da solicitação.
|
| GET: /api/mappings/by_name | Retorna os mapeamentos de regras em QRadar Use Case Manager |
| POST: /api/mappings/by_name | Cria novos mapeamentos de regras no QRadar Use Case Manager |
| DELETE: /api/mappings/by_name | Exclui os mapeamentos de regras em QRadar Use Case
Manager por ID de regra.. Importante: Requer a transmissão do mesmo token SEC que o QRadar Use Case
Manager no cabeçalho da solicitação.
|
| GET: /api/mitre/mitre_coverage/{ruleUUID} | Retorna todos os mapeamentos de regra e filho no QRadar Use Case Manager por UUID de regra.. |
| GET: /api/mappings/tactics | Retorna todas as táticas e técnicas do MITRE ATT & CK no QRadar Use Case Manager |
| GET: /api/mappings/tactics/{tactic_id} | Retorna todas as técnicas para a tática do MITRE ATT & CK solicitada no QRadar Use Case Manager |
| GET: /api/mappings/numbers_by_tactic | Retorna o número de mapeamentos de regras do MITRE ATT & CK por tática no QRadar Use Case Manager |
| GET: /api/mappings/trends | Retorna o número de mapeamentos de regras do MITRE ATT & CK em QRadar Use Case Manager por dia desde o horário especificado |
Descobertas de ajustes
Obtenha informações sobre os resultados do ajuste.
| Terminal | Descrição |
|---|---|
| GET: /api/rule/findings | Obtém todas as descobertas de ajuste.. |
| GET: /api/rule/findings/{ruleId}/findingsByRuleId | Retorna todas as descobertas de ajuste para um ID de regra específico |
APIs de gráficos de regras ativas
Obtenha informações sobre os gráficos Lista de infrações encerradas por motivo e Visão geral das regras ativas.
| Elemento | Descrição |
|---|---|
| GET: /api/rule/offense_count | Retorna o ID do trabalho, que pode ser usado para buscar todas as regras com contagem de ofensas. |
| GET: /api/rule/offense_count/{job_id}/status | Retorna o status da chamada à API de contagem de ofensas de regras. |
| GET: /api/rule/offense_count/{job_id}/results | Retorna o resultado de uma chamada à API de contagem de regras e ofensas. |
| GET: /api/offenses | Retorna o ID do trabalho, que pode ser usado para obter a lista de todas as infrações. |
| GET: /api/offenses/{job_id}/status | Retorna o status da chamada de API de ofensas. |
| GET: /api/offenses/{job_id}/results | Retorna o resultado da chamada de API de ofensas. |
| GET: /api/offenses/closing_reasons | Retorna todos os motivos de fechamento de ofensas. |
Exemplo
O exemplo a seguir mostra uma solicitação que transmite o token SEC no cabeçalho..
curl -i -k -X 'POST' 'https://xxxxxx/console/plugins/app_proxy:UseCaseManager_Service/api/mappings/by_name?rule_id=234567' -H 'accept: application/json' -H 'sec:xxxxxx'
em que -H 'sec:xxxxxx' é o mesmo token SEC usado em QRadar Use Case
Manager.