IBM Support

QRadar: QRadar API を使用してネットワーク階層情報をエクスポートおよびインポートする方法

How To


Summary

この記事では、QRadar API を使用してネットワーク階層情報をエクスポートまたはインポートする方法をステップバイステップで説明します。

Steps

ネットワーク階層のエクスポート

ネットワーク階層は、開発者向けの対話式 API (GUI) または CLI を使用してエクスポートすることが可能です。この情報は JSON 形式でのみ利用可能です。

グラフィカル・インターフェース (GUI) から:

  1. https://<Console IP>/api_doc に移動して、開発者向けの対話式 API を開きます。
  2. config に移動して、network_hierarchy にてnetworks を選択します:

        image 12637
  3. 右側のペインで、スクロールダウンして、「 Try it Out! 」をクリックします。
コマンド・ライン (CLI) から:
コマンド cURL は、コマンド行を使用してイベントをエクスポートするために使用します。このコマンドを実行するためには、管理者が最初にアクセス・トークンを生成するか、管理者権限を持つアクセス・トークンを使用する必要があります。
ネットワーク階層をエクスポートするには、次のコマンドを使用します: 
mkdir -p /store/IBM_Support/
curl -S -X GET -H 'Version: <latest_API_version>' -H 'SEC:fa7cb8f5-3950-XXXX-XXXX-XXXXXXXXXXXX' -H 'Accept: application/json' 'https://<Console IP>/api/config/network_hierarchy/networks' >> /store/IBM_Support/hierarchy_export.json
  • Version: 現在の QRadar API バージョン。QRadar 環境で使用されているのバージョンを指定してください。
  • SEC: SEC ヘッダー。セキュリティー・トークンが含まれています。
  • >> /store/IBM_Support/hierarchy_export.json: このセクションでは、パス /store/IBM_Support/ にある hierarchy_export.json という名前のファイルに出力をリダイレクトするよう指定しています。

ネットワーク階層のインポート

注: すべての階層を一度にインポートする必要があります。このコマンドは、実行されるたびに終了した構成を上書きします。

本記事の「ネットワーク階層のエクスポート」の手順で作成したバックアップをインポートするには、次のコマンドを実行する必要があります:

curl -S -X PUT -H 'Content-Type: application/json' -H '<Lastest API version>' -H 'SEC: fa7cb8f5-3950-XXXX-XXXX-XXXXXXXXXXXX ' -H 'Accept: application/json' --data-binary @</PATH/TO/FILE> 'https://<Console IP>/api/config/network_hierarchy/staged_networks'

例:

curl -S -X PUT -H 'Content-Type: application/json' -H 'Version: 15.1' -H 'SEC: fa7cb8f5-3950-XXXX-XXXX-XXXXXXXXXXXX ' -H 'Accept: application/json' --data-binary @/store/IBM_Support/hierarchy_export.json 'https://<Console IP>/api/config/network_hierarchy/staged_networks'
  • Version: 現在の QRadar API バージョン。QRadar 環境で使用されているのバージョンを指定してください。
  • --data-binary: ネットワーク階層情報が格納されたインポート元のファイルを指定するために使用します。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
15 July 2022

UID

ibm16584271

Page Feedback