IBM Support

QRadar のアセット ID が作成されたタイミングを確認するにはどうすればよいですか?

Question & Answer


Question

アセット・チューニングを行う際、アセット ID がいつ作成されたかを知ることは有用です。「アセット ( Asset ) 」タブのアセット ID がいつ作成されたかを確認するにはどうすればよいですか?

Answer

オンプレミスの場合
例えば、アセット ID 1005 がいつ作成されたかを調べるとします。

次の手順に従って、アセット ID を取得します。

  1. root としてコンソールにログインします。
  2.  以下のコマンドを実行して、アセット ID を取得します。
    psql -Uqradar -c "select * from asset.asset where id=1005;"
  3. アセット ID の情報が表示された結果が表示されます。
    id | isuservalue | created | domainid ------+-------------+-------------------------+---------- 1005 | t | 2022-09-17 04:21:10.642 | 0 (1 row)

「 created 」 列の下に、アセット ID 1005 が 9 月に作成されたことが表示されます。17th 4:21 AM UTC-0 time.
QRadar on Cloud ( QRoC ) 、またはコマンド・ラインにアクセスできない場合
  1. QRadar on Cloud 環境にログインします。
  2. ブラウザー・アドレス https://<console-address>/api_doc を使用して API アクセスを開きます。ここで、 <console-address> はご使用の IP または FQDN ホスト名です。
  3. 左上隅にある最新の API バージョンを使用します。
  4. asset_model を開き、Assets をクリックします。
  5. フィルターまでスクロールダウンし、「値 ( Value ) 」の下に ID=1005 を入力します。
  6. Try It Out! 」をクリックします。
  7. Response Body の下をさらにスクロールすると、出力の末尾に以下に近い情報が表示されます(説明に不要なデータは削除しております) 。"risk_score_sum": 0, "hostnames": [], "id": 1005, "users": [], "domain_id": 0, "properties": [ { "last_reported": 1663402870671, "name": "Unified Name", "type_id": 1002, "id": 1011,
    ホスト名の下にアセット ID が 1005 、数行下に last_reported の値がありますが、これは EPOCH の時間です。任意の EPOCH を人間が読める時間にGoogle などで検索し、1663402870671 を 2022 年 9 月 17 日土曜日 4:21:10.671 AM に変換できます。これは、オンプレミスと同様に psql クエリと一致するはずです。これはすべて UTC-0 タイム・ゾーンです。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwu1AAA","label":"Assets"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
17 February 2023

UID

ibm16854307

Page Feedback