パブリック API エンドポイント

IBM® QRadar® Use Case Manager には、データとの対話に使用できる API が用意されています。

ユース・ケース・エクスプローラー

CSVまたはJSON形式でレポートデータを生成し、ダウンロードする。

エンドポイント	説明
POST: /api/use_case_explorer	ユース・ケース・エクスプローラー・レポートを生成します。
GET: /api/use_case_explorer/{reportId}/status	ユース・ケース・エクスプローラー・レポートの状況を検査します。
GET: /api/use_case_explorer/{reportId}/result	ユース・ケース・エクスプローラーの結果を、ページごとに JSON 配列ページとして返します。
POST: /api/use_case_explorer/{reportId}/download_csv	Use Explorer レポートを CSV ファイルとしてダウンロードするジョブを開始します。
GET: /api/use_case_explorer/download_csv/{jobId}/status	ユース・ケース・エクスプローラー CSV ファイルのダウンロード・ジョブの状況を確認します。
GET: /api/use_case_explorer/download_csv/{jobId}/result	ユース・ケース・エクスプローラーの CSV ダウンロード・ジョブの結果を返します。
POST: /api/use_case_explorer/{reportId}/download_json	ユース・ケース・エクスプローラー・レポートを JSON ファイルとしてダウンロードするジョブを開始します。
GET: /api/use_case_explorer/download_json/{jobId}/status	ユース・ケース・エクスプローラー JSON ファイルのダウンロード・ジョブの状況を確認します。
GET: /api/use_case_explorer/download_json/{jobId}/result	ユース・ケース・エクスプローラーのダウンロード JSON ジョブの結果を返します。
POST: /api/rules_export/html/{reportId}/download_report	ジョブを開始して、ユース・ケース・エクスプローラーのルールを圧縮 HTML レポートとしてダウンロードします。重要: 要求ヘッダーで QRadar Use Case Manager と同じ SEC トークンを渡す必要があります。
GET: /api/rules_export/html/download_report/{jobId}/status	ユース・ケース・エクスプローラーの圧縮 HTML レポートのダウンロード・ジョブの状況を確認します。
GET: /api/rules_export/html/download_report/{jobId}/result	ユース・ケース・エクスプローラーの圧縮 HTML ダウンロード・レポート・ジョブの結果を返します。

ログ・ソースの適用範囲

ルール・ログ・ソース・タイプのアクティビティとカバレッジに関する情報を取得する。

エンドポイント	説明
GET: /api/log_source_types/activity_and_current_rules_count	ルール・ログ・ソース・タイプのアクティビティーと現在の適用範囲に関する情報を返します。
GET: /api/log_source_types/current_and_potential_rules_count	現行および潜在的なルール・ログ・ソース・タイプの適用範囲に関する情報を返します。

MITRE エンドポイント

ルールマッピングに関する情報を取得する。カスタムの敵対グループを作成し、既存の戦術やテクニックに対応させる。カスタムMITREグループテクニックファイルのアップロード。

エンドポイント	説明
POST: /api/custom_mitre_group_technique	カスタムMITREグループテクニック・ファイルをアップロードする。
GET: /api/mappings	QRadar Use Case Manager内のすべての MITRE ATT & CK ルール・マッピングを返します。
POST: /api/mappings	以前に作成したマッピングを QRadar Use Case Managerにインポートします。重要: 要求ヘッダーで QRadar Use Case Manager と同じ SEC トークンを渡す必要があります。
DELETE: /api/mappings	QRadar Use Case Manager 内のカスタマイズされたルール・マッピングをすべて削除し、マッピングを IBM のデフォルトにリセットします。重要: 要求ヘッダーで QRadar Use Case Manager と同じ SEC トークンを渡す必要があります。
GET: /api/mappings/by_name	QRadar Use Case Manager内のルール・マッピングを返します。
POST: /api/mappings/by_name	QRadar Use Case Managerで新規ルール・マッピングを作成します。
DELETE: /api/mappings/by_name	ルール ID によって QRadar Use Case Manager 内のルール・マッピングを削除します。重要: 要求ヘッダーで QRadar Use Case Manager と同じ SEC トークンを渡す必要があります。
GET: /api/mitre/mitre_coverage/{ruleUUID}	QRadar Use Case Manager 内のすべてのルールと子マッピングをルール UUID で返します。
GET: /api/mappings/tactics	QRadar Use Case Managerのすべての MITRE ATT & CK 戦術および技法を返します。
GET: /api/mappings/tactics/{tactic_id}	QRadar Use Case Managerで要求された MITRE ATT & CK 戦術のすべての技法を返します。
GET: /api/mappings/numbers_by_tactic	QRadar Use Case Manager内の戦術ごとの MITRE ATT & CK ルール・マッピングの数を返します。
GET: /api/mappings/trends	指定された時刻以降の 1 日当たりの QRadar Use Case Manager における MITRE ATT & CK ルール・マッピングの数を返します。

チューニングの検出結果

チューニング結果に関する情報を得る。

エンドポイント	説明
GET: /api/rule/findings	すべてのチューニング検出結果を取得します。
GET: /api/rule/findings/{ruleId}/findingsByRuleId	特定のルール ID のすべてのチューニング検出結果を返します。

アクティブ・ルール・チャートAPI

List of closed offense by reasonとOverview of active rulesチャートに関する情報を取得します。

エレメント	説明
GET: /api/rule/offense_count	オフェンス・カウントを持つすべてのルールを取得するために使用できるジョブ ID を返します。
GET: /api/rule/offense_count/{job_id}/status	rule-offense count API 呼び出しの状態を返します。
GET: /api/rule/offense_count/{job_id}/results	ルール違反カウントAPIコールの結果を返す。
GET: /api/offenses	全犯罪のリストを取得するために使用できるジョブ ID を返します。
GET: /api/offenses/{job_id}/status	offenses API 呼び出しのステータスを返します。
GET: /api/offenses/{job_id}/results	offenses API 呼び出しの結果を返します。
GET: /api/offenses/closing_reasons	オフェンス終了の理由をすべて返します。

例

以下の例は、ヘッダー内の SEC トークンを渡す要求を示しています。

curl -i -k -X 'POST' 'https://xxxxxx/console/plugins/app_proxy:UseCaseManager_Service/api/mappings/by_name?rule_id=234567'  -H 'accept: application/json' -H 'sec:xxxxxx'

ここで、 -H 'sec:xxxxxx' は、 QRadar Use Case Managerで使用されているのと同じ SEC トークンです。