Cisco AMP olay akışı oluşturma
Endpoins API için Cisco AMP, Endpoins API sorgu yanıtları için çok sayıda Cisco AMP ' de Gelişmiş İleti Kuyruğa Yollama Protokolü (AMQP) kimlik bilgilerini döndürür.
İşlem
- Curl komut satırı aracını curl indirme sitesi (https://curl.haxx.se/download.html) olanağından yükleyin.Cisco sunucunuzda curl komutunu ya da QRadar® Consolekomutunu çalıştırabilirsiniz.
- Bir Cisco AMP olay akışı oluşturmak için aşağıdaki komut örneklerinden birini yazın. IBM®
QRadariçinde bir günlük kaynağı yapılandırırken parametre değerlerine gereksiniminiz vardır.Bu komut herhangi bir aygıttan çalıştırılabilir. Olay Toplayıcısı 'nda çalıştırılmaması gerekmez.Önemli: Sorunların biçimlendirilmesi nedeniyle, sorguları bir metin düzenleyicisine yapıştırın ve sonra satır başı ya da satır besleme karakterlerini kaldırın.
Örnek 1: Tüm olay tanıtıcılarını ve tek bir olay akışındaki tüm Grup GUID ' lerini almak için varsayılan API çağrısı.
curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>"}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'Örnek 2: Çoklu tanımlı Olay Tanıtıcıları ve Grup GUID ' leri içeren API çağrısı.
curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519105, 1090519102,553648199,1090519112], \"group_guid":["0a00a0aa-0000-000a-a000-0a0aa0a0aaa0","aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'Örnek 3: Tek tanımlı bir Olay Tanıtıcısı ve Grup GUID 'si ile API çağrısı.
curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519112], \"group_guid":["aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'Sorguyu girdiğinizde, aşağıdaki değerler yapılandırılmalıdır:- <STREAMNAME>, olay akışı için seçtiğiniz bir addır.
- <grup_guid>, <0a00a0aa-0000-000a-a000-0a0aa0a0aaa0aa0> olay akışına bağlamak için kullanmak istediğiniz grup GUID ' dir. Bir grup GUID değeri bulmak için Cisco AMP API ' nize danışabilirsiniz ya da bu değeri boş bırakabilirsiniz.
- <CLIENTID:APLKEY>, yarattığınız İstemci Tanıtıcısı ve API anahtarı .
Asya Pasifik Japonya ve Çin (APJC) bölgesinde yer aldıysanız,
'https://api.amp.cisco.com/v1/event_streams'seçeneğini'https://api.apjc.amp.cisco.com/v1/event_streams'olarak değiştirin.Avrupa bölgesiyseniz,
'https://api.amp.cisco.com/v1/event_streams'seçeneğini'https://api.eu.amp.cisco.com/v1/event_streams'olarak değiştirin.Örnek Sorgu Yanıtı:
{ "version":"v1.2.0", "metadata":{ "links":{ "self":"https://api.amp.cisco.com/v1/event_streams" } }, "data":{ "id":2216, "name":"STREAMNAME", "group_guids":[ "0a00a8aa-0000-000a-a000-0a0aa0a0aaa0" ], "event_types":[ 553648130, 554696714 ], "amqp_credentials":{ "user_name":"1116-aa00a0000000000000a0", "queue_name":"event_stream_1116", "password":"0a0aa00a0a0aa000000a0000aa0000aa0a00000a", "host":"export-streaming.amp.cisco.com", "port":"443", "proto":"https" } } }Her bir günlük kaynağı, akış içinde istenen olay tipi sayısından ya da group_guids ' dan bağımsız olarak tek bir akışı kabul edebilir. Cisco AMP API isteği kabul ederse ve akış bağlantısı bilgilerini geri döndürürse, bu bilgilere bağlanabilirsiniz.
Daha fazla bilgi için bkz. Cisco belgeleri (https://api-docs.amp.cisco.com/api_actions/details?api_action=POST+%2Fv1%2Fevent_streams&api_host=api.amp.cisco.com&api_resource=EventStream&api_version=v1).