建立 Cisco AMP 事件串流

端點 API 的 Cisco AMP 會針對端點 API 查詢回應傳回數個 Cisco AMP 中的「進階訊息佇列作業通訊協定 (AMQP)」認證。

程序

  1. curl 下載網站 (https://curl.haxx.se/download.html) 下載 curl 指令行工具。
    您可以在 Cisco 伺服器或 QRadar® Console上執行 curl 指令。
  2. 若要建立 Cisco AMP 事件串流,請鍵入下列其中一個指令範例。 當您在 IBM® QRadar中配置日誌來源時,需要參數值。
    此指令可以在任何裝置上執行。 它不需要在 Event Collector 上執行。
    重要事項: 由於格式化問題,請將查詢貼到文字編輯器,然後移除任何換行字元。

    範例 1: 用於取得單一事件串流中所有事件 ID 及所有群組 GUID 的預設 API 呼叫。

    curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>"}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

    範例 2: 具有多個已定義「事件 ID」及「群組 GUID」的 API 呼叫。

    curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519105, 1090519102,553648199,1090519112], \"group_guid":["0a00a0aa-0000-000a-a000-0a0aa0a0aaa0","aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

    範例 3: 具有單一定義「事件 ID」及「群組 GUID」的 API 呼叫。

    curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519112], \"group_guid":["aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'
    當您輸入查詢時,必須配置下列值:
    • <STREAMNAME> is a name of your choosing for the event stream.
    • <group_guid> is the group GUID that you want to use to link to the <0a00a0aa-0000-000a-a000-0a0a0aa0a0aaa0> event stream. 您可以諮詢 Cisco AMP API 以尋找群組 GUID 值,也可以將此值保留空白。
    • <CLIENTID:APIKEY> is the 用戶端 ID and the API 金鑰 that you created.

    如果您位於亞太地區日本及中國 (APJC) 地區,請將 'https://api.amp.cisco.com/v1/event_streams' 變更為 'https://api.apjc.amp.cisco.com/v1/event_streams'

    如果您位於歐洲地區,請將 'https://api.amp.cisco.com/v1/event_streams' 變更為 'https://api.eu.amp.cisco.com/v1/event_streams'

    查詢回應範例:

    {
       "version":"v1.2.0",
       "metadata":{
          "links":{
             "self":"https://api.amp.cisco.com/v1/event_streams"
          }
       },
       "data":{
          "id":2216,
          "name":"STREAMNAME",
          "group_guids":[
             "0a00a8aa-0000-000a-a000-0a0aa0a0aaa0"
          ],
          "event_types":[
             553648130,
             554696714
          ],
          "amqp_credentials":{
             "user_name":"1116-aa00a0000000000000a0",
             "queue_name":"event_stream_1116",
             "password":"0a0aa00a0a0aa000000a0000aa0000aa0a00000a",
             "host":"export-streaming.amp.cisco.com",
             "port":"443",
             "proto":"https"
          }
       }
    }
    

    不論串流中所要求的事件類型或 group_guids 數目為何,每一個日誌來源都可以接受單一串流。 如果 Cisco AMP API 接受要求並傳回串流連線資訊,您可以連接至該資訊。

    如需相關資訊,請參閱 Cisco 文件 (https://api-docs.amp.cisco.com/api_actions/details?api_action=POST+%2Fv1%2Fevent_streams&api_host=api.amp.cisco.com&api_resource=EventStream&api_version=v1)。

下一步做什麼

QRadar 中配置日誌來源,讓使用者管理 Cisco AMP 事件串流。