建立 Cisco AMP 事件串流

端點 API 的 Cisco AMP 會針對端點 API 查詢回應傳回數個 Cisco AMP 中的「進階訊息佇列作業通訊協定 (AMQP)」認證。

1. 從 curl 下載網站 (https://curl.haxx.se/download.html) 下載 curl 指令行工具。
   您可以在 Cisco 伺服器或 QRadar® Console上執行 curl 指令。
2. 若要建立 Cisco AMP 事件串流，請鍵入下列其中一個指令範例。 當您在 IBM® QRadar中配置日誌來源時，需要參數值。
   此指令可以在任何裝置上執行。 它不需要在 Event Collector 上執行。

   重要事項: 由於格式化問題，請將查詢貼到文字編輯器，然後移除任何換行字元。

   範例 1: 用於取得單一事件串流中所有事件 ID 及所有群組 GUID 的預設 API 呼叫。

   curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>"}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

   範例 2: 具有多個已定義「事件 ID」及「群組 GUID」的 API 呼叫。

   curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519105, 1090519102,553648199,1090519112], \"group_guid":["0a00a0aa-0000-000a-a000-0a0aa0a0aaa0","aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

   範例 3: 具有單一定義「事件 ID」及「群組 GUID」的 API 呼叫。

   curl -X POST -H 'accept: application/json' \-H 'content-type: application/json' \-H 'accept: application/json' \-H 'accept-encoding: identity' --compressed \-H 'Accept-Encoding: gzip, deflate' \-d '{"name":"<STREAMNAME>", \"event_type": [1090519112], \"group_guid":["aa00a0aa-0000-000a-a000-0a0aa0a0aaa0"]}' \-u <CLIENTID:APIKEY> \'https://api.amp.cisco.com/v1/event_streams'

   當您輸入查詢時，必須配置下列值:

   • <STREAMNAME> is a name of your choosing for the event stream.
   • <group_guid> is the group GUID that you want to use to link to the <0a00a0aa-0000-000a-a000-0a0a0aa0a0aaa0> event stream. 您可以諮詢 Cisco AMP API 以尋找群組 GUID 值，也可以將此值保留空白。
   • <CLIENTID:APIKEY> is the 用戶端 ID and the API 金鑰 that you created.

   如果您位於亞太地區日本及中國 (APJC) 地區，請將 'https://api.amp.cisco.com/v1/event_streams' 變更為 'https://api.apjc.amp.cisco.com/v1/event_streams'。

   如果您位於歐洲地區，請將 'https://api.amp.cisco.com/v1/event_streams' 變更為 'https://api.eu.amp.cisco.com/v1/event_streams'。

   查詢回應範例:

   {
      "version":"v1.2.0",
      "metadata":{
         "links":{
            "self":"https://api.amp.cisco.com/v1/event_streams"
         }
      },
      "data":{
         "id":2216,
         "name":"STREAMNAME",
         "group_guids":[
            "0a00a8aa-0000-000a-a000-0a0aa0a0aaa0"
         ],
         "event_types":[
            553648130,
            554696714
         ],
         "amqp_credentials":{
            "user_name":"1116-aa00a0000000000000a0",
            "queue_name":"event_stream_1116",
            "password":"0a0aa00a0a0aa000000a0000aa0000aa0a00000a",
            "host":"export-streaming.amp.cisco.com",
            "port":"443",
            "proto":"https"
         }
      }
   }
   

   不論串流中所要求的事件類型或 group_guids 數目為何，每一個日誌來源都可以接受單一串流。 如果 Cisco AMP API 接受要求並傳回串流連線資訊，您可以連接至該資訊。

   如需相關資訊，請參閱 Cisco 文件 (https://api-docs.amp.cisco.com/api_actions/details?api_action=POST+%2Fv1%2Fevent_streams&api_host=api.amp.cisco.com&api_resource=EventStream&api_version=v1)。