IBM Support

QRadar : QRadar API から DSM パラメーター構成を編集する方法

How To


Summary

この資料では、QRadar API から DSM エディターで DSM 構成パラメーターを編集する方法を段階的に説明します

Objective

このガイドの目的は、特定の DSM タイプについて、QRadar API から DSM エディターで DSM パラメーター構成を編集する方法を説明することです。
パラメーターの例 :
  • Enable XML Level Tag For XML Application events
  • Parse Snare Service Logs
この構成は、DSM エディターのユーザー・インターフェースの構成タブに表示されます。
image-20221220085922-1
: DSM パラメーターは、DSM ログ・ソース・タイプによって異なります。 例えば、Windows Security Event Log のパラメーターは、Linux OS と同じではありません。

Steps

  1. 管理者として QRadar コンソールに SSH で接続します。
  2. DSM タイプ ID を取得します。 次のコマンドを使用して、ログ・ソース・タイプの DSM ID を検索します。<log_source_type> をログ・ソース・タイプ名または名前の一部に置き換えます。 
    psql -U qradar -c "select id,devicetypename,devicetypedescription from sensordevicetype where devicetypedescription ILIKE '%<log_source_type>%';"
    Windows Security ログ・ソース・タイプの DSM ID を検索するために使用するコマンドの例で、ID は 12 です。 
    psql -U qradar -c "select id,devicetypename,devicetypedescription from sensordevicetype where devicetypedescription ILIKE '%Windows Security%';"
 id |  devicetypename   |        devicetypedescription
----+-------------------+--------------------------------------
 12 | WindowsAuthServer | Microsoft Windows Security Event Log
(1 row)
  3. QRadar API インターフェースにアクセスします。 ユーザー・インターフェースを使用して QRadar コンソールにログインし、「開発者向けの対話式 API ( Interactive API for Developers ) 」をクリックします。
    image-20221211201124-1
  4. config をクリックしてから event_sources を選択し、log_source_management をクリックします。このセクションで log_source_types をクリックします。
    image-20221211202042-2
  5. このセクションでは、dsm_parameter_configuration を選択し、dsm_parameters をクリックします。
    image-20221111132550-3
  6. GET をクリックします。
    image-20221111133145-4
  7. スクロールダウンして、Try It Out! のボタンをクリックします。
  8. Response Body で、API はすべてのプロパティーとその定義を返します。編集するパラメーターを探すには、Ctrl + f を使用します。この例では、パラメーターは「 Enable XML Level Tag For XML Application events 」です。ID event_collector_id をコピーします。
    image-20221215171559-1
    : この時点でのパラメーターは無効になっています : "value": "false"
  9. 両方の ID とイベント・コレクター ID を所有しましたら、PATCH をクリックします。
    image-20221111133658-5
  10. Parameters フィールドまでスクロールします。
    Field
  11. dsm_parameters の value フィールドに、この形式で新しい設定を貼り付けます。
    : 各プロパティーには、definition number ( first ID )、property ID ( second ID )、及び collector ID (-1 はデフォルトの collector ID ) があります。 
    { "dsm_parameter_definition_id": <first ID>, "event_collector_id": -1, "id": <second ID>, sensor_device_type_id": <DSM ID>, "value": "<true/false>" }
    例 : 
    { "dsm_parameter_definition_id": 12080, "event_collector_id": -1, "id": 17, sensor_device_type_id": 12, "value": "true" }
    複数のプロパティーを編集する必要がある場合は、すべてのプロパティーを同じ行に配置し、各セットを中括弧で区切ります。

    次の行は、同時に変更される 3 つのプロパティーの例です。 
    {"dsm_parameter_definition_id": 12023,"event_collector_id": -1,"id": 2357,"sensor_device_type_id": 12,"value": "true"}{"dsm_parameter_definition_id": 12060,"event_collector_id": -1,"id": 7,"sensor_device_type_id": 12,"value": "true"}{"dsm_parameter_definition_id": 12040,"event_collector_id": -1,"id": 5,"sensor_device_type_id": 12,"value": "Include System User With No Identity"}

    結果
    Enable XML Level Tag For XML Application events が有効になります。この設定を DSM エディターで確認してください。
    PropertyEnabled

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
31 March 2023

UID

ibm16959015

Page Feedback