IBM Support

QRadar : API を介してルールに関連付けられたルール・グループ名を取得する方法

How To


Summary

この記事では、QRadar API を使用して、カスタム・ルールに関連付けられたグループ名を検索する方法について説明します。

Steps

ルールに関連付けられたルール・グループ名の取得は、2 つのステップで行います。
I.  GET - /analytics/rules API を使用して、特定のルールの rule_id を取得します。
II. rule_id を使用してグループ名を取得します。
ステップ 1 : ルールの rule_id を取得する
  1. analytics グループで、rules API を参照します。

    image-20220921162843-1
  2. API のパラメーター ( parameters ) で、以下の値を指定します。image-20220921163923-2

    パラメーター ( Parameters ) :
    • fields: このパラメーターは、応答で取得するフィールドを指定するためのものです。 ここでは、ルールに関連付けられたグループの「 id 」フィールドを検索します。
    • filter: ここで、「 name = <Rule_name> 」を指定します。
    • Range: このパラメーターは、リストで返されるエレメントの数を、指定された範囲に制限します。

      注 : 各パラメーターの詳細については、GUI の API パラメーター・セクションを参照してください。
       
  3. Try it Out! 」ボタンをクリックします。 API 応答が成功すると、以下に示すように rule_id が取得されます。

    image-20220921164616-3
  4. 対応する API の curl 同等コマンドは、GUI の cURL セクションで以下のように使用できます。
      
    curl -S -X GET -u admin -H 'Range: items=0-49' -H 'Version: 19.0' -H 'Accept: application/json' 'https://<CONSOLE IP/FQDN>/api/analytics/rules?fields=id&filter=name%20%3D%20%22Possible%20Local%20IRC%20Server%22'
ステップ 2 : ルール ID に関連付けられたルール・グループ名を取得する
  1. analytics グループで rule_groups API を参照します。

    image-20220921165645-5
  2. パラメーター ( parameters ) で、以下の値を指定します。

    image-20220921170223-6

    パラメーター ( Parameters ) :
    • fields: このパラメーターは、応答で取得するフィールドを指定するためのものです。 ここでは、ルールに関連付けられたグループの「 name 」フィールドを検索します。
    • filter: ここで、「 child_items contains <Rule_id> 」を指定します。 この ID は、前のステップから取得されます。
    • Range: このパラメーターは、リストで返されるエレメントの数を、指定された範囲に制限します。

      : 各パラメーターの詳細については、GUI の API パラメーター・セクションを参照してください。
  3. Try it Out! 」ボタンをクリックします。 API 応答が成功すると、以下に示すようにグループ名が取得されます。

    image-20220921170605-7
    ここで、クエリーのルールは、2 つのグループ「コンプライアンス ( Compliance ) 」と「脅威 (Threats) 」の一部です。
  4. 対応する API の curl 同等コマンドは、GUI の cURL セクションで以下のように使用できます。
      
    curl -S -X GET -u admin -H 'Range: items=0-5' -H 'Version: 19.0' -H 'Accept: application/json' 'https://<CONSOLE IP/FQDN>/api/analytics/rule_groups?fields=name&filter=child_items%20contains%20100241'

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.4.3;and future releases"}]

Document Information

Modified date:
31 January 2023

UID

ibm16848853

Page Feedback