How To
Summary
この技術情報では、生成されたアラートと ReaQta Hive API の相互作用についてご案内します。
Steps
GET - /1/alerts
該当の API を使用して、ReaQta Hive で生成されたすべてのアラートを取得します。
- リクエストする URL: GET https://<Hive Server URL>/rqt-api/1/alerts
- 使用するパラメーター:
名前 型 データの型 説明 使用可能な値 id query array[string] 取得するアラートの ID endpointId query array[string] アラートが生成されたエンドポイント ID の一覧 triggerCondition query array[number] アラートのトリガー条件0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 130 = コード・インジェクション (Code Injection) 、1 = 処理の偽装 (Process Impersonated) 、2 = 署名の偽造 (Signature Forged) 、 3 = インシデントの相関 (Incident Correlated) 、4 = DLL ファイルのサイドロードディング (DLL Sideloaded) 、5 = 疑わしいスクリプトの実行 (Suspicious Script Executed) 、6 = ポリシーがトリガーされる (Policies Triggered) 、7 = 異常な動作の検出 (Anomalous Behavior Detected) 、8 = トークンの盗難 (Token Stolen) 、9 = ランサムウェアの動作の検出 (Ransomware Behavior Detected) 、10 = 特権の昇格 (Privilege Escalated) 、11 = 外部トリガー (External Trigger) 、12 = 検知戦略 (Detection Strategy) 、13 = アンチマルウェアの検出 (Antimalware Detection)tag query array[string] アラートのタグ activityState query string アラートのアクティビティーの状況 アクティブ (active) 、待機中 (idle) 、アクティブではない (inactive) 、アーカイブ済み (archived) severity query array[string] アラートの重大度 安全 (safe) 、低 (low) 、中 (medium) 、高 (high) status query array[string] アラートのステータス 悪性 (malicious) 、良性 (benign) 、無し (none) happenedAfter query string 指定した日付の後に発生したアラート happenedBefore query string 指定した日付の前に発生したアラート receivedAfter query string 指定した日付の後にバックエンドによって受信されたアラート receivedBefore query string 指定した日付の前にバックエンドによって受信されたアラート closedAfter query string 指定した日付の後にクローズされたアラート closedBefore query string 指定した日付の前にクローズされたアラート country query array[string] アラートの接続イベントが存在する国 sortBy query string ソート・パラメーターの一覧
デフォルトで「 happenedAt 」の降順表示になります。使用可能な値は「発生時刻 (happenedAt) 」、「管理対象 (receivedAt) 」、「影響 (impact) 」、「重大度 (severity) 」[ 大 / 小文字の区別あり ] となります。これらの値の後ろに、各々で昇順 (:asc) または降順 (:desc) を指定できます。昇順と降順のパラメーターが欠落している場合、ソートの順番は昇順になります。複数の値を指定するには「 , 」で区切る必要がありますが、それぞれの値を多くとも一度は記載する必要があります。
例:
happenedAt:desc,receivedAt,impact:descgid query array[string] アラートが生成されたエンドポイントが属するグループ ID の一覧 count query number($double) シングルページに返すアラートの数 lastSeenId query string このパラメーターがある場合は、ID の昇順でアラートを自動的にソートして、指定された ID より厳密に大きい ID を返します。
注: このパラメーターは、sortByと一緒に指定することはできません。その場合、API は 400 を返します。
例:
endpointId のパラメーターを使用する: アラート API で endpointId のパラメーターを使用して、特定のエンドポイントに関連するアラートを取得できます。GET https://<Hive Server URL>/rqt-api/1/alerts?endpointid=<Enter endpointId here> - リクエストボディ: 無し
- ヘッダー: ContentType および Authorization のヘッダーが指定されていることを確認してください。
-
ContentType: application/json -
Authorization: Bearer <token>注: トークンは、API クライアントの認証時に生成されます。詳細については「 ReaQta: API クライアントの認証について」をご参照ください。
-
- レスポンス: API リクエストの成否に応じて、以下の応答コードを受け取ります。
ステータス・コード 説明 応答値の例 200 一致するアラートの一覧 { "result": [ { "id": "string", "localId": "string", "endpointId": "string", "triggerCondition": "0", "endpoint": { "id": "string", "machineId": "string", "osType": "0", "cpuVendor": "0", "arch": "0", "cpuDescr": "string", "kernel": "string", "os": "string", "name": "string", "domain": "string", "state": "0", "registrationTime": "string", "deregistrationTime": "string", "agentVersion": "string", "componentsVersions": [ { "name": "string", "version": "string", "build": "string" } ], "isVirtualMachine": true, "isDomainController": true, "isServer": true, "sessionStart": "string", "sessionEnd": "string", "lastSeenAt": "string", "disconnectionReason": "0", "localAddr": "string", "hvStatus": 0, "macs": [ "string" ], "isolated": true, "connected": true, "tags": [ "string" ], "groups": [ { "id": "string", "name": "string", "description": "string", "parentGroupId": "string" } ], "avInstalled": true, "avOnline": true, "avDbLatestUpdateTime": 0, "avDbSignaturesNum": 0, "avAgentVersion": "string" }, "triggerEvents": [ { "id": "string", "category": "info", "localId": "string", "endpointId": "string", "receivedAt": "string", "happenedAt": "string", "relevance": 0, "severity": "none", "trigger": true, "manuallyAdded": true, "process": { "id": "string", "parentId": "string", "endpointId": "string", "program": { "path": "string", "filename": "string", "md5": "string", "sha1": "string", "sha256": "string", "certInfo": { "signer": "string", "issuer": "string", "trusted": true, "expired": true }, "size": 0, "arch": "string", "fsName": "string" }, "user": "string", "pid": 0, "startTime": "string", "ppid": 0, "pstartTime": "string", "userSID": "string", "privilegeLevel": "string", "noGui": true, "logonId": "string" }, "eventType": 0, "data": { "additionalProp1": "string", "additionalProp2": "string", "additionalProp3": "string" } } ], "totalEventCount": 0, "byTypeEventCount": [ { "type": 0, "count": 0 } ], "impact": 0, "severity": "safe", "closed": true, "closedAt": "string", "activityState": "active", "terminationReason": "0", "receivedAt": "string", "happenedAt": "string", "tags": [ "string" ], "notes": "string", "endpointState": { "osType": "0", "cpuVendor": "0", "arch": "0", "cpuDescr": "string", "kernel": "string", "os": "string", "hvStatus": 0, "name": "string", "domain": "string", "isolated": true, "localAddr": "string", "macs": [ "string" ], "componentsVersions": [ { "name": "string", "version": "string", "build": "string" } ], "endpointVersion": "string", "tags": [ "string" ], "groups": [ { "id": "string", "name": "string", "description": "string", "parentGroupId": "string" } ] }, "alertStatus": "malicious", "title": "string" } ], "nextPage": "string", "remainingItems": 0 }
GET - /1/alert/{alertID}
該当の API を使用して、特定のアラートの詳細を取得します。
- リクエストする URL: GET https://<Hive Server URL>/rqt-api/1/alerts/<alertID>
注: すべてのアラートを取得するための API コールによって、alertID を取得できます。
- リクエストボディ: 無し
- ヘッダー: ContentType および Authorization のヘッダーが指定されていることを確認してください。
-
ContentType: application/json -
Authorization: Bearer <token>注: トークンは、API クライアントの認証時に生成されます。詳細については「 ReaQta: API クライアントの認証について」をご参照ください。
-
- レスポンス: API リクエストの成否に応じて、以下の応答コードを受け取ります。
ステータス・コード 説明 応答値の例 200 OK { "id": "string", "localId": "string", "endpointId": "string", "triggerCondition": "0", "endpoint": { "id": "string", "machineId": "string", "osType": "0", "cpuVendor": "0", "arch": "0", "cpuDescr": "string", "kernel": "string", "os": "string", "name": "string", "domain": "string", "state": "0", "registrationTime": "string", "deregistrationTime": "string", "agentVersion": "string", "componentsVersions": [ { "name": "string", "version": "string", "build": "string" } ], "isVirtualMachine": true, "isDomainController": true, "isServer": true, "sessionStart": "string", "sessionEnd": "string", "lastSeenAt": "string", "disconnectionReason": "0", "localAddr": "string", "hvStatus": 0, "macs": [ "string" ], "isolated": true, "connected": true, "tags": [ "string" ], "groups": [ { "id": "string", "name": "string", "description": "string", "parentGroupId": "string" } ], "avInstalled": true, "avOnline": true, "avDbLatestUpdateTime": 0, "avDbSignaturesNum": 0, "avAgentVersion": "string" }, "triggerEvents": [ { "id": "string", "category": "info", "localId": "string", "endpointId": "string", "receivedAt": "string", "happenedAt": "string", "relevance": 0, "severity": "none", "trigger": true, "manuallyAdded": true, "process": { "id": "string", "parentId": "string", "endpointId": "string", "program": { "path": "string", "filename": "string", "md5": "string", "sha1": "string", "sha256": "string", "certInfo": { "signer": "string", "issuer": "string", "trusted": true, "expired": true }, "size": 0, "arch": "string", "fsName": "string" }, "user": "string", "pid": 0, "startTime": "string", "ppid": 0, "pstartTime": "string", "userSID": "string", "privilegeLevel": "string", "noGui": true, "logonId": "string" }, "eventType": 0, "data": { "additionalProp1": "string", "additionalProp2": "string", "additionalProp3": "string" } } ], "totalEventCount": 0, "byTypeEventCount": [ { "type": 0, "count": 0 } ], "impact": 0, "severity": "safe", "closed": true, "closedAt": "string", "activityState": "active", "terminationReason": "0", "receivedAt": "string", "happenedAt": "string", "tags": [ "string" ], "notes": "string", "endpointState": { "osType": "0", "cpuVendor": "0", "arch": "0", "cpuDescr": "string", "kernel": "string", "os": "string", "hvStatus": 0, "name": "string", "domain": "string", "isolated": true, "localAddr": "string", "macs": [ "string" ], "componentsVersions": [ { "name": "string", "version": "string", "build": "string" } ], "endpointVersion": "string", "tags": [ "string" ], "groups": [ { "id": "string", "name": "string", "description": "string", "parentGroupId": "string" } ] }, "alertStatus": "malicious", "title": "string" }404 アラートが見つからない { "message": "Alert not found", "details": { "additionalProp1": "string", "additionalProp2": "string", "additionalProp3": "string" } }
POST - /1/alert/{alertID}/close
該当の API を使用して、既存のアラートをクローズします。
- リクエストする URL: POST https://<Hive Server URL>/rqt-api/1/
alert/<alertID>/close - 使用するパラメーター:
名前 型 データの型 説明 malicious query boolean malicious が存在する場合は、アラートをクローズして、それを悪意があるものとしてマークします。注: アラートがすでにクローズされている場合、malicious パラメーターを使用してアラートを再分類することができます。 - リクエストボディ: 無し
- ヘッダー: ContentType および Authorization のヘッダーが指定されていることを確認してください。
-
ContentType: application/json -
Authorization: Bearer <token>注: トークンは、API クライアントの認証時に生成されます。詳細については「 ReaQta: API クライアントの認証について」をご参照ください。
-
- レスポンス: API リクエストの成否に応じて、以下の応答コードを受け取ります。
ステータス・コード 説明 応答値の例 200 OK { "alertId": "string", "closed": true, "malicious": true }404 アラートが見つからない { "message": "Alert not found", "details": { "additionalProp1": "string", "additionalProp2": "string", "additionalProp3": "string" } }
GET - /1/alert/local/{alertLocalID}/endpoint/{endpointID}
該当の API を使用して、関連するエンドポイントによって生成された LocalID を使用してアラートの詳細を取得します。
- リクエストする URL: GET https://<Hive Server URL>/rqt-api/1/alert/local/{alertLocalID}/endpoint/{endpointID}
- リクエストボディ: 無し
- ヘッダー: ContentType および Authorization のヘッダーが指定されていることを確認してください。
-
ContentType: application/json -
Authorization: Bearer <token>注: トークンは、API クライアントの認証時に生成されます。詳細については「 ReaQta: API クライアントの認証について」をご参照ください。
-
- レスポンス: API リクエストの成否に応じて、以下の応答コードを受け取ります。
ステータス・コード 説明 応答値の例 200 OK { "id": "string", "localId": "string", "endpointId": "string", "triggerCondition": "0", "endpoint": { "id": "string", "machineId": "string", "osType": "0", "cpuVendor": "0", "arch": "0", "cpuDescr": "string", "kernel": "string", "os": "string", "name": "string", "domain": "string", "state": "0", "registrationTime": "string", "deregistrationTime": "string", "agentVersion": "string", "componentsVersions": [ { "name": "string", "version": "string", "build": "string" } ], "isVirtualMachine": true, "isDomainController": true, "isServer": true, "sessionStart": "string", "sessionEnd": "string", "lastSeenAt": "string", "disconnectionReason": "0", "localAddr": "string", "hvStatus": 0, "macs": [ "string" ], "isolated": true, "connected": true, "tags": [ "string" ], "groups": [ { "id": "string", "name": "string", "description": "string", "parentGroupId": "string" } ], "avInstalled": true, "avOnline": true, "avDbLatestUpdateTime": 0, "avDbSignaturesNum": 0, "avAgentVersion": "string" }, "triggerEvents": [ { "id": "string", "category": "info", "localId": "string", "endpointId": "string", "receivedAt": "string", "happenedAt": "string", "relevance": 0, "severity": "none", "trigger": true, "manuallyAdded": true, "process": { "id": "string", "parentId": "string", "endpointId": "string", "program": { "path": "string", "filename": "string", "md5": "string", "sha1": "string", "sha256": "string", "certInfo": { "signer": "string", "issuer": "string", "trusted": true, "expired": true }, "size": 0, "arch": "string", "fsName": "string" }, "user": "string", "pid": 0, "startTime": "string", "ppid": 0, "pstartTime": "string", "userSID": "string", "privilegeLevel": "string", "noGui": true, "logonId": "string" }, "eventType": 0, "data": { "additionalProp1": "string", "additionalProp2": "string", "additionalProp3": "string" } } ], "totalEventCount": 0, "byTypeEventCount": [ { "type": 0, "count": 0 } ], "impact": 0, "severity": "safe", "closed": true, "closedAt": "string", "activityState": "active", "terminationReason": "0", "receivedAt": "string", "happenedAt": "string", "tags": [ "string" ], "notes": "string", "endpointState": { "osType": "0", "cpuVendor": "0", "arch": "0", "cpuDescr": "string", "kernel": "string", "os": "string", "hvStatus": 0, "name": "string", "domain": "string", "isolated": true, "localAddr": "string", "macs": [ "string" ], "componentsVersions": [ { "name": "string", "version": "string", "build": "string" } ], "endpointVersion": "string", "tags": [ "string" ], "groups": [ { "id": "string", "name": "string", "description": "string", "parentGroupId": "string" } ] }, "alertStatus": "malicious", "title": "string" }404 アラートが見つからない { "message": "Alert not found", "details": { "additionalProp1": "string", "additionalProp2": "string", "additionalProp3": "string" } }
Additional Information
例: アクティブなすべての重大度高のアラートを取得する
アラート API を使用して、アクティブなすべての重大度高のアラートを取得します。
- リクエストする URL: GET https://<Hive Server URL>/rqt-api/1/alerts?activityState=active&severity=high
- 使用するパラメーター:
キー 値 activityState アクティブ(active) severity 高(high) - コード・スぺニット:
curl --location --request GET 'https://<Hive Server URL>/rqt-api/1/alerts?activityState=active&severity=high' \ --header 'ContentType: application/json' \ --header 'Authorization: Bearer <Enter the Token generated from API Authentication>' \ --header 'Content-Type: application/json' \ --data-raw '{ "secret": "<Enter the Secret Key String of the API Client>", "id": "<Enter the Application ID of API Client>" }'
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSaAAM","label":"Configuration"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
05 August 2022
UID
ibm16609000