Giới thiệu về Qradar-Rules-API

Một phần của tài liệu Nghiên cứu và phát triển hệ thống phát hiện bất thường dựa trên log (Trang 52 - 55)

CHƯƠNG 1 CƠ SỞ LÝ THUYẾT

1.4 Tổng quan về Rules trên SIEM-Qradar

1.4.3 Giới thiệu về Qradar-Rules-API

Hiện tại, IBM cung cấp một số API cho phép tương tác với hệ thống quản lý tập luật trên QRadar. Thông tin mô tả chi tiết có thể tham khảo tại QRadar Interactive API for Developers [25]. Trong đó, sẽ gồm 4 mô-đun sau:

-ade_rules cho phép truy xuất thông tin các luật thuộc nhóm Anomaly Detection Rules

44 -rules cho phép truy xuất thông tin các luật thuộc nhóm Custom Rules

-rule_groups cho phép truy xuất thông tin liên quan đến các nhóm quản lý Rules/Building Block

Các API này được xây dựng dưới dạng REST/API nhận các request theo phương thức GET/POST/DELETE và trả về kết quả dưới dạng JSON. Để xác thực và đảm bảo các request có thể trả về được dữ liệu, cần sử dụng tài khoản gồm tên đăng nhập/mật khẩu, hoặc token được cấp quyền truy cập và chỉnh sửa luật. Mỗi API sẽ có kết quả trả về chứa các trường thông tin khác nhau. Trong đó, các API quản lý tập luật sẽ cho phép trích xuất một số thông tin được mô tả trong bảng bên dưới. Kết quả tương tự với các API quản lý Building Block và Anomaly Detection Rules.

Bảng 1.14. Bảng mô tả các trường thông tin trả về trong QRadar-API

Trường dữ liệu Thông tin mô tả

id Giá trị ID của luật

name Tên của luật

type Loại của luật, gồm một trong 4 giá trị: EVENT, FLOW, COMMON, USER.

enabled Giá trị True/False cho biết trạng thái kích hoạt của luật owner Tên tài khoản đã tạo luật

origin Nguồn gốc của luật. Gồm một trong 3 giá trị: SYSTEM, OVERRIDE, USER

identifier Giá trị UUID của luật

linked_rule_identifier Giá trị ID liên kết của luật, phụ thuộc vào nguồn tạo nó creation_date Thời gian tạo luật

modification_date Thời gian sửa luật

Ngoài việc trích xuất một số thông tin như trên, các API này còn cho phép chỉnh sửa một số thông tin cơ bản như chủ sở hữu hoặc trạng thái kích hoạt/vô hiệu hoá của luật. Đối với API liên quan đến nhóm quản lý Rules/Building Block, nó cho phép lấy thông tin về tên của nhóm và mã id của các Rules/BB mà nó đang quản lý. Hình bên dưới minh hoạ kết quả trả về dạng JSON khi trích xuất các thông tin liên quan đến luật “Multiple Login Failures for Singer Username”. Một điểm hạn chế là hiện tại các API này không cho phép trích xuất thông tin liên quan đến nội dung được cấu hình bên trong mỗi Rules/Building Block.

45

46

Một phần của tài liệu Nghiên cứu và phát triển hệ thống phát hiện bất thường dựa trên log (Trang 52 - 55)

Tải bản đầy đủ (PDF)

(115 trang)