qradar - 如何通过 REST api 使用基于 IBM Qradar Offenses 规则的过滤器？

Question

我是 Qradar 新手，在理解 Qradar REST api /siem/offenses 中的过滤器参数时遇到困难。谁能建议我如何使用基于进攻“规则”字段的过滤器？由于规则是 JSON 对象的列表，我发现很难编写过滤器。

带有规则字段的示例攻击

{
    "username_count": 1,
    "description": "String",
    "rules": [
      {
        "id": 1,
        "type": "String <one of: ADE_RULE, BUILDING_BLOCK_RULE, CRE_RULE>"
      }```
    ]
}

score 1 · Accepted Answer

我们遇到了类似的问题并找到了解决办法，您可以使用“包含”关键字来访问列表元素。例如，要过滤规则[0]["id"]，您可以使用：

rules contains (id = 42)

qradar - 如何通过 REST api 使用基于 IBM Qradar Offenses 规则的过滤器？

1 回答 1

Related

Reference