0

我是 QRadar 的新手,并且在 Qradar REST api /siem/offense 中遇到过滤 QRadar 描述字段的问题。

谁能建议我如何过滤提交的犯罪描述?例如,我想显示以单词 Rule 开头的任何攻击描述,因此只会显示第一个目标。

数据示例

 {
"description": "Rule_name 1",
"rules": [
  {
    "id": 104206,
    "type": "CRE_RULE"
  }
]

}, { "description": "示例规则 1\n", "rules": [ { "id": 104206, "type": "CRE_RULE" } ] },

4

1 回答 1

0

如果您查看字段说明。攻击描述字段既不可过滤也不可排序。您可以尝试获取所有攻击,然后使用一些脚本过滤所需的攻击。

于 2020-11-18T13:06:03.613 回答