问题标签 [qradar]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
qradar - 如何通过 REST api 使用基于 IBM Qradar Offenses 规则的过滤器?
我是 Qradar 新手,在理解 Qradar REST api /siem/offenses 中的过滤器参数时遇到困难。谁能建议我如何使用基于进攻“规则”字段的过滤器?由于规则是 JSON 对象的列表,我发现很难编写过滤器。
带有规则字段的示例攻击
regex - 使用正则表达式从两个不同的日志样本中提取源 IP 地址
我有一个正则表达式如下:
我正在尝试从两个不同的日志样本中提取源 IP 地址。“id.orig_h”和“tx_hosts”是源 IP 的两个不同字段。我如何忽略语音标记和方括号?我只想提取IP地址
任何帮助将不胜感激:-)
谢谢,JM
python - Qradar 目录访问
我想从 App 编辑器访问 Qradar 目录中的文件夹 /store/ariel/events/payloads/。我正在尝试 os.path.exists 但是它返回 false 但是,如果我在 Qradar 的 linux 内核中运行脚本,则该文件夹存在并且路径位于。如果有人能指导我如何从 Qradar App Editor 访问目录,我将不胜感激。
azure - 如何在发送到外部 SIEM 解决方案(此处为 IBM QRADAR)之前过滤事件中心中收集的数据
我的一位客户正在尝试将 IBM QRADAR SIEM 与 Azure 集成。他们希望将来自各种来源的所有数据发送到事件中心,这些数据将与 Azure AD、Azure VM、Key Vault 等相关。
但我的客户只想从 Event Hub 发送安全相关数据并丢弃所有其他数据,然后仅将安全相关数据发送到 IBM QRADAR。从事件中心过滤此数据的方法是什么,以便 SIEM 解决方案不会获得太多与安全无关的数据并阻塞系统。
json - 将 JSON 与不同的键名组合
编辑:将尝试简化我的问题,并将 JSON 示例简化为相关元素。
在 Ansible 中构建剧本,我正在尝试执行的一项任务涉及从 4 个独立的 Qradar API 端点提取数据,并尝试组合来自每个端点的一些细节。
每个端点有 4 个不同的 json 源:
- “regex_properties.json”:具有唯一的“标识符”,我需要引用“名称”和“属性类型”值。
- “log_source_types.json”:具有唯一的“id”字段,我需要引用它的“名称”
- “log_sources.json”:具有唯一的“id”字段,如果它是 log_source_type 分组的一部分(匹配上面的“id”),则可能包含“type_id”字段。需要其中的“名称”字段,以及可能的“last_event_time”进行过滤(但没有它也可以通过)。
- “property_expressions.json”:具有唯一的“标识符”字段。还具有每个“regex_property_identifier”映射到的“log_source_type_id”和/或“log_source_id”。这些值映射到其他日志中的唯一标识符
来自实验室的例子:
我想提取这 4 个来源,并输出一个文件,其中包含由 property_expressions.json 链接的以下数据:
- regex_property.json 的“名称”和“属性类型”(重命名为 regex_name 或类似名称)
- log_sources.json 和 log_source_types.json 中的“名称”(分别重命名为 ls_name 和 lst_name)
比如下面
或者变成一个具有相同数据的csv,这就是导出的最终目标,但可以等待。
我尝试在 regex_properties.json 中将“标识符”重命名为“regex_property_identifier”,然后使用“jq -s regex_properties.json property_expressions.json”,但我仍然只是看到两个内容都是同一输出/文件中的单独数组。
我尝试过使用 ansible 并执行以下操作:
为了只制作一个 CSV 并逐项查找/替换条款。但如果我能在 JSON 数组中做到这一点,那就更干净了。
qradar - 如何通过 REST api 为 IBM Qradar 攻击使用过滤器描述字段
我是 QRadar 的新手,并且在 Qradar REST api /siem/offense 中遇到过滤 QRadar 描述字段的问题。
谁能建议我如何过滤提交的犯罪描述?例如,我想显示以单词 Rule 开头的任何攻击描述,因此只会显示第一个目标。
数据示例
}, { "description": "示例规则 1\n", "rules": [ { "id": 104206, "type": "CRE_RULE" } ] },
vmware - 如何配置 vmware esxi 主机将日志发送到 ibm qradar
我在一台主机上设置了 qradar,在另一台主机上设置了 vmware vsphere cloud。我的 Vsphere 云设置有一个 esxi 主机,我想从这台 esxi 主机发送日志到我的 qradar。怎么做。请帮忙。
qradar - 使用 API 的 IBM QRadar 搜索事件
我想知道是否可以使用 IBM QRadar API 搜索事件。请以下面的屏幕截图为例。
在上面的图像中,当我们点击搜索按钮时,我们将克服文本栏中包含文本的事件。我想在 API 的帮助下做同样的事情。请帮忙。
syslog - QRadar 没有监听 514 端口
我安装了一个全新的 QRadar 社区,并配置了一个 syslog 事件源。
但是 QRadar 没有监听 514 端口(没有 TCP 和 UDP)
你有什么主意吗 ?
这是 netstat 的输出:
非常感谢您的帮助 !
python - 有没有办法点击一个通过 GET 请求公开 API 并将该数据流式传输到 kinesis 数据流的 url?
我一直在努力从返回数据的 API 中获取数据,我必须将该数据流式传输到 Kinesis 数据流以进行进一步处理。我拥有具有特定权限的 IAM 帐户。还要让我知道我应该向我的 AWS 账户管理员询问哪些权限?