如何基于基于规则的REST API对IBM Qradar违规使用过滤器?

问题描述 投票:0回答:1

我是Qradar的新手,在理解Qradar REST api / siem / offenses中的过滤器参数时遇到困难。谁能建议我如何根据进攻“规则”字段使用过滤器?由于规则是JSON对象的列表,因此我发现编写过滤器很困难。

带有规则字段的攻击示例

{
    "username_count": 1,
    "description": "String",
    "rules": [
      {
        "id": 1,
        "type": "String <one of: ADE_RULE, BUILDING_BLOCK_RULE, CRE_RULE>"
      }```
    ]
}
qradar
1个回答
0
投票

[我们遇到了类似的问题并找到了解决方法,您可以使用'contains'关键字来进行

例如,访问列表元素用于过滤规则[0] [“ id”],您可以使用:

规则包含(id = 42)

Boudah。

© www.soinside.com 2019 - 2024. All rights reserved.