QRadar
集成版本:56.0
支持的 QRadar 部署
此集成支持本地和云端 QRadar 部署。
对 QRadar 的网络访问权限
从 Google Security Operations 到 QRadar 的 API 访问:允许通过端口 443 (HTTPS) 或根据您的环境配置的端口传输流量。
设置 QRadar 权限
在 QRadar 中创建专用 Google SecOps 用户和安全配置文件(如下面步骤中所述)后,您可以更精细地控制权限。此方法是可选的,但建议使用。
QRadar 集成也可以使用现有的管理员账号运行。
创建 Google SecOps 用户 {:.hide-from-toc}
在 QRadar 中,点击左上角的图标。
前往管理员,然后点击用户。
点击新建,然后填写信息以创建新的管理员用户。
创建 Google SecOps 安全配置文件
依次前往管理 > 用户管理 > 安全配置文件。
使用以下设置创建个人资料:
- 权限优先级:无限制
- 日志源:所有日志源组
- 广告资源网:全部
- 网域:所有网域
部署更改
点击界面中的部署。
创建授权服务以访问 API
依次前往管理 > 用户管理 > 授权服务。
使用以下设置创建服务:
- 服务名称:Siemplify_Application_User
- 用户角色:管理员
- 安全配置文件:管理员
- 失效日期:无失效日期
复制生成的身份验证密钥,并在 Google SecOps 集成设置(部署向导)中使用该密钥。
在 Google SecOps 中配置 QRadar 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://IP_ADDRESS |
是 | 指向 QRadar 服务器的网址路径。 |
| API 令牌 | 密码 | 不适用 | 是 | 用于身份验证的 API 安全令牌。 |
| API 版本 | 字符串 | 不适用 | 否 | 所使用的 API 版本。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
“类似流程”查询
说明
执行预定义的 AQL 查询,以查找与指定的 Google SecOps IP 地址实体相关的流。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 时间差(以分钟为单位) | 整数 | 10 | 否 | 提取过去 x 分钟的流量。此参数接受数值,例如 10。 |
| 要提取的流量数量限制 | 整数 | 23 | 是 | 限制操作可返回的 flow。此参数接受数值,例如 10。 |
| 要显示的字段 | 字符串 | 不适用 | 否 | 除了预定义的字段之外,还要从流程中提取的字段。如果未设置,该操作会返回流程的预定义字段。 |
| 来源 IP 地址字段名称 | 字符串 | 不适用 | 否 | 表示流量的源 IP 地址字段。 |
| 目标 IP 地址字段名称 | 字符串 | 不适用 | 否 | 表示流的目标 IP 地址字段。 |
剧本使用场景示例
从 QRadar 获取有关在过去 x 分钟内注册的特定 IP 地址的流的信息。
运行于
此操作在 IP 地址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"flows": [
{
"destinationflags": 27,
"destinationpackets": 5.0,
"sourcebytes": 522.0,
"protocolid": 6,
"sourceip": "195.200.72.148",
"destinationbytes": 571.0,
"lastpackettime": 1585057251000,
"sourceflags": 27,
"sourcepackets": 5.0,
"qid": 53268795,
"flowtype": 0,
"destinationip": "37.28.155.22",
"firstpackettime": 1585057224000,
"category": 18448,
"source hostname": null,
"destination hostname": null
},
{
"destinationflags": null,
"destinationpackets": 0.0,
"sourcebytes": 78.0,
"protocolid": 17,
"sourceip": "195.200.72.148",
"destinationbytes": 0.0,
"lastpackettime": 1585057220000,
"sourceflags": null,
"sourcepackets": 1.0,
"qid": 53258563,
"flowtype": 0,
"destinationip": "8.8.8.8",
"firstpackettime": 1585057177000,
"category": 18438,
"source hostname": null,
"destination hostname": null
},
...
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
| 表 | 实体的类似流程:{0}".format(Siemplify.entity.identifier) 标头:... |
实体 |
类似活动查询
说明
执行预定义的 AQL 查询,以查找与指定的 Google SecOps IP 地址、主机名或用户名实体相关的事件。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 时间差(以分钟为单位) | 整数 | 10 | 否 | 提取过去 x 分钟的流量。此参数接受数值,例如 10。 |
| 要提取的事件数量限制 | 整数 | 25 | 是 | 限制操作可返回的事件。该参数接受数值,例如 25。 |
| 要显示的字段 | CSV | 不适用 | 否 | 除了预定义的字段之外,还要从事件中提取的字段。如果未设置,该操作会返回事件的预定义字段。 |
| 主机名字段名称 | 字符串 | 不适用 | 否 | 表示相应事件的主机名字段。 |
| 来源 IP 地址字段名称 | 字符串 | 不适用 | 否 | 表示流量的源 IP 地址字段。 |
| 目标 IP 地址字段名称 | 字符串 | 不适用 | 否 | 表示流的目标 IP 地址字段。 |
| 用户名字段名称 | 字符串 | 不适用 | 否 | 表示事件的用户名字段。 |
使用场景示例
从 QRadar 获取有关指定实体在过去 x 分钟内注册的事件的信息。
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
- 用户
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"events": [
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
...
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
| 表 | 实体的类似流程:{0}".format(Siemplify.entity.identifier) 标头:... |
实体 |
QRadar AQL 搜索
说明
针对 QRadar 实例运行任意 AQL 查询。该操作会以 CSV 格式返回输出。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 查询格式 | 字符串 | 不适用 | 是 | 要执行的查询格式,例如“Select * from flows limit 10 last 10 minutes”。 |
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 结果 | 不适用 | 不适用 |
JSON 结果
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行
操作应失败并停止 playbook 执行:
|
常规 |
| 表 | “查询结果” 标头:... |
常规 |
Ping
说明
测试与 QRadar 实例的连接。
参数
不适用
预期应用场景
使用 Google Security Operations Marketplace 页面上的集成配置中提供的参数,测试对目标系统的访问是否成功。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行。
操作应失败并停止 playbook 执行:
|
常规 |
在参考集中查找值
说明
检查某个值是否列在特定参考集中。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 要检查值的参考集的名称。 |
| 值 | 字符串 | 不适用 | 是 | 要在引用集中检查的值。 |
剧本使用场景示例
在 playbook 运行中发现某个 IP 为恶意 IP,请检查该 IP 是否列在 Malicious_IPs 参考集中。
运行于
此操作不会在 Google SecOps 实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"timeout_type": "FIRST_SEEN",
"number_of_elements": 1,
"data": [
{
"last_seen": 1611149814345,
"first_seen": 1611149814345,
"source": "admin",
"value": "192.168.10.230",
"domain_id": null
}
],
"creation_time": 1440695740583,
"name": "Critical Assets",
"namespace": "SHARED",
"element_type": "IP",
"collection_id": 20
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
在参考映射中查找值
说明
检查某个值是否列在特定参考地图中。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 要检查值的参考地图的名称。 |
| 值 | 字符串 | 不适用 | 是 | 要在引用的映射中检查的值。 |
剧本使用场景示例
根据参考地图值检查用户名是否允许访问给定的 IP。
运行于
此操作不会在 Google SecOps 实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
在集合的参考映射中查找值
说明
检查某个值是否列在特定集合的参考映射中。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 要检查值的集合的参考映射的名称。 |
| 值 | 字符串 | 不适用 | 是 | 要在引用的集合映射中检查的值。 |
使用场景示例
根据 setvalues 的参考映射检查用户名是否允许访问给定的 IP。
运行于
此操作会在 Google SecOps 实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
在参考信息表中查找值
说明
检查某个值是否列在特定的参考表中。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 要检查值的参考表的名称。 |
| 值 | 字符串 | 不适用 | 是 | 要在被引用表中检查的值。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"Source_IP": {
"port": {
"last_seen": 1583933682283,
"first_seen": 1583933682283,
"source": "reference data api",
"value": "8080"
}
},
"192.168.1.1": {
"port": {
"last_seen": 1583990995600,
"first_seen": 1583990995600,
"source": "reference data api",
"value": "8080"
}
}
}
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
在参考地图中查找键
说明
检查某个键是否列在特定参考映射中。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 要检查值的参考地图的名称。 |
| 键 | 字符串 | 不适用 | 是 | 要在参考地图中检查的键。 |
使用场景示例
根据参考地图值检查用户名是否允许访问给定的 IP。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
在集合的参考映射中查找键
说明
检查某个键是否列在某个特定的集合参考映射中。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 要检查值的集合的参考映射的名称。 |
| 键 | 字符串 | 不适用 | 是 | 要在引用的一组映射中检查的键。 |
使用场景示例
根据一组值的参考映射,检查用户名是否可以访问给定的 IP。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
列出参考集
说明
列出 QRadar 中可用的参考集。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 要返回的字段 | 字符串 | 不适用 | 否 | 指定操作应返回的字段。如果未提供任何内容,则该操作默认会返回所有可用字段。该参数接受多个值,这些值以英文逗号分隔。 |
| 过滤条件 | 字符串 | 不适用 | 否 | 指定过滤条件以仅返回特定元素,例如:element_type = IP |
| 要返回的元素数量 | 整数 | 25 | 是 | 指定操作要返回的最大元素数量。 |
使用场景示例
列出参考的可用元素。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "Critical Assets",
"element_type": "IP"
},
{
"name": "Asset Reconciliation IPv4 Blocklist",
"element_type": "IP"
},
{
"name": "Proxy Servers",
"element_type": "IP"
}
]
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
列出参考地图
说明
列出 QRadar 中可用的参考地图。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 要返回的字段 | 字符串 | 不适用 | 否 | 指定操作应返回的字段。如果未提供任何内容,则该操作默认会返回所有可用字段。此参数接受以英文逗号分隔的多个值。 |
| 过滤条件 | 字符串 | 不适用 | 否 | 指定过滤条件以仅返回特定元素,例如:element_type = ALNIC |
| 要返回的元素数量 | 整数 | 25 | 是 | 指定操作要返回的最大元素数量。 |
使用场景示例
列出参考的可用元素。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "User1",
"element_type": "ALNIC"
},
{
"name": "User",
"element_type": "ALNIC"
}
]
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
列出集合的参考地图
说明
列出 QRadar 中可用的集的相关参考地图。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 要返回的字段 | 字符串 | 不适用 | 否 | 指定操作应返回的字段。如果未提供任何内容,则该操作默认会返回所有可用字段。此参数接受以英文逗号分隔的多个值。 |
| 过滤条件 | 字符串 | 不适用 | 否 | 指定过滤条件以仅返回特定元素,例如:element_type = ALN |
| 要返回的元素数量 | 整数 | 25 | 是 | 指定操作要返回的最大元素数量。 |
使用场景示例
列出参考的可用元素。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "CorrelatedAttackMap",
"element_type": "ALN"
},
{
"name": "TestMapOfSets",
"element_type": "ALN"
}
]
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
列出参考表
说明
列出 QRadar 中可用的参考信息表。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 要返回的字段 | 字符串 | 不适用 | 否 | 指定操作应返回的字段。如果未提供任何内容,则该操作默认会返回所有可用字段。该参数接受多个值,这些值以英文逗号分隔。 |
| 过滤条件 | 字符串 | 不适用 | 否 | 指定过滤条件以仅返回特定元素,例如:element_type = ALN |
| 要返回的元素数量 | 整数 | 25 | 是 | 指定操作要返回的最大元素数量。 |
使用场景示例
列出参考的可用元素。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "TestTable2",
"element_type": "ALN"
},
{
"name": "TestTable3",
"element_type": "ALN"
}
]
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
添加违规备注
说明
向 QRadar 违规事件添加备注。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 违规 ID | 整数 | 不适用 | 是 | 要添加备注的违规 ID。 |
| 备注文本 | 字符串 | 不适用 | 是 | 要添加到违规行为的备注文本。 |
剧本使用场景示例
在 Google SecOps 中为 QRadar 违规行为添加备注。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
更新违规行为
说明
更新 QRadar 违规。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 违规 ID | 整数 | 不适用 | 是 | 要更新的违规 ID。 |
| 分配给 | 字符串 | 不适用 | 否 | 要将违规行为归因于的用户登录名。 |
| 状态 | DDL | " " | 否 | 违规行为的新状态。 |
| 关闭原因 | 字符串 | 不适用 | 否 | 如果违规状态设置为“已关闭”,您需要提供 QRadar 关闭原因。 |
| 后续跟踪 | 复选框 | 复选框未选中 | 否 | 指定是否应将违规内容标记为后续处理。 |
| 受保护 | 复选框 | 复选框未选中 | 否 | 指定是否应将违规内容标记为受保护。 |
剧本使用场景示例
从 Google SecOps 更新 QRadar 违规事件,以使 QRadar 违规事件状态与 Google SecOps 保持同步。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"last_persisted_time": 1611143659000,
"username_count": 0,
"description": "Web\n",
"rules": [
{
"id": 100555,
"type": "CRE_RULE"
}
],
"event_count": 0,
"flow_count": 4,
"assigned_to": "admin",
"security_category_count": 1,
"follow_up": true,
"source_address_ids": [
50
],
"source_count": 1,
"inactive": true,
"protected": true,
"closing_user": null,
"destination_networks": [
"other"
],
"source_network": "other",
"category_count": 1,
"close_time": null,
"remote_destination_count": 1,
"start_time": 1610451749000,
"magnitude": 0,
"last_updated_time": 1610451887000,
"credibility": 0,
"id": 93,
"categories": [
"Web"
],
"severity": 0,
"policy_category_count": 0,
"log_sources": [],
"closing_reason_id": null,
"device_count": 0,
"first_persisted_time": 1610451722000,
"offense_type": 1,
"relevance": 0,
"domain_id": 0,
"offense_source": "37.28.155.22",
"local_destination_address_ids": [],
"local_destination_count": 0,
"status": "OPEN"
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
获取规则 MITRE 覆盖率
说明
使用“用例管理器”应用获取有关 QRadar 中规则的 MITRE 详细信息。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 规则名称 | CSV | 是 | 指定一个以英文逗号分隔的规则名称列表,该操作应返回这些规则的 MITRE 详细信息。 | |
| 创建分析数据 | 布尔值 | 正确 | 否 | 如果启用,该操作会创建一条包含规则的 MITRE 覆盖率相关信息的分析。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"rulename": "Excessive Database Connections"
"id": "SYSTEM-1431",
"has_ibm_default": true,
"last_updated": 1591634177302,
"mapping": {
"Discovery": {
"confidence": "medium",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0007",
"techniques": {}
},
"Initial Access": {
"confidence": "low",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0001",
"techniques": {}
}
},
"min-mitre-version": 7
}
}]
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
| “案例墙”表格 | 表格名称: MITRE 覆盖率 表格列:
|
QRadar 简单 AQL 搜索
说明
根据 QRadar 中的参数执行 AQL 查询。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 表名称 | DDL |
Flows 可能的值:
|
是 | 指定应查询的表。 |
| 要返回的字段 | CSV | * | 否 | 指定要返回的字段。如果未提供任何内容,则该操作会返回所有字段。还支持使用通配符。 |
| Where 过滤条件 | 字符串 | 否 | 为需要执行的查询指定 WHERE 过滤条件。
您无需提供时间过滤条件、限制和排序。此外,您无需在载荷中提供 WHERE 字符串。 |
|
| 时间范围 | DDL |
过去 1 小时 可能的值:
|
否 | 指定结果的时间范围。如果选择“自定义”,您还需要提供“开始时间”。 |
| 开始时间 | 字符串 | 否 | 指定结果的开始时间。如果为“时间范围”参数选择“自定义”,则此参数是必需的。格式:ISO 8601。示例:2021-04-23T12:38Z | |
| 结束时间 | 字符串 | 否 | 指定结果的结束时间。格式:ISO 8601。如果未提供任何内容,并且为“时间范围”参数选择了“自定义”,则此参数会使用当前时间。 | |
| 排序字段 | 字符串 | 否 | 指定应使用的排序参数。 | |
| 排序顺序 | DDL |
升序 可能的值:
|
否 | 指定排序顺序。需要提供“排序字段”参数。 |
| 要返回的结果数上限 | 整数 | 50 | 否 | 指定要返回的结果数。 |
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 结果 | 不适用 | 不适用 |
JSON 结果
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* |
此操作不应失败,也不应停止 playbook 执行:
此操作应失败并停止 playbook 执行:
|
常规 |
| “案例墙”表格 | 表格名称: Results |
连接器
在 Google SecOps 中配置 QRadar 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
QRadar 关联事件连接器 V2
说明
推荐的连接器。提取 QRadar 违规事件,并针对添加到 Google SecOps 中动态列表的每个 QRadar 规则生成 Google SecOps 提醒。 连接器仅提取已添加到 Google SecOps 动态列表中的规则所对应的违规行为。连接器要求最低 QRadar API 版本为 10.1。连接器会根据 QRadar 违规行为的规则名称(而非违规行为名称)创建 Google SecOps 提醒。
连接器前提条件
必填字段的 QRadar 索引。QRadar New Correlation Events Connector V2 连接器针对与以下违规行为相关的事件使用了额外的字段:logsource_id、creEventList、Custom Rule Partially Matched。这些字段应默认在 QRadar 中编入索引,但您需要确保这些索引目前处于启用状态。如需检查是否已启用这些功能,请在 QRadar Web 界面中依次前往管理 > 索引管理。在打开的窗口中,您会看到以下索引,请确保它们处于启用状态:
- 自定义规则
- 日志源
- 自定义规则部分匹配
如需了解详情,请参阅索引管理。
向后最大天数建议:连接器参数“向后最大天数”的值应谨慎使用。QRadar 违规事件可能包含大量事件,如果尝试通过连接器提取这些事件,可能会导致 QRadar 服务器负载过大和/或请求超时。因此,建议将“最长回溯天数”参数设置为足够小的值,以确保连接器能够查询配置时间段内的 QRadar 事件。
连接器使用说明
使用连接器时,请注意以下事项:
QRadar Correlation Events Connector v2 会跟踪每个违规行为所提取的每个事件。为此,它会使用所有事件数据(QRadar API 返回的事件的每个字段)计算事件的哈希总和,并将其用作违规事件的唯一标识符。因此,如果事件的每个字段都完全相同,则不会因违规行为而提取这些事件。系统会提取第一个事件并将其添加到相关违规行为中。不过,以下内容会被舍弃,因为它们是重复的。上述情况是由 QRadar 架构造成的,因为 QRadar 中的事件没有唯一标识符。
QRadar Correlation Events Connector v2 会根据违规行为的动态列表规则(而非违规行为本身)创建提醒。因此,如果违规事件被多个动态列表规则标记,则该事件会被添加到多个与相关动态列表规则对应的 Google SecOps 提醒中。
IBM QRadar 使用规则来监控网络中的事件和流,以检测安全威胁。当事件和流程符合规则中定义的测试条件时,系统会创建违规事件,以表明疑似发生了安全攻击或政策违规行为。
新连接器仅根据匹配的规则将违规事件提取到 Google SecOps 中。这些规则由用户定义,需要添加到动态列表中,以确保 Google SecOps 仅接收与用户相关的违规行为。因此,一旦创建了新的违规事件,连接器就会检查触发该违规事件的规则(QRadar API 版本 9 及更高版本中引入了规则过滤功能)。如果这些规则属于动态列表,连接器就会准备将违规事件纳入到数据源中。
连接器使用场景
调查违规行为
IBM QRadar 使用规则来监控网络中的事件和流,以检测安全威胁。当事件和流程符合规则中定义的测试条件时,系统会创建违规事件,以表明疑似发生了安全攻击或政策违规行为。不过,知道发生了违规行为只是第一步。确定事件的发生方式、发生地点和肇事者需要进行一些调查。
“违规摘要”窗口可提供相关背景信息,帮助您了解发生了什么情况,并确定如何隔离和解决问题,从而开始违规调查。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 说明 | |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 不适用 | 用于描述存储商品名称的字段的名称。 | |
| 事件字段名称 | 字符串 | 不适用 | 描述存储事件名称的字段的名称。 | |
| 环境字段名称 | 字符串 | domain_name | 描述存储环境名称的字段的名称。如果找不到环境字段,则环境为“”。 | |
| 环境正则表达式模式 | 字符串 | .* | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 | |
| API 根 | 字符串 | https://IP_ADDRESS:端口 |
QRadar 服务器地址。 | |
| API 令牌 | 字符串 | 不适用 | API 身份验证令牌。 | |
| API 版本 | 字符串 | 10.1 | 要使用的 QRadar API 版本,连接器支持从 10.1 开始的 API 版本。 | |
| 网域过滤条件 | 字符串 (CSV) | 不适用 | 指定应从哪些 QRadar 网域提取违规事件。如果未提供任何值,连接器将从所有网域注入违规内容。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 | |
| 每个 Siemplify 提醒的事件数限制 | 整数 | 25 | 每个周期内每个 Google SecOps 提醒要提取的事件数量上限。如果指定违规填充期内持续返回大量事件,则可以增加此值以加快连接器运行速度。 | |
| 连接器事件页面大小 | 整数 | 100 | 连接器将用于批量处理事件的页面大小。 | |
| 每个周期的违规次数上限 | 整数 | 10 | 每次连接器运行要处理的最大违规次数。
为确保获得最佳性能,请避免将该值设置为低于 10。 |
|
| 脚本超时(秒) | 整数 | 300 | 运行当前脚本的 Python 进程的超时时间限制。 | |
| 回溯的天数上限 | 整数 | 5 | 向后提取违规数据的最大天数。 | |
| 违规行为缓冲期 | 整数 | 60 | 提取违规内容的时间范围(以分钟为单位)。 | |
| 活动填充期 | 整数 | 1 | 用于提取事件数据的时间范围(以天为单位)。 | |
| 自定义字段 | 字符串 | 不适用 | 用户在 QRadar 中配置的自定义字段,值以英文逗号分隔。示例:字段 A、字段 B | |
| Siemplify 提醒的“名称”字段应使用什么值? | 字符串 | custom_rule | 指定生成连接器创建的提醒的名称时应遵循的格式。
可能的值包括:custom_rule 或 offense_description |
|
| Siemplify 提醒的规则生成器字段应使用什么值? | 字符串 | custom_rule | 指定要遵循哪种格式来填充连接器创建的提醒的 rule_generator 字段。
可能的值包括:custom_rule 或 offense_description |
|
| 创建“无法获取违规事件”支持请求? | 复选框 | 勾选 | 如果选中此复选框,那么在违规填充期内,如果连接器无法提取更新后的违规事件,则会创建“无法提取违规事件”警告支持请求。 | |
| 代理服务器地址 | 字符串 | 不适用 | 代理服务器地址。 | |
| 代理用户名 | 字符串 | 不适用 | 代理用户名。 | |
| 代理密码 | 密码 | 不适用 | 代理密码。 | |
| 每个 QRadar 违规规则的事件数限制 | 整数 | 100 | 指定 QRadar 违规事件中每个规则应提取的事件数量上限。达到此限制后,系统不会再将任何新事件提取到相关 QRadar 规则的违规行为中。示例:100 | |
| 一次连接器运行中连接器可查询的事件数量上限 | 整数 | 不适用 | 指定单个违规连接器在一次连接器执行中应从 QRadar 查询的事件数量上限。示例:100。
请注意,参数中指定的值不能低于“每个 QRadar 违规规则的事件限制”参数中指定的值。此外,由于连接器提取事件的方式,系统不会将超出限制的旧事件提取到 Google SecOps。连接器会提取最新的事件,直到达到“每个 QRadar 违规规则的事件限制”参数中指定的限制。 |
|
| 将许可名单用作屏蔽名单 | 复选框 | 尚未核查 | 如果启用,动态列表将用作屏蔽列表。 | |
| 停用溢出 | 复选框 | 尚未核查 | 如果启用,则不会针对创建的提醒检查连接器溢出机制,不会创建“溢出”提醒,并且连接器会尝试提取从 QRadar 返回的所有违规。 | |
| Qradar 违规规则重新同步计时器 | 整数 | 10 | 否 | 以分钟为单位指定连接器应多久重新同步一次 QRadar 违规规则列表。如果未设置该参数或将其设置为 0,连接器每次运行都会重新同步。 |
连接器规则
屏蔽名单和动态列表
连接器正在根据匹配的规则将违规行为提取到 Google SecOps 中。这些规则由用户定义并添加到动态列表中,以确保 Google SecOps 仅注入用户感兴趣/重要的违规事件。
| RuleType(动态列表或屏蔽列表) | RuleName(字符串) |
|---|---|
| 动态列表 | 本地:在非标准端口上检测到 SSH 或 Telnet |
| 动态列表 | 来自同一来源的多次登录失败 |
代理支持
连接器支持代理。
加密通信
连接器支持加密通信 (SSL/TLS)。
Unicode 支持
连接器支持对处理的提醒进行 Unicode 编码。
QRadar Offenses 连接器
说明
QRadar 违规行为连接器用于提取违规行为,并根据 QRadar 违规行为本身创建 Google SecOps 提醒,这与基于 QRadar 规则名称的其他集成连接器的做法相反。连接器对每个 QRadar 违规事件可提取的事件总数有限制,达到该限制后,系统将不再提取新事件。连接器使用 Google SecOps 动态列表,但默认情况下,如果没有设置动态列表规则,它将提取从 QRadar API 返回的所有违规事件。连接器需要 QRadar API 版本 10.1 或更高版本。
如果您不需要跟踪和注入所有 QRadar 违规事件并将其注入到 Google SecOps(如集成关联连接器所做的那样),则可以考虑使用连接器,因为连接器更易于配置和使用。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 不适用 | 是 | 用于描述存储商品名称的字段的名称。 |
| 事件字段名称 | 字符串 | 不适用 | 是 | 描述存储事件名称的字段的名称。 |
| 环境字段名称 | 字符串 | domain_name | 否 | 描述存储环境名称的字段的名称。如果找不到环境字段,则环境为“”。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 |
| API 根 | 字符串 | https://IP_ADDRESS:端口 |
是 | API 服务器地址。 |
| API 令牌 | 字符串 | 不适用 | 是 | API 身份验证令牌。 |
| API 版本 | 字符串 | 10.1 | 是 | 要使用的 QRadar API 版本,连接器支持从 10.1 开始的 API 版本。 |
| 每次违规的事件总数上限 | 整数 | 100 | 是 | 指定连接器应针对每个 QRadar 违规行为提取的事件总数,达到该限制后,将不再针对相应违规行为提取新事件。 |
| 每个 QRadar 违规规则的事件数限制 | 整数 | 不适用 | 否 | 为 QRadar 违规事件中的单个规则指定可选的事件提取数量上限,一旦达到此上限,系统将不会再为相关 QRadar 规则提取新事件。此限制不能大于“每次违规的事件总数上限”。 |
| 连接器事件页面大小 | 整数 | 100 | 是 | 连接器将用于批量处理事件的页面大小。 |
| 每个周期的违规次数上限 | 整数 | 10 | 是 | 每次连接器运行要处理的最大违规次数。
为确保获得最佳性能,请避免将该值设置为低于 10。 |
| 脚本超时(秒) | 整数 | 300 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| 回溯的天数上限 | 整数 | 5 | 否 | 向后提取违规数据时的最大天数 |
| 违规行为缓冲期 | 整数 | 60 | 是 | 提取违规内容的时间范围(以分钟为单位)。 |
| 活动填充期 | 整数 | 1 | 是 | 用于提取事件数据的时间范围(以天为单位)。 |
| 自定义字段 | 字符串 | 不适用 | 否 | 用户在 QRadar 中配置的自定义字段(以英文逗号分隔),例如:字段 A、字段 B。 |
| 网域过滤条件 | 字符串 | 不适用 | 否 | 指定应从哪些 QRadar 网域提取违规事件。如果未提供任何值,连接器将从所有网域注入违规内容。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 震级过滤条件 | 整数 | 不适用 | 否 | 指定要注入的违规严重程度,严重程度等于或大于所提供值的违规行为将被注入到 Google SecOps。 |
| Siemplify 提醒的“名称”字段应使用什么值? | 字符串 | custom_alert_name | 否 | 指定生成连接器创建的提醒的名称时应遵循的格式。
可能的值包括:custom_alert_name 或 offense_description。 |
| 将许可名单用作屏蔽名单 | 复选框 | 尚未核查 | 否 | 如果启用,动态列表将用作屏蔽名单。如果未选中此复选框,并且未设置任何动态列表规则,连接器将提取从 QRadar API 返回的所有违规事件。 |
| 停用溢出 | 复选框 | 尚未核查 | 否 | 如果启用,系统将不会检查所创建的提醒是否存在连接器溢出情况,也不会创建“溢出”提醒,连接器将尝试提取从 QRadar 返回的所有违规行为。 |
| 代理服务器地址 | 字符串 | 否 | 代理服务器地址。 | |
| 代理用户名 | 字符串 | 不适用 | 否 | 代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 代理密码。 |
| Qradar 违规规则重新同步计时器 | 整数 | 10 | 否 | 以分钟为单位指定连接器应重新同步 QRadar 违规规则列表的频率。如果未设置该参数或将其设置为 0,连接器每次运行都会重新同步。 |
连接器规则
代理支持
连接器支持代理。
QRadar 基准违规连接器
连接器会提取违规行为,并根据 QRadar 违规行为的名称创建 Google SecOps 提醒。
连接器会针对每个 QRadar 违规行为创建一个 Google SecOps 提醒,并且在出现来自 QRadar 的新事件时不会创建额外的 Google SecOps 提醒。
连接器使用 Google SecOps 动态列表。默认情况下,如果未设置任何动态列表规则,连接器会提取 Qradar API 返回的所有违规事件。
连接器参数
| 参数 | |
|---|---|
| 商品字段名称 | 必需
存储商品名称的字段的名称。 |
| 事件字段名称 | 必需
存储事件名称的字段的名称。 |
| 环境字段名称 | 可选
存储环境名称的字段的名称。如果未找到环境字段,则将环境设置为 |
| 环境正则表达式模式 | 可选
要对 默认值为 |
| API 根 | 必需
API 服务器地址。 |
| API 令牌 | 必需
API 身份验证令牌。 |
| API 版本 | 必需
QRadar API 版本。该连接器支持 10.1 及更高版本的 API。 |
| 每次违规的事件总数上限 | 必需
指定连接器应针对每个 QRadar 违规行为注入的事件总数。达到设置的限制后,系统将不会再针对违规行为提取新事件。 默认值为 100。 |
| 每个 QRadar 违规规则的事件数限制 | 可选
指定每个规则应提取到 QRadar 违规行为中的事件数量的可选限制。 一旦达到此参数设置的限制,系统就不会再将新事件纳入相关 QRadar 规则的违规行为中。 |
| 连接器事件页面大小 | 必需
连接器用于批量处理事件的网页大小。 默认值为 100。 |
| 每个周期的违规次数上限 | 必需 每次连接器运行要处理的最大违规次数。 为确保获得最佳性能,请避免将该值设置为低于 10。 默认值为 10。 |
| 脚本超时(秒) | 必需
运行当前脚本的 Python 进程的超时时限。 默认值为 300 秒。 |
| 回溯的天数上限 | 可选
提取违规数据的时间范围上限(以天为单位)。 默认值为 5 天。 |
| 违规行为缓冲期 | 必需
提取违规行为的时间范围(以分钟为单位)。 默认值为 60 分钟。 |
| 活动填充期 | 必需
用于提取事件数据的时间范围(以天为单位)。 默认值为 1 天。 |
| 自定义字段 | 可选
用户在 QRadar 中配置的自定义逗号分隔字段,例如 |
| 网域过滤条件 | 可选
指定要从中注入违规事件的 QRadar 网域。如果未提供任何值,连接器会从所有网域提取违规数据。该参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 震级过滤条件 | 可选
指定要注入的违规严重程度。严重程度等于或高于所提供值的违规行为将被纳入 Google SecOps。 |
| Siemplify 提醒的“名称”字段应使用什么值? | 可选
指定生成连接器创建的提醒的名称时应遵循的格式。 默认值为 可能的值:
|
| 将动态列表用作屏蔽名单 | 可选
如果选中,则动态列表用作屏蔽名单。 如果未选中此复选框,并且未设置任何动态列表规则,连接器会提取从 QRadar API 返回的所有违规事件。 默认情况下处于未选中状态。 |
| 停用溢出 | 可选
如果启用,则不会针对创建的提醒检查连接器溢出机制,因此不会创建“溢出”提醒,并且连接器将提取从 QRadar 返回的所有违规行为。 默认情况下处于未选中状态。 |
| 代理服务器地址 | 可选
代理服务器地址。 |
| 代理用户名 | 可选
代理用户名。 |
| 代理密码 | 可选
代理密码。 |
| Qradar 违规规则重新同步计时器 | 可选
指定连接器重新同步 QRadar 违规规则列表的间隔时间(以分钟为单位)。如果未设置该参数或将其设置为 0,连接器每次运行都会重新同步。 默认值为 10 分钟。 |
| 为包含 0 个事件的违规行为创建 SOAR 提醒 | 可选
如果选中此复选框,对于提取的无事件违规,连接器会使用 QRadar 违规数据为提醒和事件创建 Google SecOps 提醒。 默认情况下处于未选中状态。 |
| 违规内容创建计时器(分钟) | 可选
指定连接器在提取新创建的 QRadar 违规事件的数据之前等待的时间。 |
连接器规则
连接器支持代理。
连接器事件
以下是事件示例:
{
"events": [
{
"CREName": null,
"CREDescription": null,
"EventName": "WinCollect Info",
"EventDescription": "WinCollect Info",
"rulename_creEventList": [
"Destination Asset Weight is Low",
"Source Asset Weight is Low",
"Events from Windows Host - Second Rule",
"Context is Local to Local"
],
"partialmatchlist": [],
"qid": 63500003,
"category": 8052,
"sourceHostname": null,
"destinationHostname": null,
"creEventList": [
100205,
100211,
100409,
100199
],
"credibility": 5,
"destinationMAC": "01:23:45:ab:cd:ef",
"destinationIP": "192.0.2.1",
"destinationPort": 0,
"destinationv6": "2001:db8:1:1:1:1:1:1",
"deviceTime": 1583158321000,
"deviceProduct": "WinCollect",
"domainID": 0,
"duration": 10000,
"endTime": 1583165521106,
"eventCount": 1,
"eventDirection": "L2L",
"processorId": 8,
"hasIdentity": false,
"hasOffense": true,
"highLevelCategory": 8000,
"isCREEvent": false,
"magnitude": 6,
"utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
"postNatDestinationIP": "198.51.100.255",
"postNatDestinationPort": 0,
"postNatSourceIP": "198.51.100.1",
"postNatSourcePort": 0,
"preNatDestinationIP": "198.0.2.255",
"preNatDestinationPort": 0,
"preNatSourceIP": "192.0.2.255",
"preNatSourcePort": 0,
"protocolName": "Reserved",
"protocolID": 255,
"relevance": 9,
"severity": 3,
"sourceIP": "192.0.2.1",
"sourceMAC": "ab:cd:ef:01:23:45",
"sourcePort": 0,
"sourcev6": "2001:db8:2:2:2:2:2:2",
"startTime": 1583165521106,
"isunparsed": false,
"userName": null
}
]
}
作业
SyncCloseOffenses
说明
针对已关闭的 Google SecOps 提醒关闭相关的 QRadar 违规行为。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://IP_ADDRESS |
是 | 指向 QRadar 服务器的网址路径。 |
| API 令牌 | 密码 | 不适用 | 是 | 用于身份验证的 API 安全令牌。 |
| API 版本 | 字符串 | 不适用 | 否 | 所使用的 API 版本。 |
| 向后天数 | 整数 | 不适用 | 否 | 用于获取违规记录的天数(向后推算)。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。