QRadar como obter Offense ID via Log

COMPARTILHAR:

Whatsapp Telegram Twitter Facebook Reddit

Qradar como obter offense id de um delito via log

Aprenda a obter a Offense ID de uma offense que foi disparada para poder criar automações via Custom Actions.

Conforme Figura 1, primeiramente crie uma regra que dispare uma Offense quando ocorrer um evento com QID "Offense Created". Esse QID está presente no Log Source Type "SIM Audit", anote o número do QID desse evento.

Figura 1

Caso não exista esse QID, crie uma regra que dispara uma offense quando uma offense é criada e como ação envie para o Syslog e depois confira o QID para esse evento.

Em seguida em Log Activity, filtre os logs para aparecer apenas evento com a numeração do QID que você anotou.

Figura 2

Assim aparecerá conforme Figura 3 todos eventos nomeados Offense Created.

Figura 3

Abra um desses eventos e você verá no payload o ID referente a Offense disparada.

Figura 4

Agora clique em "Extract Property" (menu Figura 4) e extraia o ID da Offense utilizando Regex. Note que se não conseguir nomear a nova propriedade como offenseid, utilize outro nome como getOffenseID (Figura 5).

Figura 5

Regex utilizado:

[id="(\d+)"]

Pronto, agora você verá em "Event Information" a Offense ID que disparou o evento "Offense Created".

Figura 6

Portanto, agora em Custom Action, você poderá utilizar na "Network Event Property" a propriedade que você criou.

Figura 7

Caso necessite excluir a propriedade criada, na aba Admin entre em "Custom Event Properties".

Figura 8


COMENTÁRIOS

Nome

#ann,25,#HK,30,#LTCode,130,Artigo - Diversos,156,Artigo - Games,201,Artigo - Tecnologia,615,autor-thomaz,7,Coluna - Alternative World,24,Coluna - Fail,12,Coluna - Tec Line,14,Criptomoeda,72,Curiosidades - Diversos,49,Curiosidades - Tecnologia,50,en,2,estudo,8,HN,12,logica,14,Pentest,23,Programar C,29,Programar POO,6,Programar Python,6,Programar Shell,25,Programar verilog,12,qradar,4,Raspberry Pi,15,Redes,3,root,117,Shorty Awards,1,Smartphones - Reviews,33,Teoria,10,Top Nostalgia,2,VPN,19,WhatsApp,46,
ltr
item
Limon Tec: QRadar como obter Offense ID via Log
QRadar como obter Offense ID via Log
Qradar como obter offense id de um delito via log
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3fXMxy1Egjsw4ndaTIw5Ny31kXHrpEnaAYt2dEkOj9XBTcYDLeziEUDnz3QYs69P4L8ou9MkWXivEYZAYHDKgdgCsP4MTienYGh0a1vPF5VVdKWu8lfaU_Yqi1O-AaTXExHNJtICy92DBgfpaUC1djGGhMBz-CaonHiyFn6zkYk1ns-3a9BMTT2FvH01c/s320/SOC_ANALYST.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3fXMxy1Egjsw4ndaTIw5Ny31kXHrpEnaAYt2dEkOj9XBTcYDLeziEUDnz3QYs69P4L8ou9MkWXivEYZAYHDKgdgCsP4MTienYGh0a1vPF5VVdKWu8lfaU_Yqi1O-AaTXExHNJtICy92DBgfpaUC1djGGhMBz-CaonHiyFn6zkYk1ns-3a9BMTT2FvH01c/s72-c/SOC_ANALYST.png
Limon Tec
https://www.limontec.com/2024/11/qradar-como-obter-offense-id-via-log.html?m=0
https://www.limontec.com/?m=0
https://www.limontec.com/
https://www.limontec.com/2024/11/qradar-como-obter-offense-id-via-log.html
false
2157924926610706248
UTF-8
Carregar todos posts Não encontramos nenhum post VER TUDO Ler mais Responder Cancelar resposta Deletar Por Home PÁGINAS POSTS Ver tudo RECOMENDADO PARA VOCÊ LABEL ARQUIVO SEARCH TODOS POSTS Não encontramos nenhum post relacionado a sua requisição VOLTAR PÁGINA INICIAL Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sab Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez apenas agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir ESTE CONTEÚDO ESTÁ BLOQUEADO PASSO 1: Compartilhe com seus amigos PASSO 2: Clique no link compartilhado Copiar Todo Código Selecionar Todo Código Todos códigos foram copiados para seu clipboard Não é possível copiar códigos / textos, por favor aperte [CTRL]+[C] (ou CMD+C no Mac) para copiar Tabela de conteúdo