使用 API 的 IBM QRadar 搜索事件
IBM QRadar search event using APIs
我想知道是否可以使用 IBM QRadar APIs 搜索事件。请以下面的屏幕截图为例。
在上面的图片中,当我们点击搜索按钮时,我们将忽略文本栏中包含文本的事件。我想在 API 的帮助下做同样的事情。请帮忙
我找到了问题的答案-
通过 QRadar 获取负载或事件信息 APIs 首先使用搜索 API 获取搜索 ID
curl --location --request POST 'https://qradar-2.as.local/api/ariel/searches?query_expression=select%20payload%20from%20events%20WHERE%20UTF8%28payload%29%20ILIKE%20%27%25xyz-xyzzyx-07.xy.as.local-51995-596966-1%25%27%20START%20%272020-08-21%2004%3A00%27%20STOP%20%272020-08-21%2006%3A00%27%20' \
--header 'Version: 12.0' \
--header 'Accept: application/json' \
--header 'SEC: {{your token here}}' \
--header 'Cookie: JSESSIONID=F988AE8612EDF61A67249876B783CEA7'
然后在下面的 API 中使用此搜索 ID
curl --location --request GET 'https://qradar-2.as.local/api/ariel/searches/{{search_id}}/results' \
--header 'Range: items=0-49' \
--header 'Version: 12.0' \
--header 'Accept: application/json' \
--header 'SEC: {{your token here}}' \
--header 'Cookie: JSESSIONID=E6568B30B3615UUIUD5672AB56578F9E66'
现在 API 的响应将采用 base64 编码,因此您可以访问任何站点进行解码。
例如。 https://www.base64decode.org/
希望这对人们有所帮助
我想知道是否可以使用 IBM QRadar APIs 搜索事件。请以下面的屏幕截图为例。
在上面的图片中,当我们点击搜索按钮时,我们将忽略文本栏中包含文本的事件。我想在 API 的帮助下做同样的事情。请帮忙
我找到了问题的答案-
通过 QRadar 获取负载或事件信息 APIs 首先使用搜索 API 获取搜索 ID
curl --location --request POST 'https://qradar-2.as.local/api/ariel/searches?query_expression=select%20payload%20from%20events%20WHERE%20UTF8%28payload%29%20ILIKE%20%27%25xyz-xyzzyx-07.xy.as.local-51995-596966-1%25%27%20START%20%272020-08-21%2004%3A00%27%20STOP%20%272020-08-21%2006%3A00%27%20' \
--header 'Version: 12.0' \
--header 'Accept: application/json' \
--header 'SEC: {{your token here}}' \
--header 'Cookie: JSESSIONID=F988AE8612EDF61A67249876B783CEA7'
然后在下面的 API 中使用此搜索 ID
curl --location --request GET 'https://qradar-2.as.local/api/ariel/searches/{{search_id}}/results' \
--header 'Range: items=0-49' \
--header 'Version: 12.0' \
--header 'Accept: application/json' \
--header 'SEC: {{your token here}}' \
--header 'Cookie: JSESSIONID=E6568B30B3615UUIUD5672AB56578F9E66'
现在 API 的响应将采用 base64 编码,因此您可以访问任何站点进行解码。 例如。 https://www.base64decode.org/
希望这对人们有所帮助