Aktivität QRadar Event QueryActivity
Die Workflow-Aktivität „ QRadar -Ereignisabfrage“ durchsucht die QRadar-Ereignisprotokolle nach schädlichen Indikatoren.
Die Aktivität QRadar Event QueryActivity kann mit jedem Workflow zum Durchsuchen der Elasticsearch-Ereignisprotokolle verwendet werden.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Abfrage erfolgreich. |
| Fehler | Beim Versuch, die Abfrage zu überprüfen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar. |
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Anwender | Benutzername für das QRadar-System. |
| Kennwort | Passwort für das QRadar-System. |
| Erkennbare Elemente | Die Liste der erkennbaren Elemente aus Vertrauenswürdige Sicherheitskreise oder die Security Incident-Aufgabe, nach der gesucht werden soll. Wird im JSON-Format zurückgegeben. |
| base_url | Basis-URL der API der Drittpartei-Integration. |
| link_base_url | Link zu einer Instanz IBM QRadar, falls verfügbar. |
| Quelle | Quelle der Anforderung zum Ausführen des Workflows. Folgende Eingaben werden unterstützt: Vertrauenswürdige Sicherheitskreise oder Security Incident-Aufgabe. |
| max_rows | Maximale Anzahl von Zeilen, die von der Abfrage zurückgegeben werden sollen. Der Grenzwert hängt von der Drittparteiintegration ab. |
| days_to_search | Tage, für die ab dem aktuellen Tag rückwärts gesucht werden soll. Der Standardwert ist 7. |
| query | Suchsyntax. $(observable) ist der Standardwert. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ausgabe | Ausgabe der Abfrage im JSON-Format. |