使用 API 的 IBM QRadar 搜索事件
[英]IBM QRadar search event using APIs
问题描述
I wanted to know if it is possible to search for an Event using IBM QRadar APIs.
我想知道是否可以使用 IBM QRadar API 搜索事件。 please find the screenshot below as an example.请以下面的屏幕截图为例。
in the above, image when we hit the search button, we will get over events which contain text in the text bar.在上面的图像中,当我们点击搜索按钮时,我们将克服文本栏中包含文本的事件。 I want to do the same thing with the help of API.我想在 API 的帮助下做同样的事情。 please help.请帮忙。
1 个解决方案
解决方案1
0 已采纳 2020-08-24 22:14:22
I found the answer to my question-我找到了我的问题的答案-
to fetch the payload or Event information via QRadar APIs first use the search API to get the search ID要通过 QRadar API 获取负载或事件信息,首先使用搜索 API 获取搜索 ID
curl --location --request POST 'https://qradar-2.as.local/api/ariel/searches?query_expression=select%20payload%20from%20events%20WHERE%20UTF8%28payload%29%20ILIKE%20%27%25xyz-xyzzyx-07.xy.as.local-51995-596966-1%25%27%20START%20%272020-08-21%2004%3A00%27%20STOP%20%272020-08-21%2006%3A00%27%20' \
--header 'Version: 12.0' \
--header 'Accept: application/json' \
--header 'SEC: {{your token here}}' \
--header 'Cookie: JSESSIONID=F988AE8612EDF61A67249876B783CEA7'
then use this search ID in the API below然后在下面的 API 中使用这个搜索 ID
curl --location --request GET 'https://qradar-2.as.local/api/ariel/searches/{{search_id}}/results' \
--header 'Range: items=0-49' \
--header 'Version: 12.0' \
--header 'Accept: application/json' \
--header 'SEC: {{your token here}}' \
--header 'Cookie: JSESSIONID=E6568B30B3615UUIUD5672AB56578F9E66'
now the response of this API will be base64 encoded so you visit any site to decode.现在这个 API 的响应将被 base64 编码,因此您访问任何站点进行解码。 eg.例如。 https://www.base64decode.org/ https://www.base64decode.org/
hope this will help people希望这会帮助人们
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.