堆棧內存溢出
cost 295 ms
如果一段時間內事件負載中沒有發生某些事情,如何在 qradar 中設置規則?

[英]How to set rule in qradar if something does not occur in event payload for some time?

我想設置規則,如果 qradar 在一周內沒有在事件負載中找到字符串? 我該怎么做? 我正在查看條件列表,但沒有找到任何合適的條件。 我有這個: when the event(s) have not been detected by one or more of there log source ...

2022-11-03 14:27:41   1   36    qradar  
IBM Qradar CE V7.3.3 與 nextcloud 集成

[英]IBM Qradar CE V7.3.3 Integration with nextcloud

我一直在研究 IBM Qradar SIEM 工具如何有效地保護私有雲免受 APT 攻擊。 我使用 Nextcloud 作為我的私有測試雲,它已安裝在 ubuntu 服務器上。 我想問一下如何將 Nextcloud 與 IBM Qradar 集成,以便 Qradar 可以從 Nextcloud 接收 ...

支持從 Azure 到 QRadar 的事件

[英]Supported events from Azure to QRadar

QRadar 是否支持來自Azure的資源日志(屬於平台日志的一部分),或者我們是否需要為訂閱中的每種資源類型構建自定義解析器? 我閱讀了QRadar 的 DSM 文檔,它提到了平台活動日志,但沒有提到資源日志。 舉個例子,我們從 Azure 部署中獲取網關日志、websocket 連接日志、請 ...

2021-09-23 05:00:39   1   64    azure / qradar  
重啟時出現 Syslog-ng 服務錯誤 - syslog 轉發到 Qradar

[英]Syslog-ng service error on restart - syslog forward to Qradar

希望我的問題是在正確的地方。 我目前正在嘗試將系統日志從 Ubuntu 機器轉發到 Qradar 機器。 他們在同一個網絡上,我已經設法讓 Rsyslog 工作,但 Qradar 不支持它。 因此,我不得不切換到 Syslog-ng。 IBM 官方文檔指出,只需在 /etc/syslog-ng/ ...

使用 API 的 IBM QRadar 搜索事件

[英]IBM QRadar search event using APIs

我想知道是否可以使用 IBM QRadar API 搜索事件。 請以下面的屏幕截圖為例。 在上面的圖像中,當我們點擊搜索按鈕時,我們將克服文本欄中包含文本的事件。 我想在 API 的幫助下做同樣的事情。 請幫忙。 ...

2020-08-20 11:44:43   1   771    qradar  
如何通過 REST api 為 IBM Qradar 攻擊使用過濾器描述字段

[英]How to use filter description field for IBM Qradar offense via REST api

我是 QRadar 的新手,並且在 Qradar REST api /siem/offense 中遇到過濾 QRadar 描述字段的問題。 誰能建議我如何過濾提交的犯罪描述? 例如,我想顯示以單詞 Rule 開頭的任何攻擊描述,因此只會顯示第一個目標。 數據示例 }, { "description ...

2020-06-22 11:49:12   1   220    qradar  
將 JSON 與不同的鍵名組合

[英]Combining JSON with different Key Names

編輯:嘗試簡化我的問題,並將 JSON 示例簡化為相關元素。 在 Ansible 中構建劇本,我正在嘗試執行的一項任務涉及從 4 個單獨的 Qradar API 端點提取數據,並嘗試組合來自每個端點的一些細節。 每個端點有 4 個不同的 json 源: “regex_properties.json ...

如何在發送到外部 SIEM 解決方案(此處為 IBM QRADAR)之前過濾在事件中心收集的數據

[英]How to filter data collected in Event Hub before sending to an external SIEM Solution which is IBM QRADAR here

我的一位客戶正在嘗試將 IBM QRADAR SIEM 與 Azure 集成。 他們希望將來自各種來源的所有數據發送到事件中心,並且這些數據將與 Azure AD、Azure VM、Key Vault 等相關。 但我的客戶只想從事件中心發送安全相關數據並丟棄所有其他數據,然后僅將安全相關數據發送到 ...

Qradar 目錄訪問

[英]Qradar directory access

我想從應用程序編輯器訪問 Qradar 目錄中的文件夾 /store/ariel/events/payloads/。 我正在嘗試 os.path.exists 但是它返回 false 但是,如果我在 Qradar 的 linux 內核中運行腳本,則該文件夾存在以及路徑所在。 如果有人能指導我如何從 ...

使用正則表達式從兩個不同的日志樣本中提取源 IP 地址

[英]Extract the Source IP Address from two different log samples with regex

我有一個正則表達式如下: 我正在嘗試從兩個不同的日志樣本中提取源 IP 地址。 “id.orig_h”和“tx_hosts”是源IP的兩個不同字段。 我如何忽略語音標記和方括號? 我只想提取 IP 地址 任何幫助將不勝感激:-) 謝謝,JM ...

如何通過 REST api 使用基於 IBM Qradar 攻擊規則的過濾器?

[英]How to use filter based on rules for IBM Qradar Offenses via REST api?

我是 Qradar 的新手,在理解 Qradar REST api /siem/offenses 中的過濾器參數時遇到困難。 誰能建議我如何使用基於進攻“規則”字段的過濾器? 由於規則是 JSON 對象的列表,我發現很難編寫過濾器。 帶有規則字段的示例攻擊 ...

2019-11-14 16:26:13   1   569    qradar  
從日志文件中讀取多行日志

[英]Multiline Log Reading from Log file

我從記錄多行類型的日志文件中讀取日志。 在閱讀 QRadar 時會組裝兩條記錄並將其作為一個日志。 在將日志源添加到 QRadar 時,我將日志行的開始和結束模式描述為: 開始模式正則表達式: ^(\d{7})\, 結束模式正則表達式: (\d{2}:\d{2}:\d{2})$ 我應該讀過類似的日志 ...

范圍標題必須使用適當的屬性或方法

[英]Range Header Must Use Appropriate Property or Method

我搜索過高低,並在產品論壇上詢問,但似乎無法解決這個問題。 使用PowerShell 5我試圖通過API文檔指示的方式使用范圍標題來限制我的結果。 但是,當我嘗試使用它時,我收到以下錯誤。 “必須使用適當的屬性或方法修改'RANGE'標頭。參數名稱:name” 我試過了 ...

QRAdar-AQL在輸入SELECT處沒有可行的選擇

[英]QRAdar - AQL no viable alternative at input SELECT

嘗試使用此查詢時出現錯誤。 它在日志活動中的“高級搜索”選項卡中起作用。 但是,當我將其寫入規則向導AQL過濾器查詢區域時,它會AQL no viable alternative at input SELECT warning時提示AQL no viable alternative at i ...

2018-06-14 07:03:11   1   357    aql / soc / qradar  
手動添加的QRadar SIEM AIO v7.3.0日志源顯示狀態N / A

[英]QRadar SIEM AIO v7.3.0 manually added Logsources are showing status N/A

部署QRadar之后,某些日志源已按預期自動發現,但其他一些不是QRadar自動發現的,我已經在admin-> Log Sources中使用Bulk選項手動添加了它們。 所有這些都已成功添加,但它們仍在此處顯示為N / A。 即使狀態為N / A的日志源也出現在“資產”選項卡上。 ...

QRadar,解析日志

[英]QRadar, parsing Log

我想解析一些應用程序日志,我做了很多正則表達式,可與notepad++和網站www.regex101.com一起正常使用。 但是,當我在QRadar應用它們時,它們什么都不匹配。 例如 2017年12月2日9:53:58,4040007,blablablbla,blablabl ...


排序:
質量:
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM