Atividade QRadar Event QueryActivity
A atividade de fluxo de trabalho Consulta de eventos do QRadar pesquisa indicadores mal-intencionados nos logs de eventos do QRadar.
A atividade QRadar Event QueryActivity pode ser usada com qualquer fluxo de trabalho para pesquisar os logs de eventos do Elasticsearch.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Êxito | Consulta bem-sucedida. |
| Falha | Ocorreu um erro ao tentar verificar a consulta. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| usuário | Nome de usuário do sistema QRadar. |
| senha | Senha para o sistema QRadar. |
| observáveis | A lista de observáveis de Círculos de segurança confiável ou a tarefa de incidente de segurança a ser pesquisada. Retornado no formato JSON. |
| base_url | URL base da API de integração de terceiros. |
| link_base_URL | Link para uma instância IBM QRadar, quando disponível. |
| origem | Origem da solicitação para executar o fluxo de trabalho. As entradas compatíveis são: Círculos de segurança confiável ou tarefa de incidente de segurança. |
| max_rows | Máximo de linhas a serem retornadas da consulta. O limite depende da integração de terceiros. |
| dias_para_pesquisa | Dias para pesquisar a partir do dia atual. O padrão é 7. |
| consulta | Sintaxe de pesquisa. $(observable) é o padrão. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| saída | Saída da consulta no formato JSON. |