是否有api来获取QRadar中特定罪行的事件详细信息？

Question

我正在探索一个api，它获取QRadar中特定攻击的事件细节。我可以使用ariel端点过滤与特定攻击相关的事件，但不能获得特定事件的向下钻取细节。我需要它作为我的api自动化usig放心。

Answer 1

如果通过API执行AQL搜索以获取与攻击相关的事件，则可以直接指定要在结果中获取的事件字段。

例AQL

SELECT qidname(qid) as 'eventname', logsourcename(logsourceid) as 'log source', dateformat(starttime, 'YYYY-MM-dd HH:mm'), username
FROM events
WHERE INOFFENSE(123456)
LAST 10 days

此搜索返回事件名称、日志源名称、时间戳和用户名。这些字段都应该可以在API返回的JSON中访问。