Qradar como obter offense id de um delito by way of log
Aprenda a obter a Offense ID de uma offense que foi disparada para poder criar automações by way of Customized Actions.
Conforme Figura 1, primeiramente crie uma regra que dispare uma Offense quando ocorrer um evento com QID “Offense Created”. Esse QID está presente no Log Supply Sort “SIM Audit”, anote o número do QID desse evento.
 |
| Figura 1 |
Caso não exista esse QID, crie uma regra que dispara uma offense quando uma offense é criada e como ação envie para o Syslog e depois confira o QID para esse evento.
Em seguida em Log Exercise, filtre os logs para aparecer apenas evento com a numeração do QID que você anotou.
 |
| Figura 2 |
Assim aparecerá conforme Figura 3 todos eventos nomeados Offense Created.
 |
| Figura 3 |
Abra um desses eventos e você verá no payload o ID referente a Offense disparada.
 |
| Figura 4 |
Agora clique em “Extract Property” (menu Figura 4) e extraia o ID da Offense utilizando Regex. Be aware que se não conseguir nomear a nova propriedade como offenseid, make the most of outro nome como getOffenseID (Figura 5).
 |
| Figura 5 |
Regex utilizado:
[id=”(d+)”]
Pronto, agora você verá em “Occasion Info” a Offense ID que disparou o evento “Offense Created”.
 |
| Figura 6 |
Portanto, agora em Customized Motion, você poderá utilizar na “Community Occasion Property” a propriedade que você criou.
 |
| Figura 7 |
Caso necessite excluir a propriedade criada, na aba Admin entre em “Customized Occasion Properties”.
 |
| Figura 8 |
