QRadar como obter Offense ID via Log

Aprenda a obter a Offense ID de uma offense que foi disparada para poder criar automações via Custom Actions.

Conforme Figura 1, primeiramente crie uma regra que dispare uma Offense quando ocorrer um evento com QID “Offense Created”. Esse QID está presente no Log Source Type “SIM Audit”, anote o número do QID desse evento.

Figura 1

Caso não exista esse QID, crie uma regra que dispara uma offense quando uma offense é criada e como ação envie para o Syslog e depois confira o QID para esse evento.

Em seguida em Log Activity, filtre os logs para aparecer apenas evento com a numeração do QID que você anotou.

Figura 2

Assim aparecerá conforme Figura 3 todos eventos nomeados Offense Created.

Figura 3

Abra um desses eventos e você verá no payload o ID referente a Offense disparada.

Figura 4

Agora clique em “Extract Property” (menu Figura 4) e extraia o ID da Offense utilizando Regex. Note que se não conseguir nomear a nova propriedade como offenseid, utilize outro nome como getOffenseID (Figura 5).

Figura 5

Regex utilizado:

[id=”(\d+)”]

Pronto, agora você verá em “Event Information” a Offense ID que disparou o evento “Offense Created”.

Figura 6

Portanto, agora em Custom Action, você poderá utilizar na “Network Event Property” a propriedade que você criou.

Figura 7

Caso necessite excluir a propriedade criada, na aba Admin entre em “Custom Event Properties”.

Figura 8