ibm.qradar.offense_info 模块 – 获取一个或多个 QRadar 攻击事件的信息,带有过滤选项

注意

此模块是 ibm.qradar 集合(版本 4.0.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install ibm.qradar

要在 playbook 中使用它,请指定:ibm.qradar.offense_info

ibm.qradar 1.0.0 中的新功能

概要

  • 此模块允许获取一个或多个 QRadar 攻击事件的信息,带有过滤选项

别名:qradar_offense_info

参数

参数

注释

assigned_to

字符串

仅获取分配给特定用户的攻击事件信息

closing_reason

字符串

仅获取由特定关闭原因关闭的攻击事件信息

closing_reason_id

整数

仅获取由特定关闭原因 ID 关闭的攻击事件信息

follow_up

布尔值

仅获取标记有跟进标志的攻击事件信息

选择

  • false

  • true

id

整数

仅获取具有提供的 ID 的攻击事件的信息

name

字符串

仅获取与提供的名称匹配的攻击事件的信息

protected

布尔值

仅获取受保护的攻击事件信息

选择

  • false

  • true

status

字符串

仅获取特定状态的攻击事件的信息

选择

  • "open" ←(默认)

  • "OPEN"

  • "hidden"

  • "HIDDEN"

  • "closed"

  • "CLOSED"

说明

注意

  • 您可以提供多个过滤器,它们都将被应用,除了 id,因为它只会返回

示例

- name: Get list of all currently OPEN IBM QRadar Offenses
  ibm.qradar.offense_info:
    status: OPEN
  register: offense_list

- name: display offense information for debug purposes
  debug:
    var: offense_list

返回值

常见返回值记录在此处,以下是此模块独有的字段

描述

offenses

列表 / elements=字典

信息

已返回:始终

qradar_offenses

复杂

根据提供的过滤器找到的 IBM QRadar 攻击事件

已返回:始终

name

字符串

服务名称。

已返回:始终

示例: "arp-ethers.service"

source

字符串

服务的初始化系统。为 systemdsysvupstart 之一。

已返回:始终

示例: "sysv"

state

字符串

服务的状态。为 runningstoppedunknown 之一。

已返回:始终

示例: "running"

status

字符串

服务的状态。为 enableddisabledunknown 之一。

已返回:systemd 系统或 RedHat/SUSE 风格的 sysvinit/upstart

示例: "enabled"

作者