Я хочу получать вкладные события для конкретного заметного события программно из защищенной корпоративной безопасности. Любая дополнительная конечная точка, которая может дать мне участие в событиях?
Любые предложения действительно помогут мне :)
Я получаю заметные события из конечной точки / services / search / jobs / export? Search = search `notable`
Я думал об использовании развернутого поля поиска в ответе от вышеуказанной конечной точки и запуска поискового запроса, чтобы отделить &получить результаты
Но в поле поиска детализации есть некоторые экранирующие символы
<field k='drilldown_search'>
<value> <text>| from datamodel:"Threat_Intelligence"."Threat_Activity" | search threat_match_field="$threat_match_field$" threat_match_value="$threat_match_value$"</text>
</value>
</field>
Я вижу еще одно поле "orig_sid", можем ли мы использовать это поле для получения событий?, я пробовал поиск / поиск / вакансии / orig_sid / конечная точка событий, но она не работает
<field k='orig_sid'>
<value><text>scheduler__admin_REEtRVNTLVRocmVhdEludGVsbGlnZW5jZQ__RMD5ae7062088f029cdf_at_1558677600_124</text>
</value>
</field>