expresiones de filtros

Si crea una plantilla manualmente o utilizando la Herramienta de correlación de casos, debe definir las expresiones de correlación utilizando el lenguaje de plantilla Jinja2 . Los filtros Jinja2 transforman los datos de delitos de QRadar® en un formato que SOARpuede utilizar.

Las expresiones de filtro Jinja formatean o modifican un valor antes de que el valor se copie en el caso. Cuando crea una expresión de filtro, el filtro se separa del nombre de campo de delito mediante un conducto (|) como se muestra en el ejemplo siguiente.

{{ offense.<offense_field>|<filter_name> }}

La tabla siguiente muestra ejemplos de los filtros que puede utilizar al crear la plantilla de correlación SOAR . Para obtener más información sobre cómo utilizar Jinja, consulte la documentación de JINJA 3.1.x (https://jinja.palletsprojects.com/en/3.1.x/).

Tabla 1. Jinja2 expresiones de filtro
Nombre de filtro	Descripción	Uso de ejemplo
`ago`	Convierte el valor de indicación de fecha y hora de milisegundos de época en una representación de serie del tiempo, en milisegundos, que ha transcurrido.	`{{ offense.start_time\|ago }}`
`csv`	Convierte una lista de valores en una serie separada por comas.	`{{ offense.categories\|csv }}`
`res_email`	Convierte el nombre de visualización en una dirección de correo electrónico, si la dirección de correo electrónico existe en la organización SOAR . Si el correo electrónico no existe, devuelve la dirección de correo electrónico SOAR predeterminada que se especifica en el archivo app.config .	`{{ offense.assigned_to\|res_email }}`
`html`	Versión de valor con escape HTML.
`iso8601`	Convierte el valor de indicación de fecha y hora de milisegundos de época en un valor de fecha y hora ISO8601 .	`{{ offense.start_time\|iso8601 }}`
`js`	Igual que el filtro `json` , pero elimina las comillas circundantes del resultado.	`{{ offense.description\|js }}`
`json`	Versión compatible con JSON del valor.	`{{ offense.description\|js }}`
`local_dest_ip_whitelist`	Elimina todas las entradas que están en la lista de IP de destino local de una lista de valores.	`{{ offense.local_destination_addresses\|local_dest_ip_whitelist }}`
`severity`	Correlaciona una gravedad numérica de QRadar con una gravedad SOAR : 8-10 = Alto 4-7 = Medio 1-3 = Bajo	`{{ offense.severity\|severity }}`
`src_ip_whitelist`	Elimina todas las entradas que están en la lista de omisiones de IP de origen de una lista de valores.	`{{ offense.source_addresses\|src_ip_whitelist }}`
`uniq`	Elimina entradas duplicadas de una lista de valores.

La plantilla se representa como un documento .json . El documento se envía a SOAR para crear un nuevo caso, o se convierte en un URL con parámetros de valores clave en el formato SOAR web URL. Para más información sobre el formato web URL, consulte la Guía de integración web URL.