expressions de filtre

Qu'il s'agisse de générer un modèle manuellement ou à l'aide de l' outil de mappage de cas, vous devez définir les expressions de mappage à l'aide du langage de modèle Jinja2 . Les filtres Jinja2 transforment les données d'infraction QRadar® dans un format qui peut être utilisé par SOAR.

Les expressions de filtre Jinja formatent ou modifient une valeur avant que la valeur ne soit copiée dans le cas. Lorsque vous générez une expression de filtre, le filtre est séparé du nom de la zone d'infraction par une barre verticale (|) comme illustré dans l'exemple suivant.

{{ offense.<offense_field>|<filter_name> }}

Le tableau suivant présente des exemples de filtres que vous pouvez utiliser lorsque vous générez le modèle de mappage SOAR . Pour en savoir plus sur l'utilisation de Jinja, voir la documentation JINJA 3.1.x (https://jinja.palletsprojects.com/en/3.1.x/).

Tableau 1. Jinja2
Nom de filtre	Descriptif	Exemple d'utilisation
`ago`	Convertit la valeur d'horodatage en millisecondes d'époque en une représentation sous forme de chaîne de l'heure, en millisecondes, qui s'est écoulée.	`{{ offense.start_time\|ago }}`
`csv`	Convertit une liste de valeurs en chaîne séparée par des virgules.	`{{ offense.categories\|csv }}`
`res_email`	Convertit le nom d'affichage en adresse électronique, si l'adresse électronique existe dans l'organisation SOAR . Si l'e-mail n'existe pas, il renvoie l'adresse e-mail SOAR par défaut spécifiée dans le fichier app.config .	`{{ offense.assigned_to\|res_email }}`
`html`	Version de la valeur avec caractères d'échappement HTML.
`iso8601`	Convertit la valeur d'horodatage en millisecondes d'époque en valeur de date et d'heure ISO8601 .	`{{ offense.start_time\|iso8601 }}`
`js`	Identique au filtre `json` mais supprime les guillemets environnants du résultat.	`{{ offense.description\|js }}`
`json`	Version compatible JSON de la valeur.	`{{ offense.description\|js }}`
`local_dest_ip_whitelist`	Supprime d'une liste de valeurs toutes les entrées figurant dans la liste des adresses IP de destination locales à ignorer.	`{{ offense.local_destination_addresses\|local_dest_ip_whitelist }}`
`severity`	Mappe une gravité numérique QRadar à une gravité SOAR : 8-10 = Elevé 4-7 = Moyen 1-3 = Faible	`{{ offense.severity\|severity }}`
`src_ip_whitelist`	Supprime d'une liste de valeurs toutes les entrées figurant dans la liste des valeurs à ignorer de l'adresse IP source.	`{{ offense.source_addresses\|src_ip_whitelist }}`
`uniq`	Supprime les entrées en double d'une liste de valeurs.

Le modèle est rendu en tant que document .json . Le document est enregistré dans SOAR pour créer un nouveau cas, ou il est converti en URL avec des paramètres de valeur clé dans le format web SOAR URL. Pour plus d'informations sur le format Web URL, voir le Guide d'intégration Web URL.