フィルター式

テンプレートを手動で作成する場合でも、 Case Mapping Toolを使用して作成する場合でも、 Jinja2 テンプレート言語を使用してマッピング式を定義する必要があります。 Jinja2 フィルターは、 QRadar® オフェンス・データを、 SOARで使用できる形式に変換します。

値がケースにコピーされる前に、神社フィルター式によって値がフォーマット設定または変更されます。フィルター式を作成すると、フィルターとオフェンス・フィールド名がパイプ (|) で区切られます。記号を示します。以下に例を示します。

{{ offense.<offense_field>|<filter_name> }}

以下の表に、 SOAR マッピング・テンプレートの作成時に使用できるフィルターの例を示します。忍者の使用について詳しくは、神社 3.1.x の資料 (https://jinja.palletsprojects.com/en/3.1.x/) を参照してください。

表 1. Jinja2 フィルター式
フィルター名	詳細	使用例
`ago`	エポック・ミリ秒のタイム・スタンプ値を、経過した時間のストリング表現 (ミリ秒) に変換します。	`{{ offense.start_time\|ago }}`
`csv`	値のリストをコンマ区切りのストリングに変換します。	`{{ offense.categories\|csv }}`
`res_email`	E メール・アドレスが SOAR 組織に存在する場合、表示名を E メール・アドレスに変換します。 E メールが存在しない場合は、 app.config ファイルで指定されているデフォルトの SOAR E メール・アドレスが返されます。	`{{ offense.assigned_to\|res_email }}`
`html`	HTML エスケープ・バージョンの値。
`iso8601`	エポック・ミリ秒のタイム・スタンプ値を ISO8601 日時値に変換します。	`{{ offense.start_time\|iso8601 }}`
`js`	`json` フィルターと同じですが、結果から前後の引用符を除去します。	`{{ offense.description\|js }}`
`json`	JSON に適したバージョンの値。	`{{ offense.description\|js }}`
`local_dest_ip_whitelist`	ローカル宛先 IP の無視リストにあるすべての項目を値のリストから削除します。	`{{ offense.local_destination_addresses\|local_dest_ip_whitelist }}`
`severity`	数値の QRadar 重大度を SOAR 重大度にマップします。 8-10 = 高 4-7 = 中 1-3 = 低	`{{ offense.severity\|severity }}`
`src_ip_whitelist`	ソース IP 無視リストにあるすべての項目を値のリストから除去します。	`{{ offense.source_addresses\|src_ip_whitelist }}`
`uniq`	値のリストから重複する項目を削除します。

テンプレートは .json 文書としてレンダリングされます。ドキュメントは SOARに投稿され、新しいケースが作成されるか、 SOAR ウェブ URL フォーマットのキーバリューパラメータ付き URL に変換される。ウェブ URL フォーマットの詳細については、ウェブ URL 統合ガイドを参照してください。