ibm.qradar.offense_info 模块 – 获取关于一个或多个 QRadar 安全事件的信息，并提供过滤选项

注意

此模块是 ibm.qradar 集合 (版本 4.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install ibm.qradar。

要在剧本中使用它，请指定：ibm.qradar.offense_info。

ibm.qradar 1.0.0 中的新增功能

概要 

此模块允许获取关于一个或多个 QRadar 安全事件的信息，并提供过滤选项。

别名：qradar_offense_info

参数 

参数	注释
assigned_to 字符串	仅获取分配给特定用户的安全事件信息。
closing_reason 字符串	仅获取通过特定关闭原因关闭的安全事件信息。
closing_reason_id 整数	仅获取通过特定关闭原因 ID 关闭的安全事件信息。
follow_up 布尔值	仅获取标记为后续跟进的安全事件信息。选项 `false` `true`
id 整数	仅获取具有指定 ID 的安全事件信息。
name 字符串	仅获取名称与提供名称匹配的安全事件信息。
protected 布尔值	仅获取受保护的安全事件信息。选项 `false` `true`
status 字符串	仅获取特定状态的安全事件信息。选项 `"open"` ← (默认) `"OPEN"` `"hidden"` `"HIDDEN"` `"closed"` `"CLOSED"`

备注 

注意

您可以提供多个过滤器，所有过滤器都将被应用，除了 id，因为它只会返回

示例 

- name: Get list of all currently OPEN IBM QRadar Offenses
  ibm.qradar.offense_info:
    status: OPEN
  register: offense_list

- name: display offense information for debug purposes
  debug:
    var: offense_list

返回值 

常见的返回值已在此处记录，以下是此模块特有的字段：

键	描述
offenses 列表 / 元素=字典	信息返回：始终
qradar_offenses 复杂类型	基于提供的过滤器找到的 IBM QRadar 安全事件。返回：始终
name 字符串	服务的名称。返回：始终示例： `"arp-ethers.service"`
source 字符串	服务的初始化系统。可能是 `systemd`、`sysv` 或 `upstart`。返回：始终示例： `"sysv"`
state 字符串	服务的狀態。可能是 `running`、`stopped` 或 `unknown`。返回：始终示例： `"running"`
status 字符串	服务的狀態。可能是 `enabled`、`disabled` 或 `unknown`。返回：systemd 系统或 RedHat/SUSE 风格的 sysvinit/upstart。示例： `"enabled"`

作者

Ansible 安全自动化团队 (@maxamillion) <https://github.com/ansible-security>