我想从splunk企业安全性中以编程方式获取针对特定显着事件的Contributing Events ,是否有任何可以给我带来贡献的事件的散乱端点?
任何建议都会对我有帮助:)
我正在从端点/ services / search / jobs / export?search = search`notable`获得重要事件
我想到了使用上溯搜索字段来响应上述端点并触发搜索查询以获取并获得结果
但是向下钻取搜索字段中有一些转义符
<field k='drilldown_search'>
<value> <text>| from datamodel:"Threat_Intelligence"."Threat_Activity" | search threat_match_field="$threat_match_field$" threat_match_value="$threat_match_value$"</text>
</value>
</field>
我又看到了一个字段“ orig_sid”,我们可以使用该字段来获取贡献事件吗? ,我尝试使用search / search / jobs / orig_sid / events端点,但无法正常工作
<field k='orig_sid'>
<value><text>scheduler__admin_REEtRVNTLVRocmVhdEludGVsbGlnZW5jZQ__RMD5ae7062088f029cdf_at_1558677600_124</text>
</value>
</field>