Содержание

Модель данных алерта

Модель данных алерта

Структура алерта представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Assets).

Алерт

Поле	Тип значения	Требуется	Описание
`InternalID`	Строка	Да	Внутренний идентификатор алерта (в формате UUID). Значение поля может совпадать со значением `SourceID`.
`ID`	Целое число	Да	Короткий внутренний идентификатор алерта.
`TenantID`	Строка	Да	Идентификатор тенанта, с которым связан алерт (в формате UUID).
`CreatedAt`	Строка	Да	Дата и время создания алерта (в формате RFC 3339).
`UpdatedAt`	Строка	Да	Дата и время последнего изменения алерта (в формате RFC 3339).
`StatusChangedAt`	Строка	Нет	Дата и время последнего изменения статуса алерта (в формате RFC 3339).
`Severity`	Строка	Да	Важность алерта. Возможные значения: `critical` `high` `medium` `low`
`IntegrationID`	Строка	Да	Идентификатор плагина управления приложения "Лаборатории Касперского", интегрированного в OSMP.
`IntegrationCompatibilityVersion`	Строка	Да	Версия плагина управления приложения "Лаборатории Касперского", интегрированного в OSMP.
`SourceID`	Строка	Нет	Уникальный идентификатор алерта в интегрированном компоненте.
`SourceCreatedAt`	Строка	Нет	Дата и время создания алерта в интегрированном компоненте (в формате RFC 3339).
`FirstEventTime`	Строка	Да	Дата и время первого события телеметрии, связанного с алертом (в формате RFC 3339).
`LastEventTime`	Строка	Да	Дата и время последнего события телеметрии, связанного с алертом (в формате RFC 3339).
`DetectSource`	Строка	Нет	Компонент, который обнаруживает и генерирует алерт.
`DetectionTechnologies`	Массив строк	Нет	Технология срабатывания детектирования.
`Status`	Строка	Да	Статус алерта. Возможные значения: `new` `inProgress` `inIncident` `closed`
`StatusResolution`	Строка	Нет	Решение статуса алерта. Возможные значения: `truePositive` `falsePositive` `lowPriority` `merged`
`IncidentID`	Строка	Нет	Внутренний идентификатор инцидента, связанного с алертом.
`IncidentLinkType`	Строка	Нет	Способ добавления алерта в инцидент. Возможные значения: `manual` `auto`
`Assignee`	Объект `Assignee`	Нет	Оператор, которому назначен алерт.
`MITRETactics`	Массив объектов `MITRETactic`	Нет	Тактики MITRE, связанные со всеми сработавшими IOA-правилами в алерте.
`MITRETechniques`	Массив объектов `MITRETechnique`	Нет	Техники MITRE, связанные со всеми сработавшими IOA-правилами в алерте.
`Observables`	Массив объектов `Observable`	Нет	Наблюдаемые объекты, связанные с алертом.
`Assets`	Массив объектов `Asset`	Нет	Активы, затронутые алертом.
`Rules`	Массив объектов `Rule`	Нет	Сработавшие правила корреляции, на основании которых формируется алерт.
`OriginalEvents`	Массив объектов	Нет	События, на основании которых формируется алерт.
`ExternalRef`	Строка	Да	Ссылка на объект во внешней системе (например, ссылка на инцидент Jira).
`Extra`	Объект	Нет	Данные, связанные с алертом, в формате JSON. Эти данные получены от управляемых приложений "Лаборатории Касперского", когда события преобразуются в алерты. Это поле не используется в интерфейсе.
`AdditionalData`	Объект	Нет	Дополнительная информация об алерте в формате JSON. Эту информацию может заполнить пользователь или плейбук.
`IsCII`	Логический оператор	Да	Индикатор того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры.
`Name`	Строка	Да	Название алерта.
`Attachments`	Массив объектов `UnkeyedAttachment`	Нет	Вложения, связанные с инцидентом.

Исполнитель

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор учетной записи оператора, которому назначен алерт.
`Name`	Строка	Да	Имя оператора, которому назначен алерт.

MITRETactic

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор тактики MITRE, связанной со всеми сработавшими IOA-правилами в алерте.
`Name`	Строка	Да	Название тактики MITRE, относящейся ко всем сработавшим IOA-правилам в алерте.

MITRETechnique

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор техники MITRE, связанной со всеми сработавшими IOA-правилами в алерте.
`Name`	Строка	Да	Название техники MITRE, относящейся ко всем сработавшим IOA-правилам в алерте.

Наблюдаемый объект

Поле	Тип значения	Требуется	Описание
`Type`	Строка	Да	Тип наблюдаемого объекта. Возможные значения: `ip` `md5` `sha256` `url` `domain` `userName` `hostName`
`Value`	Строка	Да	Значение наблюдаемого объекта.
`Details`	Строка	Нет	Дополнительная информация о наблюдаемом объекте.

Правило

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор сработавшего правила.
`Name`	Строка	Нет	Имя сработавшего правила.
`Severity`	Строка	Нет	Критичности сработавшего правила. Возможные значения: `critical` `high` `medium` `low`
`Confidence`	Строка	Нет	Уровень доверия сработавшего правила. Возможные значения: `high` `medium` `low`
`Custom`	Логический оператор	Нет	Индикатор того, что алерт основан на пользовательских правилах.

Актив

Поле	Тип значения	Требуется	Описание
`Type`	Строка	Да	Тип затронутого актива (устройство или учетная запись). Возможные значения: `host` `user`
`ID`	Строка	Да	Идентификатор затронутого актива (устройства или учетной записи).
`Name`	Строка	Нет	Имя затронутого устройства, с которым связан алерт (если для параметра `Type` выбрано значение `host`). Имя пользователя затронутой учетной записи, связанной с событиями, на основе которых создается алерт (если для параметра `Type` выбрано значение `user`).
`IsAttacker`	Логический оператор	Нет	Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим.
`IsVictim`	Логический оператор	Нет	Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.
`CIICategory`	Строка	Нет	Категория значимости того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры. Возможные значения: `notCII` `ciiWithoutCategory` `ciiFirstCategory` `ciiSecondCategory` `ciiThirdCategory`

UnkeyedAttachment

Поле	Тип значения	Требуется	Описание
`AttachmentID`	Строка	Да	Идентификатор вложения (в формате UUID).
`Name`	Строка	Да	Имя вложения.
`CreatedAt`	Строка	Да	Дата и время создания вложения в формате UTC.
`UpdatedAt`	Строка	Да	Дата и время последнего изменения вложения в формате UTC.
`CreatedBy`	Строка	Да	Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.
`Size`	Целое число	Да	Размер вложения, указанный в байтах.
`Status`	Строка	Да	Статус вложения, который указывает, находится ли загрузка вложения в процессе, завершена или прервана с ошибкой. Возможные значения: `completed` `error` `uploading`
`Description`	Строка	Нет	Описание вложения.
`StatusCode`	Строка	Нет	Текст статуса, который отображается пользователю (например, сообщение об ошибке, которое отображается при неудачной попытке загрузки вложения).

В начало