Содержание

Модель данных инцидента

Модель данных инцидента

Структура инцидента представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Alerts).

Инцидент

Поле	Тип значения	Требуется	Описание
`InternalID`	Строка	Да	Внутренний идентификатор инцидента (в формате UUID).
`ID`	Целое число	Да	Короткий внутренний идентификатор инцидента.
`TenantID`	Строка	Да	Идентификатор тенанта, с которым связан инцидент (в формате UUID).
`IncidentType`	Объект `IncidentType`	Да	Тип инцидента.
`Name`	Строка	Да	Название инцидента.
`WorkflowName`	Строка	Да	Имя рабочего процесса инцидента.
`WorkflowUUID`	Строка	Да	Уникальный идентификатор рабочего процесса инцидента в формате UUID.
`Description`	Строка	Нет	Описание инцидента.
`CreatedAt`	Строка	Да	Дата и время создания инцидента (в формате RFC 3339).
`UpdatedAt`	Строка	Да	Дата и время последнего изменения инцидента (в формате RFC 3339).
`StatusChangedAt`	Строка	Нет	Дата и время последнего изменения статуса инцидента (в формате RFC 3339).
`Severity`	Строка	Нет	Важность инцидента. Возможные значения: `critical` `high` `medium` `low`
`Priority`	Строка	Да	Приоритет инцидента. Возможные значения: `critical` `high` `medium` `low`
`Assignee`	Объект `Assignee`	Нет	Оператор, которому назначен инцидент.
`FirstEventTime`	Строка	Нет	Дата и время первого события телеметрии алерта, связанного с инцидентом (в формате RFC 3339).
`LastEventTime`	Строка	Нет	Дата и время последнего события телеметрии алерта, связанного с инцидентом (в формате RFC 3339).
`Status`	Строка	Да	Статус инцидента. Возможные значения: `open` `inProgress` `hold` `closed`
`StatusUUID`	Строка	Да	Идентификатор статуса инцидента (в формате UUID).
`StatusResolution`	Строка	Нет	Решение статуса инцидента. Возможные значения: `truePositive` `falsePositive` `lowPriority` `merged`
`DetectSources`	Массив строк	Нет	Компоненты, которые обнаруживают и генерируют инцидент.
`DetectionTechnologies`	Массив строк	Нет	Технология срабатывания детектирования.
`Алерты`	Массив объектов `Alert`	Нет	Алерты, включенные в инцидент.
`AdditionalData`	Объект	Нет	Дополнительная информация об алерте в формате JSON. Эту информацию может заполнить пользователь или плейбук.
`ExternalRef`	Строка	Да	Ссылка на объект во внешней системе (например, ссылка на инцидент Jira).
`SignOfCreation`	Строка	Да	Способ создания инцидента.
`IsCII`	Логический оператор	Да	Индикатор того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры.
`Attachments`	Массив объектов `UnkeyedAttachment`	Нет	Вложения, связанные с инцидентом.

IncidentType

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор типа инцидента (в формате UUID).
`Name`	Строка	Да	Имя типа инцидента.
`Description`	Строка	Да	Описание типа инцидента.

Исполнитель

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор учетной записи оператора, которому назначен инцидент.
`Name`	Строка	Да	Имя оператора, которому назначен инцидент.

UnkeyedAttachment

Поле	Тип значения	Требуется	Описание
`AttachmentID`	Строка	Да	Идентификатор вложения (в формате UUID).
`Name`	Строка	Да	Имя вложения.
`CreatedAt`	Строка	Да	Дата и время создания вложения в формате UTC.
`UpdatedAt`	Строка	Да	Дата и время последнего изменения вложения в формате UTC.
`CreatedBy`	Строка	Да	Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.
`Size`	Целое число	Да	Размер вложения, указанный в байтах.
`Status`	Строка	Да	Статус вложения, который указывает, находится ли загрузка вложения в процессе, завершена или прервана с ошибкой. Возможные значения: `completed` `error` `uploading`
`Description`	Строка	Нет	Описание вложения.
`StatusCode`	Строка	Нет	Текст статуса, который отображается пользователю (например, сообщение об ошибке, которое отображается при неудачной попытке загрузки вложения).

В начало