Модель данных алерта
В этом разделе описана модель данных алерта KUMA. Алерты создаются корреляторами при выявлении с помощью правил корреляции угроз безопасности информации. Алерты необходимо расследовать для устранения этих угроз.
Поле алерта | Тип данных | Описание |
| Строка | Уникальный идентификатор алерта. |
| Строка | Идентификатор тенанта, которому принадлежит алерт. Значение наследуется от коррелятора, создавшего алерт. |
| Строка | Название тенанта. |
| Строка | Идентификатор правила, на основании которого был создан алерт. |
| Строка | Название правила корреляции, на основании которого был создан алерт. |
| Строка | Статус алерта. Возможные значения:
|
| Число | Уровень важности алерта. Возможные значения:
|
| Строка | Параметр, показывающий, как был определен уровень важности алерта. Возможные значения:
|
| Число | Время создания первого корреляционного события из алерта. |
| Число | Время создания последнего корреляционного события из алерта. |
| Число | Дата последнего изменения параметров алерта. |
| Строка | Идентификатор пользователя KUMA, которому алерт назначен на рассмотрение. |
| Строка | Имя пользователя KUMA, которому алерт назначен на рассмотрение. |
| Вложенный список строк | Перечень полей событий, по которым группировались событий в правиле корреляции. |
| Строка | Причина закрытия алерта. Возможные значения:
|
| Строка | Признак, обозначающий что алерт переполнен, то есть размер алерта и привязанных к нему событий превышает 16 МБ. Возможные значения:
|
| Строка | Максимальный уровень важности категорий активов, связанных с алертом. |
| Строка | Идентификатор алерта в программе IRP / SOAR, если в KUMA настроена интеграция с такой программой. |
| Строка | Ссылка на раздел в программе IRP / SOAR, в котором отображаются сведения об импортированном из KUMA алерте. |
| Строка | Идентификатор инцидента, к которому привязан алерт. |
| Строка | Название инцидента, к которому привязан алерт. |
| Строка | Название правила сегментации, по которому корреляционные события сгруппированы в алерте. |
| Строка | Идентификатор ветви иерархии, в которой был создан алерт. Указывается при иерархическом развертывании KUMA. |
| Строка | Название ветви иерархии, в которой был создан алерт. Указывается при иерархическом развертывании KUMA. |
| Вложенная структура | Вложенная структура со строками, в которых указаны изменения статусов и назначений алерта, пользовательские комментарии. |
| Вложенная структура | Вложенная структура, из которой можно обратиться к связанным с алертом корреляционным событиям. |
| Вложенная структура | Вложенная структура, из которой можно обратиться к связанным с алертом активам. |
| Вложенная структура | Вложенная структура, из которой можно обратиться к связанным с алертом учетным записям. |
| Вложенная структура | Вложенная структура, из которой можно обратиться к связанным с алертам активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта. |
Вложенная структура Affected
Поле | Тип данных | Описание |
| Вложенный список | Перечень и количество связанных с алертом активов. |
| Вложенный список | Перечень и количество связанных с алертом учетных записей. |
Вложенная структура AffectedRecord
Поле | Тип данных | Описание |
| Строка | Идентификатор актива или учетной записи. |
| Число | Количество раз актив или учетная запись фигурирует в связанных с алертом событиях. |
Вложенная структура EventWrapper
Поле | Тип данных | Описание |
| Вложенная структура | Поля события. |
| Строка | Комментарий, добавленный при добавлении событий к алерту. |
| Число | Дата добавления событий к алерту. |
Вложенная структура Action
Поле | Тип данных | Описание |
| Число | Дата, когда действие над алертом было произведено. |
| Строка | Идентификатор пользователя. |
| Строка | Тип действия. |
| Строка | Значение. |
| Вложенная структура | Поля события. |
| Строка | Идентификатор кластера. |