В этом разделе вы можете найти модель данных нормализованного события KUMA. Все события, которые обрабатываются корреляторами KUMA с целью обнаружения алертов, должны соответствовать этой модели.
События, несовместимые с этой моделью данных, необходимо преобразовывать в этот формат (нормализовать) с помощью коллекторов.
Модель данных нормализованного события
Название поля |
Тип значения |
Описание |
|
Поля внутреннего стандарта |
|
|
|
ID |
Строка |
Уникальный идентификатор события типа UUID. Никогда не меняет своего значения Для базового события, генерируемого на коллекторе, идентификатор генерируется коллектором. Идентификатор корреляционного события генерируется коррелятором. |
|
Timestamp |
Число, timestamp |
Время создания базового и корреляционного событий в коллекторе. Время создания корреляционного события в корреляторе. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
TenantID |
Строка |
Идентификатор тенанта. |
|
ServiceID |
Строка |
Идентификатор экземпляра сервиса: коррелятора, коллектора, хранилища. |
|
ServiceName |
Строка |
Название экземпляра сервиса, задается администратором KUMA при создании сервиса. |
|
AggregationRuleName |
Строка |
Название правила агрегации, которое обработало событие. |
|
AggregationRuleID |
Строка |
Идентификатор правила агрегации, которое обработало событие. |
|
CorrelationRuleName |
Строка |
Название правила корреляции, по которому было создано корреляционное событие. Заполняется только для корреляционного события. |
|
CorrelationRuleID |
Строка |
Идентификатор правила корреляции, по которому было создано корреляционное событие. Заполняется только для корреляционного события. |
|
GroupedBy |
Вложенный список строк |
Список названий полей, по которым была группировка в корреляционном правиле. Заполняется только для корреляционного события. |
|
Priority |
Число |
Уровень важности события. |
|
Code |
Строка |
В базовом событии это код возврата процесса, функции или операции из источника. В корреляционном событии в это поле записывается код алерта для первой линии поддержки, либо код шаблона уведомления, которое будет отправлено.
|
|
Tactic |
Строка |
Название тактики из MITRE. |
|
Technique |
Строка |
Название техники из MITRE. |
|
ReplayID |
Строка |
Идентификатор ретроспективной проверки, в процессе которой было создано событие. |
|
Raw |
Строка |
Неизмененный текст исходного, "сырого" события. |
|
SourceAssetID |
Строка |
Идентификатор целевого актива. |
|
DestinationAssetID |
Строка |
Идентификатор актива-источника. |
|
DeviceAssetID |
Строка |
Идентификатор актива. |
|
SourceAccountID |
Строка |
Идентификатор целевой учетной записи. |
|
DestinationAccountID |
Строка |
Идентификатор учетной записи-источника. |
|
SpaceID |
Строка |
Идентификатор пространства. |
|
BaseEvents |
Вложенный список [Event] |
Вложенная структура со списком базовых событий. Поле может быть заполнено у корреляционных событий. |
|
TI |
Вложенный словарь [строка:строка] |
Поле, в котором в формате словаря содержатся категории, полученные от внешнего источника Threat Intelligence по индикаторам из события. |
|
Extra |
Вложенный словарь [строка:строка] |
Поле, в которое во время нормализации "сырого" события можно поместить те его поля, для которых не настроено сопоставление с полями события KUMA. Это поле может быть заполнено только у базовых событий. |
|
AffectedAssets |
Вложенная структура [Affected] |
Вложенная структура, из которой можно обратиться к связанным с алертам активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта. |
|
Поля по стандарту CEF |
|
|
|
DeviceVendor |
Строка |
Название производителя источника журнала. Значение берется из "сырого" события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. |
|
DeviceProduct |
Строка |
Название продукта из источника журнала. Значение берется из "сырого" события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. |
|
DeviceVersion |
Строка |
Версия продукта из источника журнала. Значение берется из "сырого" события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. |
|
DeviceEventClassID |
Строка |
Уникальный идентификатор типа события из источника журнала. Некоторые источники журнала определяют категорию событий. |
|
Name |
Строка |
Название события в "сыром" событии. |
|
Severity |
Строка |
Уровень важности ошибки из "сырого" события. |
|
DeviceAction |
Строка |
Действие, совершенное устройством или предпринятое источником журнала. Например, blocked, detected. |
|
ApplicationProtocol |
Строка |
Протокол уровня приложений, например HTTP, Telnet. |
|
DeviceCustomIPv6Address1 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address1Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address1. |
|
DeviceCustomIPv6Address2 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address2Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address2. |
|
DeviceCustomIPv6Address3 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address3Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address3. |
|
DeviceCustomIPv6Address4 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address4Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address4. |
|
DeviceEventCategory |
Строка |
Категория "сырого" события из схемы определения категорий событий источника журнала. |
|
DeviceCustomFloatingPoint1 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint1Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint1. |
|
DeviceCustomFloatingPoint2 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint2Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint2. |
|
DeviceCustomFloatingPoint3 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint3Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint3. |
|
DeviceCustomFloatingPoint4 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint4Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint4. |
|
DeviceCustomNumber1 |
Число |
Поле для целочисленного значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается.
|
|
DeviceCustomNumber1Label |
Строка |
Описание назначения поля DeviceCustomNumber1. |
|
DeviceCustomNumber2 |
Число |
Поле для целочисленного значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается.
|
|
DeviceCustomNumber2Label |
Строка |
Описание назначения поля DeviceCustomNumber2. |
|
DeviceCustomNumber3 |
Число |
Поле для целочисленного значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается.
|
|
DeviceCustomNumber3Label |
Строка |
Описание назначения поля DeviceCustomNumber3. |
|
BaseEventCount |
Число |
Количество базовых событий, объединенных в агрегированном событии. |
|
DeviceCustomString1 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString1Label |
Строка |
Описания назначения поля DeviceCustomString1. |
|
DeviceCustomString2 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString2Label |
Строка |
Описания назначения поля DeviceCustomString2. |
|
DeviceCustomString3 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString3Label |
Строка |
Описания назначения поля DeviceCustomString3. |
|
DeviceCustomString4 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString4Label |
Строка |
Описания назначения поля DeviceCustomString4. |
|
DeviceCustomString5 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString5Label |
Строка |
Описания назначения поля DeviceCustomString5. |
|
DeviceCustomString6 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString6Label |
Строка |
Описания назначения поля DeviceCustomString6. |
|
DestinationDnsDomain |
Строка |
DNS-часть полного доменного имени (FQDN) точки назначения, если "сырое" событие содержит сведения об отправителе и получателе данных. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationServiceName |
Строка |
Название сервиса на стороне приемника трафика. Например, "sshd". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationTranslatedAddress |
Строка |
IP-адрес устройства приемника трафика (после трансляции). Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationTranslatedPort |
Число |
Номер порта на устройстве приемника трафика (после трансляции адреса приемника). Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DeviceCustomDate1 |
Число, timestamp |
Поле для значения типа Timestamp, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
DeviceCustomDate1Label |
Строка |
Поле для описания назначения поля DeviceCustomDate1. |
|
DeviceCustomDate2 |
Число, timestamp |
Поле для значения типа Timestamp, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
DeviceCustomDate2Label |
Строка |
Поле для описания назначения поля DeviceCustomDate2. |
|
DeviceDirection |
Число |
Поле для описания направления соединения из "сырого" события.
|
|
DeviceDnsDomain |
Строка |
DNS-часть полного доменного имени (FQDN) IP-адреса устройства, с которого пришло "сырое" событие. |
|
DeviceExternalID |
Строка |
Внешний уникальный идентификатор устройства, если такой передается в "сыром" событии. |
|
DeviceFacility |
Строка |
Facility из "сырого" события, если есть. Например, в Syslog в поле Facility может передаваться название компоненты ОС, в которой произошла ошибка.
|
|
DeviceInboundInterface |
Строка |
Название интерфейса входящего соединения. |
|
DeviceNtDomain |
Строка |
Доменное имя Windows устройства. |
|
DeviceOutboundInterface |
Строка |
Название интерфейса исходящего соединения. |
|
DevicePayloadID |
Строка |
Уникальный идентификатор полезной нагрузки, который ассоциирован с "сырым" событием. |
|
DeviceProcessName |
Строка |
Название процесса из "сырого" события. |
|
DeviceTranslatedAddress |
Строка |
Ретранслированный IP-адрес устройства, с которого пришло "сырого" событие. |
|
DestinationHostName |
Строка |
Название хоста приемника трафика. Полное доменное имя приемника трафика, если доступно. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationMacAddress |
Строка |
MAC-адрес устройства приемника трафика. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationNtDomain |
Строка |
Доменное имя Windows устройства приемника трафика. |
|
DestinationProcessID |
Число |
Идентификатор системного процесса, ассоциированного с приемником трафика в "сыром" событии. Например, если в событии указано Process ID 105, то DestinationProcessId=105. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationUserPrivileges |
Строка |
Названия пользовательских ролей, которые идентифицируют пользовательские привилегии на стороне точки назначения. Например, "User", "Guest", "Administrator". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationProcessName |
Строка |
Название системного процесса в точке назначения. Например, "sshd", "telnet". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationPort |
Число |
Номер порта на стороне точке назначения. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationAddress |
Строка |
IPv4-адрес точки назначения. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DeviceTimeZone |
Строка |
Часовой пояс устройства, на котором было сгенерировано событие. По умолчанию указывается часовой пояс системного времени коллектора или коррелятора. Если настроено обогащение события сведениями о часовом поясе, в поле указывается часовой пояс из правила обогащения. Если в "сыром" событии был указан часовой пояс источника события и при нормализации эти данные были сохранены, в поле события сохраняются сведения о часовом поясе источника события. Формат значения поля: +-чч:мм. |
|
DestinationUserID |
Строка |
Идентификатор пользователя на стороне точки назначения. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationUserName |
Строка |
Имя пользователя на стороне точки назначения. Может содержать адрес электронной почты пользователя. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DeviceAddress |
Строка |
IPv4-адрес устройства, с которого получено событие. |
|
DeviceHostName |
Строка |
Название хоста устройства, с которого было получено событие. Полное доменное имя устройства, если доступно. |
|
DeviceMacAddress |
Строка |
MAC-адрес устройства, с которого было получено событие. Полное доменное имя устройства, если доступно. |
|
DeviceProcessID |
Число |
Идентификатор системного процесса устройства, которое создало событие. |
|
EndTime |
Число |
Время завершения события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
ExternalID |
Строка |
Идентификатор устройства, которое создало событие. |
|
FileCreateTime |
Число |
Время создания файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
FileHash |
Строка |
Хеш-код файла. |
|
FileID |
Строка |
Идентификатор файла. |
|
FileModificationTime |
Число |
Время последней модификации файла. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
FilePath |
Строка |
Путь к файлу, включая имя файла. |
|
FilePermission |
Строка |
Список разрешений к файлу. |
|
FileType |
Строка |
Тип файла. Например, application, pipe, socket. |
|
FlexDate1 |
Число, timestamp |
Поле для значения типа Timestamp, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
FlexDate1Label |
Строка |
Описание назначения поля flexDate1. |
|
FlexString1 |
Строка |
Поле для значения типа String, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexString1Label |
Строка |
Описание назначения поля flexString1. |
|
FlexString2 |
Строка |
Поле для значения типа String, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexString2Label |
Строка |
Описание назначения поля flexString2. |
|
FlexNumber1 |
Число |
Поле для целочисленного типа, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexNumber1Label |
Строка |
Описание назначения поля flexNumber1. |
|
FlexNumber2 |
Число |
Поле для целочисленного типа, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexNumber2Label |
Строка |
Описание назначения поля flexNumber2. |
|
FileName |
Строка |
Имя файла, без указания пути к файлу. |
|
FileSize |
Число |
Размер файла. |
|
BytesIn |
Число |
Количество полученных источником и переданных получателю байтов. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения.
|
|
Message |
Строка |
Краткое описание ошибки или проблемы из "сырого" события. |
|
OldFileCreateTime |
Число |
Время создания OLD-файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
OldFileHash |
Строка |
Хеш-код OLD-файла. |
|
OldFileID |
Строка |
Идентификатор OLD-файла. |
|
OldFileModificationTime |
Число |
Время последней модификации OLD-файла. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
OldFileName |
Строка |
Имя OLD-файла (без пути). |
|
OldFilePath |
Строка |
Путь к OLD-файлу, включая имя файла. |
|
OldFilePermission |
Строка |
Путь к OLD-файлу, включая имя файла. |
|
OldFileSize |
Число |
Размер OLD-файла. |
|
OldFileType |
Строка |
Тип файла. Например, application, pipe, socket. |
|
BytesOut |
Число |
Количество отправленных байтов. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
EventOutcome |
Строка |
Результат выполнения действия. Например, "success", "failure". |
|
TransportProtocol |
Строка |
Название протокола 4-уровня OSI (например, TCP, UDP). |
|
Reason |
Строка |
Краткое описание причины аудита в сообщениях аудита. |
|
RequestUrl |
Строка |
URL запроса. |
|
RequestClientApplication |
Строка |
Агент, который обрабатывал запрос. |
|
RequestContext |
Строка |
Описание контекста запроса. |
|
RequestCookies |
Строка |
Файлы cookie, связанные с запросом. |
|
RequestMethod |
Строка |
Метод, который использовался для доступа к веб-адресу (например, POST, GET). |
|
DeviceReceiptTime |
Число |
Время получения события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
SourceHostName |
Строка |
Название хоста источника трафика. Полное доменное имя источника трафика, если доступно. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceDnsDomain |
Строка |
Доменное имя Windows-устройства источника трафика. |
|
SourceServiceName |
Строка |
Название сервиса на стороне источника трафика. Например, "sshd". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceTranslatedAddress |
Строка |
IPv4-адрес перехода источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceTranslatedPort |
Число |
Номер порта перехода на стороне источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceMacAddress |
Строка |
MAC-адрес устройства источника трафика. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceNtDomain |
Строка |
Доменное имя Windows устройства источника трафика. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceProcessID |
Число |
Идентификатор системного процесса, ассоциированного с источником трафика в "сыром" событии. Например, если в событии указано Process ID 105, то SourceProcessId=105. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceUserPrivileges |
Строка |
Названия пользовательских ролей, которые идентифицируют пользовательские привилегии на стороне источника. Например, "User", "Guest", "Administrator". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceProcessName |
Строка |
Название системного процесса на стороне источника. Например, "sshd", "telnet". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourcePort |
Число |
Номер порта на стороне источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceAddress |
Строка |
IPv4-адрес источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
StartTime |
Число |
Время, когда началось связанное с событием действие. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
SourceUserID |
Строка |
Идентификатор пользователя на стороне источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceUserName |
Строка |
Имя пользователя на стороне источника. Может содержать адрес электронной почты пользователя. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
Type |
Число |
Тип события. Доступны следующие значения:
|
|
Поля с геоданными |
|
|
|
SourceCountry |
Строка |
Страна, соответствующая IPv4-адресу источника из поля SourceAddress. |
|
SourceRegion |
Строка |
Регион, соответствующий IPv4-адресу источника из поля SourceAddress. |
|
SourceCity |
Строка |
Город, соответствующий IPv4-адресу источника из поля SourceAddress. |
|
SourceLatitude |
Число |
Долгота, соответствующая IPv4-адресу источника из поля SourceAddress. |
|
SourceLongitude |
Число |
Широта, соответствующая IPv4-адресу источника из поля SourceAddress. |
|
DestinationCountry |
Строка |
Страна, соответствующая IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationRegion |
Строка |
Регион, соответствующий IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationCity |
Строка |
Город, соответствующий IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationLatitude |
Число |
Долгота, соответствующая IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationLongitude |
Число |
Широта, соответствующая IPv4-адресу точки назначения из поля DestinationAddress. |
|
DeviceCountry |
Строка |
Страна, соответствующая IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceRegion |
Строка |
Регион, соответствующий IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceCity |
Строка |
Город, соответствующий IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceLatitude |
Число |
Долгота, соответствующая IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceLongitude |
Число |
Широта, соответствующая IPv4-адресу устройства из поля DeviceAddress.
|
|
Вложенная структура Affected
Поле |
Тип данных |
Описание |
|
Вложенный список |
Перечень и количество связанных с алертом активов. |
|
Вложенный список |
Перечень и количество связанных с алертом учетных записей. |
Вложенная структура AffectedRecord
Поле |
Тип данных |
Описание |
|
Строка |
Идентификатор актива или учетной записи. |
|
Число |
Количество раз актив или учетная запись фигурирует в связанных с алертом событиях. |