Просмотр списка алертов

GET /xdr/api/v1/alerts

Возвращает список алертов для указанных тенантов.

Пример:

https://api.example.com/xdr/api/v1/alerts?tenantID=00000000-0000-0000-0000-000000000000&withHistory

Параметры запроса

Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

page

Числовое

Нет

Номер страницы. Начинается с 1. Размер страницы – 100 записей.

Если значение не указано или установлено значение меньше 1, используется значение 1.

1

id

Строка

Нет

Идентификатор алерта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

Если алерт с указанным идентификатором не найден, это значение идентификатора игнорируется.

Если значение идентификатора не указано, возвращаются все алерты для указанных тенантов.

00000000-0000-0000-0000-000000000000

tenantID

Строка

Да

Идентификатор тенанта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

Если у пользователя нет права Чтение для любого из указанных тенантов, запрос не выполняется.

00000000-0000-0000-0000-000000000000

timestampField

Строка

Нет

Поле данных алерта, используемое для фильтрации списка алертов. Используйте значения "от" и "до", чтобы указать период.

createdAt

updatedAt

statusChangedAt

from

Строка

Нет

Начало периода, используемого для фильтрации списка алертов, в формате RFC3339. Используйте значение timestampField, чтобы указать поле данных алерта.

2021-09-06T00:00:00Z

2021-09-06T00:00:00.000Z

2021-09-06T00:00:00Z+00:00

to

Строка

Нет

Окончание периода, используемого для фильтрации списка алертов, в формате RFC3339. Используйте значение timestampField, чтобы указать поле данных алерта.

2021-09-06T00:00:00Z

2021-09-06T00:00:00.000Z

2021-09-06T00:00:00Z+00:00

status

Строка

Нет

Статус алерта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

new

inProgress

inIncident

closed

withEvents

bool

Нет

Указывает, следует ли включать нормализованные события из KUMA.

 

/xdr/api/v1/alerts?withEvents
/xdr/api/v1/alerts?withEvents=123

withAffected

bool

Нет

Указывает, следует ли включать подробные данные об активах и учетных записях, связанных с алертами.

/xdr/api/v1/alerts?withAffected

/xdr/api/v1/alerts?withAffected=123

withHistory

bool

Нет

Указывает, следует ли включать данные об изменениях, внесенных в алерт.

/xdr/api/v1/alerts?withHistory

/xdr/api/v1/alerts?withHistory=123

Действие по реагированию

HTTP-код: 200

Формат: JSON

Пример:

{

"Total": 0,

"Alerts": [

{

"ID": 0,

"InternalID": "881dee1f-380d-4366-a2d8-094e0af4c3f6",

"TenantID": "string",

"Assets": [

{

"Data": {},

"ID": "string",

"IsAttacker": true,

"IsVictim": true,

"KSCServer": "string",

"Name": "string",

"Type": "host",

"HostInfo": {

"ID": "string",

"TenantID": "string",

"DisplayName": "string",

"AssetSource": "string",

"CreatedAt": 0,

"IsDeleted": true,

"IpAddress": [

"string"

],

"Fqdn": [

"string"

],

"MacAddress": [

"string"

],

"DirectCategories": [

"string"

],

"Weight": "low",

"CiiCategory": "notCII",

"OS": "string",

"OSVersion": "string",

"Sources": [

"ksc"

],

"LastVisible": 0,

"Products": [

{

"ProductVersion": "string",

"ProductName": "string"

}

],

"KSC": {

"GroupID": 0,

"GroupName": "string",

"StatusMask": [

0

],

"StatusID": 0,

"RtProtectionState": 0,

"EncryptionState": 0,

"AntiSpamStatus": 0,

"EmailAvStatus": 0,

"DlpStatus": 0,

"EdrStatus": 0,

"LastAvBasesUpdate": 0,

"LastInfoUpdate": 0,

"LastUpdate": 0,

"LastSystemStart": 0,

"VirtualServerID": 0

},

"KICS": {

"status": "string",

"risks": [

{

"ID": 0,

"Name": "string",

"Category": "string",

"Description": "string",

"DescriptionURL": "string",

"Severity": 0,

"Cvss": 0

}

],

"serverIP": "string",

"connectorID": 0,

"deviceID": 0,

"hardware": {

"Model": "string",

"Version": "string",

"Vendor": "string"

},

"software": {

"Model": "string",

"Version": "string",

"Vendor": "string"

}

}

},

"UserInfo": {

"osmpId": "string",

"tenantID": "string",

"tenantName": "string",

"domain": "string",

"cn": "string",

"displayName": "string",

"distinguishedName": "string",

"mail": "string",

"mailNickname": "string",

"mobile": "string",

"objectSID": "string",

"samAccountName": "string",

"samAccountType": "string",

"telephoneNumber": "string",

"userPrincipalName": "string",

"isArchived": true,

"memberOf": [

"string"

],

"title": "string",

"division": "string",

"department": "string",

"manager": "string",

"location": "string",

"company": "string",

"streetAddress": "string",

"physicalDeliveryOfficeName": "string",

"managedObjects": [

"string"

],

"userAccountControl": "string",

"whenCreated": 0,

"whenChanged": 0,

"accountExpires": 0,

"badPasswordTime": 0

}

}

],

"Assignee": {

"ID": "string",

"Name": "string"

},

"CreatedAt": "2024-01-16T09:55:50.417Z",

"DetectionTechnologies": [

"string"

],

"Extra": {

"additionalProp1": "string",

"additionalProp2": "string",

"additionalProp3": "string"

},

"IncidentID": "string",

"IncidentLinkType": "auto",

"FirstEventTime": "2024-01-16T09:55:50.417Z",

"LastEventTime": "2024-01-16T09:55:50.417Z",

"MITRETactics": [

{

"ID": "string"

}

],

"MITRETechniques": [

{

"ID": "string"

}

],

"Observables": [

{

"Details": "string",

"Type": "ip",

"Value": "string"

}

],

"OriginalEvents": [

{}

],

"Rules": [

{

"Confidence": "high",

"Custom": true,

"ID": "string",

"Name": "string",

"Severity": "critical",

"Type": "string"

}

],

"Severity": "critical",

"SourceCreatedAt": "2024-01-16T09:55:50.417Z",

"SourceID": "string",

"ExternalRef": "string",

"Status": "new",

"StatusChangedAt": "2024-01-16T09:55:50.417Z",

"StatusResolution": "truePositive",

"UpdatedAt": "2024-01-16T09:55:50.417Z"

"HistoryRecords": [

{

"entityID": "string",

"entityKind": "Alert",

"tenantID": "string",

"type": "alertAssigned",

"createdAt": "2024-03-12T11:10:59.329Z",

"params": {}

}

]

}

]

}

Возможные ошибки

HTTP-код

Описание

Значение поля message

Значение поля details

400

Недопустимое значение timestampField.

Недопустимое поле отметки времени.

 

400

Недопустимое значение "от".

Не удалось проанализировать.

Переменная.

400

Недопустимое значение.

Не удалось проанализировать.

Переменная.

400

Значение ID не в формате UUID.

 

 

400

Недопустимое значение статуса.

invalid status

 

403

Пользователь не имеет необходимых прав в функциональной области Алерты и инциденты ни у одного из указанных тенантов.

Доступ запрещен.

 

500

Любые другие внутренние ошибки.

Переменная.

Переменная.

В начало