Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

page

Числовое

Нет

Номер страницы. Начинается с 1. Размер страницы – 100 записей.

Если значение не указано или установлено значение меньше 1, используется значение 1.

1

id

Строка

Нет

Идентификатор алерта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

Если алерт с указанным идентификатором не найден, это значение идентификатора игнорируется.

Если значение идентификатора не указано, возвращаются все алерты для указанных тенантов.

00000000-0000-0000-0000-000000000000

tenantID

Строка

Да

Идентификатор тенанта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

Если у пользователя нет права Чтение для любого из указанных тенантов, запрос не выполняется.

00000000-0000-0000-0000-000000000000

name

Строка

Нет

Имя алерта. Регистронезависимое регулярное выражение (PCRE).

alert

^My alert$

timestampField

Строка

Нет

Поле данных алерта, используемое для сортировки (в порядке убывания) и фильтрации (параметры "от" и "до") списка алертов. По умолчанию указано значение lastSeen.

lastSeen

firstSeen

from

Строка

Нет

Начало периода, используемого для фильтрации списка алертов, в формате RFC3339. Используйте значение timestampField, чтобы указать поле данных алерта.

2021-09-06T00:00:00Z

2021-09-06T00:00:00.000Z

2021-09-06T00:00:00Z+00:00

to

Строка

Нет

Окончание периода, используемого для фильтрации списка алертов, в формате RFC3339. Используйте значение timestampField, чтобы указать поле данных алерта.

2021-09-06T00:00:00Z

2021-09-06T00:00:00.000Z

2021-09-06T00:00:00Z+00:00

status

Строка

Нет

Статус алерта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

new

inProgress

inIncident

closed

withEvents

bool

Нет

Указывает, следует ли включать нормализованные события из KUMA.

/xdr/api/v1/alerts?withEvents
/xdr/api/v1/alerts?withEvents=123

withAffected

bool

Нет

Указывает, следует ли включать подробные данные об активах и учетных записях, связанных с алертами.

/xdr/api/v1/alerts?withAffected

/xdr/api/v1/alerts?withAffected=123

withHistory

bool

Нет

Указывает, следует ли включать данные об изменениях, внесенных в алерт.

/xdr/api/v1/alerts?withHistory

/xdr/api/v1/alerts?withHistory=123

{

"Total": 0,

"Alerts": [

{

"ID": 0,

"InternalID": "881dee1f-380d-4366-a2d8-094e0af4c3f6",

"TenantID": "string",

"Assets": [

{

"Data": {},

"ID": "string",

"IsAttacker": true,

"IsVictim": true,

"KSCServer": "string",

"Name": "string",

"Type": "host",

"HostInfo": {

"ID": "string",

"TenantID": "string",

"DisplayName": "string",

"AssetSource": "string",

"CreatedAt": 0,

"IsDeleted": true,

"IpAddress": [

"string"

],

"Fqdn": [

"string"

],

"MacAddress": [

"string"

],

"DirectCategories": [

"string"

],

"Weight": "low",

"CiiCategory": "notCII",

"OS": "string",

"OSVersion": "string",

"Sources": [

"ksc"

],

"LastVisible": 0,

"Products": [

{

"ProductVersion": "string",

"ProductName": "string"

}

],

"KSC": {

"GroupID": 0,

"GroupName": "string",

"StatusMask": [

0

],

"StatusID": 0,

"RtProtectionState": 0,

"EncryptionState": 0,

"AntiSpamStatus": 0,

"EmailAvStatus": 0,

"DlpStatus": 0,

"EdrStatus": 0,

"LastAvBasesUpdate": 0,

"LastInfoUpdate": 0,

"LastUpdate": 0,

"LastSystemStart": 0,

"VirtualServerID": 0

},

"KICS": {

"status": "string",

"risks": [

{

"ID": 0,

"Name": "string",

"Category": "string",

"Description": "string",

"DescriptionURL": "string",

"Severity": 0,

"Cvss": 0

}

],

"serverIP": "string",

"connectorID": 0,

"deviceID": 0,

"hardware": {

"Model": "string",

"Version": "string",

"Vendor": "string"

},

"software": {

"Model": "string",

"Version": "string",

"Vendor": "string"

}

}

},

"UserInfo": {

"osmpId": "string",

"tenantID": "string",

"tenantName": "string",

"domain": "string",

"cn": "string",

"displayName": "string",

"distinguishedName": "string",

"mail": "string",

"mailNickname": "string",

"mobile": "string",

"objectSID": "string",

"samAccountName": "string",

"samAccountType": "string",

"telephoneNumber": "string",

"userPrincipalName": "string",

"isArchived": true,

"memberOf": [

"string"

],

"title": "string",

"division": "string",

"department": "string",

"manager": "string",

"location": "string",

"company": "string",

"streetAddress": "string",

"physicalDeliveryOfficeName": "string",

"managedObjects": [

"string"

],

"userAccountControl": "string",

"whenCreated": 0,

"whenChanged": 0,

"accountExpires": 0,

"badPasswordTime": 0

}

}

],

"Assignee": {

"ID": "string",

"Name": "string"

},

"CreatedAt": "2024-01-16T09:55:50.417Z",

"DetectionTechnologies": [

"string"

],

"Extra": {

"additionalProp1": "string",

"additionalProp2": "string",

"additionalProp3": "string"

},

"IncidentID": "string",

"IncidentLinkType": "auto",

"FirstEventTime": "2024-01-16T09:55:50.417Z",

"LastEventTime": "2024-01-16T09:55:50.417Z",

"MITRETactics": [

{

"ID": "string"

}

],

"MITRETechniques": [

{

"ID": "string"

}

],

"Observables": [

{

"Details": "string",

"Type": "ip",

"Value": "string"

}

],

"OriginalEvents": [

{}

],

"Rules": [

{

"Confidence": "high",

"Custom": true,

"ID": "string",

"Name": "string",

"Severity": "critical",

"Type": "string"

}

],

"Severity": "critical",

"SourceCreatedAt": "2024-01-16T09:55:50.417Z",

"SourceID": "string",

"ExternalRef": "string",

"Status": "new",

"StatusChangedAt": "2024-01-16T09:55:50.417Z",

"StatusResolution": "truePositive",

"UpdatedAt": "2024-01-16T09:55:50.417Z"

"HistoryRecords": [

{

"entityID": "string",

"entityKind": "Alert",

"tenantID": "string",

"type": "alertAssigned",

"createdAt": "2024-03-12T11:10:59.329Z",

"params": {}

}

]

}

]

}

HTTP-код

Описание

Значение поля message

Значение поля details

400

Недопустимое значение timestampField.

Недопустимое поле отметки времени.

400

Недопустимое значение "от".

Не удалось проанализировать.

Переменная.

400

Недопустимое значение.

Не удалось проанализировать.

Переменная.

400

Значение ID не в формате UUID.

400

Недопустимое значение статуса.

invalid status

403

Пользователь не имеет необходимых прав в функциональной области Алерты и инциденты ни у одного из указанных тенантов.

Доступ запрещен.

500

Любые другие внутренние ошибки.

Переменная.

Переменная.