Просмотр списка инцидентов

GET /xdr/api/v1/incidents

Возвращает список инцидентов для указанных тенантов.

Пример:

https://api.example.com/xdr/api/v1/incidents?tenantID=00000000-0000-0000-0000-000000000000&withHistory

Параметры запроса

Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

page

Числовое

Нет

Номер страницы. Начинается с 1. Размер страницы – 100 записей.

Если значение не указано или установлено значение меньше 1, используется значение 1.

1

id

Строка

Нет

Идентификатор инцидента.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

Если инцидент с указанным идентификатором не найден, это значение идентификатора игнорируется.

Если значение идентификатора не указано, возвращаются все инциденты для указанных тенантов.

00000000-0000-0000-0000-000000000000

tenantID

Строка

Да

Идентификатор тенанта.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

Если у пользователя нет права Чтение для любого из указанных тенантов, запрос не выполняется.

00000000-0000-0000-0000-000000000000

name

Строка

Нет

Имя инцидента в формате Perl Compatible Regular Expression (PCRE).

Если имя не указано, возвращаются все инциденты для указанных тенантов.

incident

^My incident$

timestampField

Строка

Нет

Поле данных инцидента, используемое для фильтрации списка инцидентов. Используйте значения "от" и "до", чтобы указать период.

createdAt

updatedAt

statusChangedAt

from

Строка

Нет

Начало периода, используемого для фильтрации списка инцидентов, в формате RFC3339. Используйте значение timestampField, чтобы указать поле данных инцидента.

2021-09-06T00:00:00Z

2021-09-06T00:00:00.000Z

2021-09-06T00:00:00Z+00:00

to

Строка

Нет

Окончание периода, используемого для фильтрации списка инцидентов, в формате RFC3339. Используйте значение timestampField, чтобы указать поле данных инцидента.

2021-09-06T00:00:00Z

2021-09-06T00:00:00.000Z

2021-09-06T00:00:00Z+00:00

status

Строка

Нет

Статус инцидента.

Если указано несколько значений, формируется список, к которому применяется логический оператор ИЛИ.

new

inProgress

hold

closed

withAffected

bool

Нет

Указывает, следует ли включать подробные данные об активах и учетных записях, связанных с инцидентами.

/xdr/api/v1/incidents?withAffected

/xdr/api/v1/incidents?withAffected=123

withHistory

bool

Нет

Указывает, следует ли включать данные об изменениях, внесенных в инциденты.

/xdr/api/v1/incidents?withHistory

/xdr/api/v1/incidents?withHistory=123

Действие по реагированию

HTTP-код: 200

Формат: JSON

Пример:

{

"Total": 0,

"Incidents": [

{

"ID": 0,

"InternalID": "881dee1f-380d-4366-a2d8-094e0af4c3f6",

"TenantID": "string",

"Name": "string",

"Assets": [

{

"Data": {},

"ID": "string",

"IsAttacker": true,

"IsVictim": true,

"KSCServer": "string",

"Name": "string",

"Type": "host",

"HostInfo": {

"ID": "string",

"TenantID": "string",

"DisplayName": "string",

"AssetSource": "string",

"CreatedAt": 0,

"IsDeleted": true,

"IpAddress": [

"string"

],

"Fqdn": [

"string"

],

"MacAddress": [

"string"

],

"DirectCategories": [

"string"

],

"Weight": "low",

"CiiCategory": "notCII",

"OS": "string",

"OSVersion": "string",

"Sources": [

"ksc"

],

"LastVisible": 0,

"Products": [

{

"ProductVersion": "string",

"ProductName": "string"

}

],

"KSC": {

"GroupID": 0,

"GroupName": "string",

"StatusMask": [

0

],

"StatusID": 0,

"RtProtectionState": 0,

"EncryptionState": 0,

"AntiSpamStatus": 0,

"EmailAvStatus": 0,

"DlpStatus": 0,

"EdrStatus": 0,

"LastAvBasesUpdate": 0,

"LastInfoUpdate": 0,

"LastUpdate": 0,

"LastSystemStart": 0,

"VirtualServerID": 0

},

"KICS": {

"status": "string",

"risks": [

{

"ID": 0,

"Name": "string",

"Category": "string",

"Description": "string",

"DescriptionURL": "string",

"Severity": 0,

"Cvss": 0

}

],

"serverIP": "string",

"connectorID": 0,

"deviceID": 0,

"hardware": {

"Model": "string",

"Version": "string",

"Vendor": "string"

},

"software": {

"Model": "string",

"Version": "string",

"Vendor": "string"

}

}

},

"UserInfo": {

"osmpId": "string",

"tenantID": "string",

"tenantName": "string",

"domain": "string",

"cn": "string",

"displayName": "string",

"distinguishedName": "string",

"mail": "string",

"mailNickname": "string",

"mobile": "string",

"objectSID": "string",

"samAccountName": "string",

"samAccountType": "string",

"telephoneNumber": "string",

"userPrincipalName": "string",

"isArchived": true,

"memberOf": [

"string"

],

"title": "string",

"division": "string",

"department": "string",

"manager": "string",

"location": "string",

"company": "string",

"streetAddress": "string",

"physicalDeliveryOfficeName": "string",

"managedObjects": [

"string"

],

"userAccountControl": "string",

"whenCreated": 0,

"whenChanged": 0,

"accountExpires": 0,

"badPasswordTime": 0

}

}

],

"AlertIDs": [

"string"

],

"Assignee": {

"ID": "string",

"Name": "string"

},

"CreatedAt": "2024-01-16T09:56:29.939Z",

"DetectionTechnologies": [

"string"

],

"FirstEventTime": "2024-01-16T09:56:29.939Z",

"LastEventTime": "2024-01-16T09:56:29.939Z",

"MITRETactics": [

{

"ID": "string"

}

],

"MITRETechniques": [

{

"ID": "string"

}

],

"Observables": [

{

"Details": "string",

"Type": "ip",

"Value": "string"

}

],

"Rules": [

{

"Confidence": "high",

"Custom": true,

"ID": "string",

"Name": "string",

"Severity": "critical",

"Type": "string"

}

],

"Severity": "critical",

"ExternalRef": "string",

"Status": "open",

"StatusChangedAt": "2024-01-16T09:56:29.939Z",

"StatusResolution": "truePositive",

"UpdatedAt": "2024-01-16T09:56:29.939Z",

"Description": "string",

"SignOfCreation": "auto",

"Priority": "low"

"HistoryRecords": [

{

"entityID": "string",

"entityKind": "Alert",

"tenantID": "string",

"type": "alertAssigned",

"createdAt": "2024-03-12T11:11:58.864Z",

"params": {}

}

]

}

]

}

Возможные ошибки

HTTP-код

Описание

Значение поля message

Значение поля details

400

Недопустимое значение timestampField.

Недопустимое поле отметки времени.

 

400

Недопустимое значение "от".

Не удалось проанализировать.

Переменная.

400

Недопустимое значение.

Не удалось проанализировать.

Переменная.

400

Значение ID не в формате UUID.

 

 

403

Пользователь не имеет необходимых прав в функциональной области Алерты и инциденты ни у одного из указанных тенантов.

Доступ запрещен.

 

500

Любые другие внутренние ошибки.

Переменная.

Переменная.

В начало