Модель данных инцидента

Структура инцидента представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Alerts).

Инцидент

Поле	Тип значения	Требуется	Описание
`InternalID`	Строка	Да	Внутренний идентификатор инцидента (в формате UUID).
`ID`	Целое число	Да	Короткий внутренний идентификатор инцидента.
`TenantID`	Строка	Да	Идентификатор тенанта, с которым связан инцидент (в формате UUID).
`IncidentType`	Объект `IncidentType`	Да	Тип инцидента.
`Name`	Строка	Да	Название инцидента.
`WorkflowName`	Строка	Да	Имя рабочего процесса инцидента.
`WorkflowUUID`	Строка	Да	Уникальный идентификатор рабочего процесса инцидента в формате UUID.
`Description`	Строка	Нет	Описание инцидента.
`CreatedAt`	Строка	Да	Дата и время создания инцидента (в формате RFC 3339).
`UpdatedAt`	Строка	Да	Дата и время последнего изменения инцидента (в формате RFC 3339).
`StatusChangedAt`	Строка	Нет	Дата и время последнего изменения статуса инцидента (в формате RFC 3339).
`Severity`	Строка	Нет	Важность инцидента. Возможные значения: `critical` `high` `medium` `low`
`Priority`	Строка	Да	Приоритет инцидента. Возможные значения: `critical` `high` `medium` `low`
`Assignee`	Объект `Assignee`	Нет	Оператор, которому назначен инцидент.
`FirstEventTime`	Строка	Нет	Дата и время первого события телеметрии алерта, связанного с инцидентом (в формате RFC 3339).
`LastEventTime`	Строка	Нет	Дата и время последнего события телеметрии алерта, связанного с инцидентом (в формате RFC 3339).
`Status`	Строка	Да	Статус инцидента. Возможные значения: `open` `inProgress` `hold` `closed`
`StatusUUID`	Строка	Да	Идентификатор статуса инцидента (в формате UUID).
`StatusResolution`	Строка	Нет	Решение статуса инцидента. Возможные значения: `truePositive` `falsePositive` `lowPriority` `merged`
`DetectSources`	Массив строк	Нет	Компоненты, которые обнаруживают и генерируют инцидент.
`DetectionTechnologies`	Массив строк	Нет	Технология срабатывания детектирования.
`Алерты`	Массив объектов `Alert`	Нет	Алерты, включенные в инцидент.
`AdditionalData`	Объект	Нет	Дополнительная информация об алерте в формате JSON. Эту информацию может заполнить пользователь или плейбук.
`ExternalRef`	Строка	Да	Ссылка на объект во внешней системе (например, ссылка на инцидент Jira).
`SignOfCreation`	Строка	Да	Способ создания инцидента.
`IsCII`	Логический оператор	Да	Индикатор того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры.
`Attachments`	Массив объектов `UnkeyedAttachment`	Нет	Вложения, связанные с инцидентом.

IncidentType

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор типа инцидента (в формате UUID).
`Name`	Строка	Да	Имя типа инцидента.
`Description`	Строка	Да	Описание типа инцидента.

Исполнитель

Поле	Тип значения	Требуется	Описание
`ID`	Строка	Да	Идентификатор учетной записи оператора, которому назначен инцидент.
`Name`	Строка	Да	Имя оператора, которому назначен инцидент.

UnkeyedAttachment

Поле	Тип значения	Требуется	Описание
`AttachmentID`	Строка	Да	Идентификатор вложения (в формате UUID).
`Name`	Строка	Да	Имя вложения.
`CreatedAt`	Строка	Да	Дата и время создания вложения в формате UTC.
`UpdatedAt`	Строка	Да	Дата и время последнего изменения вложения в формате UTC.
`CreatedBy`	Строка	Да	Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.
`Size`	Целое число	Да	Размер вложения, указанный в байтах.
`Status`	Строка	Да	Статус вложения, который указывает, находится ли загрузка вложения в процессе, завершена или прервана с ошибкой. Возможные значения: `completed` `error` `uploading`
`Description`	Строка	Нет	Описание вложения.
`StatusCode`	Строка	Нет	Текст статуса, который отображается пользователю (например, сообщение об ошибке, которое отображается при неудачной попытке загрузки вложения).

Идентификатор статьи: 269168, Последнее изменение: 18 апр. 2025 г.

В начало