Модель данных алерта

Раздел и подразделы

Поле алерта

Тип значения

Требуется

Описание

Алерты

ID

Строка

Да

Короткий внутренний идентификатор алерта.

InternalID

Строка

Да

Внутренний идентификатор алерта.

TenantID

Строка

Да

Идентификатор тенанта, с которым связан алерт.

CreatedAt

Строка

Да

Дата и время создания алерта.

DetectionTechnologies

Вложенный список строк

Да

Технология срабатывания детектирования.

Возможные значения:

• IOC
• IOA

IncidentID

Строка

Нет

Внутренний идентификатор инцидента, связанного с алертом.

IncidentLinkType

Строка

Нет

Способ добавления алерта в инцидент.

Возможные значения:

• Manual
• Auto

FirstEventTime

Строка

Да

Дата и время первого события, связанного с алертом.

LastEventTime

Строка

Да

Дата и время последнего события, связанного с алертом.

Severity

Строка

Да

Критичность алерта.

Возможные значения:

• Critical
• High
• Medium
• Low

SourceCreatedAt

Строка

Да

Дата и время создания алерта в интегрированном компоненте.

SourceID

Строка

Да

Уникальный идентификатор алерта в интегрированном компоненте.

ExternalRef

Строка

Нет

Ссылка на объект во внешней системе (например, ссылка на инцидент Jira).

Состояние

Строка

Да

Статус алерта.

Возможные значения:

• new
• inProgress
• inIncident
• closed

StatusResolution

Строка

Нет

Решение статуса алерта.

Возможные значения:

• truePositive
• falsePositive
• lowPriority

StatusChangedAt

Строка

Нет

Дата и время последнего изменения статуса алерта

UpdatedAt

Строка

Да

Дата и время последнего изменения алерта.

Extra

Строка

Нет

Данные программы, в которой был зарегистрирован алерт. Данные программы представлены в формате JSON.

OriginalEvents

Строка

Нет

События, на основании которых формируется алерт.

Алерты → Ответственный за алерт

ID

Строка

Нет

Идентификатор учетной записи оператора, которому назначен инцидент.

Name

Строка

Нет

Имя оператора, которому назначен инцидент.

Алерты → Тактики MITRE

ID

Строка

Нет

Массив тактик из MITRE, относящийся ко всем сработавшим IOA-правилам в алерте.

Алерты → Техники MITRE

ID

Строка

Нет

Массив техник из MITRE, относящийся ко всем сработавшим IOA-правилам в алерте.

Алерты → Наблюдаемые объекты

Подробная информация.

Строка

Нет

Дополнительная информация о наблюдаемых объектах.

Тип

Строка

Нет

Тип наблюдаемых объектов.

Возможные значения:

• ip
• md5
• url
• domain
• SHA256
• UserName
• HostName

Значение

Строка

Нет

Значения наблюдаемых объектов.

Алерты → Правила

Confidence

Строка

Нет

Уровень доверия сработавшего правила.

Возможные значения:

• High
• Medium
• Low

Custom

Логический оператор

Нет

Индикатор того, что алерт основан на пользовательских правилах.

ID

Строка

Нет

Идентификатор сработавшего правила.

Name

Строка

Нет

Имя сработавшего правила.

Severity

Строка

Нет

Критичности сработавшего правила.

Возможные значения:

• Critical
• High
• Medium
• Low

Тип

Строка

Нет

Тип сработавшего правила.

Алерты → Активы

ID

Строка

Нет

Идентификатор затронутого актива (устройства или учетной записи).

IsAttacker

Логический оператор

Нет

Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим.

IsVictim

Логический оператор

Нет

Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.

KSCServer

Строка

Нет

Сервер администрирования, к которому относится затронутый актив (устройство или учетная запись).

Это свойство используется для получения группы администрирования активов.

Name

Строка

Нет

Имя затронутого устройства, с которым связан алерт (если для параметра Тип выбрано значение Устройство).

Имя пользователя затронутой учетной записи, связанной с событиями, на основе которых создается алерт (если для параметра Тип выбрано значение Пользователь).

Тип

Строка

Нет

Тип затронутого актива (устройство или учетная запись).

Возможные значения:

• Host
• User