Модель данных алерта
Структура алерта представлена полями, которые содержат значения (см. таблицу ниже). Поля также могут содержать вложенные структуры.
Раздел и подразделы | Поле алерта | Тип значения | Требуется | Описание |
|
| Строка | Да | Короткий внутренний идентификатор алерта. |
| Строка | Да | Внутренний идентификатор алерта. | |
| Строка | Да | Идентификатор тенанта, с которым связан алерт. | |
| Строка | Да | Дата и время создания алерта. | |
| Вложенный список строк | Да | Технология срабатывания детектирования. Возможные значения:
| |
| Строка | Нет | Внутренний идентификатор инцидента, связанного с алертом. | |
| Строка | Нет | Способ добавления алерта в инцидент. Возможные значения:
| |
| Строка | Да | Дата и время первого события, связанного с алертом. | |
| Строка | Да | Дата и время последнего события, связанного с алертом. | |
| Строка | Да | Критичность алерта. Возможные значения:
| |
| Строка | Да | Дата и время создания алерта в интегрированном компоненте. | |
| Строка | Да | Уникальный идентификатор алерта в интегрированном компоненте. | |
| Строка | Нет | Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). | |
| Строка | Да | Статус алерта. Возможные значения:
| |
| Строка | Нет | Решение статуса алерта. Возможные значения:
| |
| Строка | Нет | Дата и время последнего изменения статуса алерта | |
| Строка | Да | Дата и время последнего изменения алерта. | |
| Строка | Нет | Данные программы, в которой был зарегистрирован алерт. Данные программы представлены в формате JSON. | |
| Строка | Нет | События, на основании которых формируется алерт. | |
|
| Строка | Нет | Идентификатор учетной записи оператора, которому назначен инцидент. |
| Строка | Нет | Имя оператора, которому назначен инцидент. | |
|
| Строка | Нет | Массив тактик из MITRE, относящийся ко всем сработавшим IOA-правилам в алерте. |
|
| Строка | Нет | Массив техник из MITRE, относящийся ко всем сработавшим IOA-правилам в алерте. |
|
| Строка | Нет | Дополнительная информация о наблюдаемых объектах. |
| Строка | Нет | Тип наблюдаемых объектов. Возможные значения:
| |
| Строка | Нет | Значения наблюдаемых объектов. | |
|
| Строка | Нет | Уровень доверия сработавшего правила. Возможные значения:
|
| Логический оператор | Нет | Индикатор того, что алерт основан на пользовательских правилах. | |
| Строка | Нет | Идентификатор сработавшего правила. | |
| Строка | Нет | Имя сработавшего правила. | |
| Строка | Нет | Критичности сработавшего правила. Возможные значения:
| |
| Строка | Нет | Тип сработавшего правила. | |
|
| Строка | Нет | Идентификатор затронутого актива (устройства или учетной записи). |
| Логический оператор | Нет | Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим. | |
| Логический оператор | Нет | Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым. | |
| Строка | Нет | Сервер администрирования, к которому относится затронутый актив (устройство или учетная запись). Это свойство используется для получения группы администрирования активов. | |
| Строка | Нет | Имя затронутого устройства, с которым связан алерт (если для параметра Имя пользователя затронутой учетной записи, связанной с событиями, на основе которых создается алерт (если для параметра | |
| Строка | Нет | Тип затронутого актива (устройство или учетная запись). Возможные значения:
|