Модель данных инцидента
Структура инцидента представлена полями, которые содержат значения (см. таблицу ниже). Поля также могут содержать вложенные структуры.
Раздел и подразделы | Поле инцидента | Тип значения | Требуется | Описание |
|
| Строка | Да | Короткий внутренний идентификатор инцидента. |
| Строка | Да | Внутренний идентификатор инцидента. | |
| Строка | Да | Идентификатор тенанта, с которым связан инцидент. | |
| Строка | Да | Дата и время создания инцидента. | |
| Вложенный список строк | Да | Технология обнаружения срабатывает при регистрации алерта, включенного в инцидент. Возможные значения:
| |
| Строка | Да | Дата и время первого события телеметрии алерта, связанного с инцидентом. | |
| Строка | Да | Дата и время последнего события телеметрии алерта, связанного с инцидентом. | |
| Строка | Да | Критичность инцидента. Возможные значения:
| |
| Строка | Нет | Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). | |
| Строка | Да | Статус инцидента. Возможные значения:
| |
| Строка | Нет | Дата и время изменения статуса инцидента. | |
| Строка | Нет | Решение статуса инцидента. Возможные значения:
| |
| Строка | Да | Дата и время последнего изменения инцидента. | |
| Строка | Нет | Описание инцидента. | |
| Строка | Да | Способ создания инцидента. Возможные значения:
| |
| Строка | Да | Приоритет инцидента. Возможные значения:
| |
| Строка | Нет | Данные программы, в которой произошел инцидент. Данные программы представлены в формате JSON. | |
|
| Строка | Нет | Идентификатор учетной записи оператора, которому назначен инцидент. |
| Строка | Нет | Имя оператора, которому назначен инцидент. | |
|
| Строка | Нет | Массив тактик из MITRE, относящийся ко всем сработавшим IOA-правилам в инциденте. |
|
| Строка | Нет | Массив техник из MITRE, относящийся ко всем сработавшим IOA-правилам в инциденте. |
|
| Строка | Нет | Дополнительная информация о наблюдаемых объектах. |
| Строка | Нет | Тип наблюдаемых объектов. Возможные значения:
| |
| Строка | Нет | Значения наблюдаемых объектов. | |
|
| Строка | Нет | Уровень доверия сработавшего правила. Возможные значения:
|
| Логический оператор | Нет | Индикатор того, что инцидент основан на пользовательских правилах. | |
| Строка | Нет | Идентификатор сработавшего правила. | |
| Строка | Нет | Имя сработавшего правила. | |
| Строка | Нет | Критичности сработавшего правила. | |
| Строка | Нет | Тип сработавшего правила. | |
|
| Строка | Нет | Идентификатор затронутого актива (устройства или учетной записи). |
| Логический оператор | Нет | Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим. | |
| Логический оператор | Нет | Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым. | |
| Строка | Нет | Сервер администрирования, к которому относится затронутый актив (устройство или учетная запись). Это свойство используется для получения группы администрирования активов. | |
| Строка | Нет | Имя затронутого устройства, с которым связан инцидент (если для параметра Имя пользователя затронутой учетной записи, с которой связан инцидент (если для параметра | |
| Строка | Нет | Тип затронутого актива (устройство или учетная запись). Возможные значения:
|