Модель данных инцидента

Раздел и подразделы

Поле инцидента

Тип значения

Требуется

Описание

Инциденты

ID

Строка

Да

Короткий внутренний идентификатор инцидента.

InternalID

Строка

Да

Внутренний идентификатор инцидента.

TenantID

Строка

Да

Идентификатор тенанта, с которым связан инцидент.

CreatedAt

Строка

Да

Дата и время создания инцидента.

DetectionTechnologies

Вложенный список строк

Да

Технология обнаружения срабатывает при регистрации алерта, включенного в инцидент.

Возможные значения:

• IOC
• IOA

FirstEventTime

Строка

Да

Дата и время первого события телеметрии алерта, связанного с инцидентом.

LastEventTime

Строка

Да

Дата и время последнего события телеметрии алерта, связанного с инцидентом.

Severity

Строка

Да

Критичность инцидента.

Возможные значения:

• Critical
• High
• Medium
• Low

ExternalRef

Строка

Нет

Ссылка на объект во внешней системе (например, ссылка на инцидент Jira).

Состояние

Строка

Да

Статус инцидента.

Возможные значения:

• open
• inProgress
• hold
• closed

StatusChangedAt

Строка

Нет

Дата и время изменения статуса инцидента.

StatusResolution

Строка

Нет

Решение статуса инцидента.

Возможные значения:

• truePositive
• falsePositive
• lowPriority
• merged

UpdatedAt

Строка

Да

Дата и время последнего изменения инцидента.

Описание

Строка

Нет

Описание инцидента.

SignOfCreation

Строка

Да

Способ создания инцидента.

Возможные значения:

• auto
• manual

Priority

Строка

Да

Приоритет инцидента.

Возможные значения:

• Critical
• High
• Medium
• Low

Extra

Строка

Нет

Данные программы, в которой произошел инцидент. Данные программы представлены в формате JSON.

Инцидент → Исполнитель инцидента

ID

Строка

Нет

Идентификатор учетной записи оператора, которому назначен инцидент.

Name

Строка

Нет

Имя оператора, которому назначен инцидент.

Инциденты → Тактики MITRE

ID

Строка

Нет

Массив тактик из MITRE, относящийся ко всем сработавшим IOA-правилам в инциденте.

Инциденты → Техники MITRE

ID

Строка

Нет

Массив техник из MITRE, относящийся ко всем сработавшим IOA-правилам в инциденте.

Инциденты → Наблюдаемые объекты

Подробная информация.

Строка

Нет

Дополнительная информация о наблюдаемых объектах.

Тип

Строка

Нет

Тип наблюдаемых объектов.

Возможные значения:

• ip
• md5
• url
• domain
• SHA256
• UserName
• HostName

Значение

Строка

Нет

Значения наблюдаемых объектов.

Инциденты → Правила

Confidence

Строка

Нет

Уровень доверия сработавшего правила.

Возможные значения:

• High
• Medium
• Low

Custom

Логический оператор

Нет

Индикатор того, что инцидент основан на пользовательских правилах.

ID

Строка

Нет

Идентификатор сработавшего правила.

Name

Строка

Нет

Имя сработавшего правила.

Severity

Строка

Нет

Критичности сработавшего правила.

Тип

Строка

Нет

Тип сработавшего правила.

Инциденты → Активы

ID

Строка

Нет

Идентификатор затронутого актива (устройства или учетной записи).

IsAttacker

Логический оператор

Нет

Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим.

IsVictim

Логический оператор

Нет

Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.

KSCServer

Строка

Нет

Сервер администрирования, к которому относится затронутый актив (устройство или учетная запись).

Это свойство используется для получения группы администрирования активов.

Name

Строка

Нет

Имя затронутого устройства, с которым связан инцидент (если для параметра Тип выбрано значение Устройство).

Имя пользователя затронутой учетной записи, с которой связан инцидент (если для параметра Тип выбрано значение Пользователь).

Тип

Строка

Нет

Тип затронутого актива (устройство или учетная запись).

Возможные значения:

• Host
• User