Модель
LogmuleGoResult
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор результата сработки правила |
| created_at | string time |
Required | Дата создания результата сработки в формате: date-time |
| updated_at | string time |
Required | Дата изменения результата сработки в формате: date-time |
| rule_id | string |
Required | Идентификатор правила |
| analysis_output | string |
Required | Результат анализа |
| event | object |
Required | Событие строкой |
| compressed_event | string array |
Required | Событие одной строкой в формате byte array |
| risklevel | number float |
Required | Уровень риска в формате float |
| occurred_at | string time |
Required | Дата и время происшествия в формате: date-time |
| occurrence_id | string |
Required | Идентификатор происшествия |
| error | string |
Required | Ошибка |
| service_asset_id | string |
Required | Идентификатор актива |
| asset_info | object<asset> |
Required | Данные актива |
| incident_identifier | string |
Required | Идентификатор инцидента |
| metadata | object |
Required | Метаданные в формате map |
| mitre | object |
Optional | Техники mitre в формате map |
| logmule_go_rule | object<LogmuleGoRule> |
Optional | Правило, по которому произошла сработка |
| occurrence | object<Occurrence> |
Optional | Происшествие |
| service_asset | object<ServiceAsset> |
Optional | Актив, на котором произошла сработка |
| service_asset_groups | object<ServiceAssetGroup> |
Optional | Связанные группы активов |
| _relations | object |
Optional | Словарь описывающий связанные модели через идентификаторы |
Модель данных LogmuleGoResultsAsset
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| ip | string |
Required | IP-адрес актива |
| hostname | string |
Required | Хостнейм актива |
| fqdn | string |
Required | FQDN актива |
| mac | string |
Required | MAC-адрес актива |
Модель данных LogmuleGoRule
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| name | string |
Required | Название правила |
| frontend_data | Array<FrontendData> |
Optional | Данные визуального конструктора правила |
| test_data | Array<object> |
Optional | Список событий для тестирования правила (логлайны) |
| settings | Array<SettingRule> |
Required | Список настроек правила |
| active | boolean |
Required | Флаг активности правила |
| reload | boolean |
Required | Флаг перезагрузки правила после обновления |
| finding_id | string |
Required | Идентификатор инцидента |
| description | string |
Required | Описание правила |
| lua | string |
Required | Код правила в формате Lua |
| is_retro | boolean |
Required | Флаг: используется ли правило для ретроспективной корреляции |
| is_system | boolean |
Required | Флаг: системное ли правило |
| stats | object |
Optional | Статистика сработок и ошибок правила |
| stats{result_count} | integer |
Optional | Количество срабатываний правила |
| stats{error_count} | integer |
Optional | Количество ошибок правила |
| is_error | integer |
Required | Количество ошибок |
| running_at | string time |
Required | Дата и время запуска в формате date-time |
FrontendData
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| alert | Object<Alert> |
Required | Щаблон алерта |
| grouper | Object<Grouper> |
Required | Шаблон группера |
| actions | Array<Actions> |
Required | Действия, по результатам сработки правила |
| conditions | Array<Conditions> |
Required | Конструктор условий. Объекты в массиве могут отличаться в зависимости от типа условия: 1. Сравнение (“CompareCondition”). Структура меняется в зависимости от источника данных. - LoglineGetExpression - значение из события; - TableGetExpression, TableCountExpression или TableDefinitionExpression - значение из табличного списка; - ConstExpression - ручной ввод значения 2. Логическое выражение (“LogicalCondition”) |
| version | integer |
Required | Версия схемы конструктора правил |
Alert
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | ID шаблона алерта |
| trace_id | string |
Optional | Идентификатор трассировки действия пользователя для аудита |
| name | string |
Required | Название шаблона алерта |
| create_incident | boolean |
Required | Флаг: cоздавать ли инцидент в результате сработки правила |
| assign_to_customer | boolean |
Required | Флаг: назначить ли инцидент пользователю |
| risk_level | number |
Required | Уровень риска. Допустимые значения от 0 до 10. |
| asset_ip | string |
Required | IP-адрес актива |
| asset_hostname | string |
Required | Hostname актива |
| asset_fqdn | string |
Required | FQDN актива |
| asset_mac | string |
Required | MAC-адрес актива |
| first_and_last_logs | boolean |
Required | Флаг: записывать ли в журнал первое и последнее событие |
| trim_logs | integer |
Required | Количество событий для записи в журнал |
| template | string |
Required | Описание шаблона |
| mitre | string |
Optional | Описание техник Mitre. Обычно это идентификаторы техник, используемых киберпреступниками, которые описаны в базе знаний компании Mitre (подробнее см. Techniques - Enterprise | MITRE ATT&CK®) |
Grouper
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | ID шаблона группера |
| trace_id | string |
Optional | Идентификатор трассировки действия пользователя для аудита |
| name | string |
Required | Название шаблона группера |
| grouped_by | Array<string> |
Required | Поля для группировки |
| aggregated_by | Array<string> |
Required | Поля для агрегации |
| grouped_time_field | string |
Required | Время события (название поля) |
| grouped_time_type | string |
Required | Формат времени, одно из: “RFC3339Nano”, “RFC3339”, “ANSIC”, “UnixDate”, “RubyDate”, “RFC822”, “RFC822Z”, “RFC850”, “RFC850”, “RFC1123”, “RFC1123Z”, “Stamp”, “StampMilli”, “StampMicro”, “StampNano”, “UnixMilli”, “UnixMicro” |
| detection_windows | integer |
Required | Период группировки |
| detection_windows_unit | string |
Required | Единица измерения периода группировки. Допустимые значения: - ms - s - m - h |
| aggregate_count | integer |
Required | Порог количества событий для срабатывания |
| aggregate_unique | boolean |
Required | Флаг: активировать ли только уникальные события. |
Actions
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| TTL | string |
Optional | Время жизни события (логлайна) в минутах |
| key | object |
Optional | Ключ для действия |
| key{default} | object |
Required | Объект ключа по умолчанию |
| key{default}/type | string |
Optional | Тип ключа. Допустимые значения: - ”type” == “value” - Значение - ”type” == “field” - Поле события |
| key{default}/value | string |
Optional | Значение ключа |
| type | string |
Optional | Тип действия. Допустимые значения: - ”type” == “store-set” - Установка значения в табличном списке; - ”type” == “store-remove” - Удаление записи в табличном списке; - ”type” == “store-truncate” - Очистка табличного списка. |
| store | string |
Optional | Табличный список над которым совершается действие |
| value | string |
Optional | Значение |
| column | string |
Optional | Колонка |
Conditions
Любой из:
Сравнение
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип условия |
| id | string |
Required | Идентификатор условия |
| parentId | string |
Optional | Идентификатор родительского условия |
| negation | boolean |
Required | Флаг: включить ли для функции сравнения отрицание |
| compareFn | string |
Optional | Функция сравнения. Допустимые значения:eq, streq, exist, in, substr, search, gt, gte, lt, lte, in_sub, in_pref, in_suf, pref, suf, table_search, table_check_ip, between |
| expressions | Array<Expressions> |
Required | Выражение. Массив может содержать разную структуру объекта, в зависимости от источника данных: - LoglineGetExpression - значение из события - TableGetExpression, TableCountExpression или TableDefinitionExpression - значение из табличного списка - ConstExpression - ручной ввод значения |
Expressions
Один из:
- LoglineGetExpression
- TableGetExpression
- TableCountExpression
- TableDefinitionExpression
- ConstExpression
LoglineGetExpression
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип выражения |
| value | string |
Required | Значение |
TableGetExpression
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип выражения |
| store | string |
Required | Источник данных (табличный список) |
| column | string |
Required | Колонка |
| key | object |
Required | Ключ |
| key{type} | string |
Required | Тип ключа. Допустимые значения: logline-get, const-string |
| key{value} | string |
Required | Значение ключа |
TableCountExpression
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип выражения |
| store | string |
Required | Источник данных (табличный список) |
TableDefinitionExpression
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип выражения |
| store | string |
Required | Источник данных (табличный список) |
| column | string |
Required | Колонка |
ConstExpression
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип выражения. Допустимые значения:const-string, const-integer, const-double, const-boolean, const-ip, const-cidr, const-date, const-null, const-string-array |
| value | string |
Required | Значение. Параметр “value” принимает значения разных типов, в зависимости от значения “type”: - “type” == “const-string” => “value” == “string" - "type” == “const-integer” => “value” == “string" - "type” == “const-double” => “value” == “string" - "type” == “const-boolean” => “value” == “boolean" - "type” == “const-ip” => “value” == “string" - "type” == “const-cidr” => “value” == “string" - "type” == “const-date” => “value” == “string" - "type” == “const-null” => “value” == “null" - "type” == “const-string-array” => “value” == “array of strings” |
Логическое выражение
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| type | string |
Required | Тип условия |
| id | string |
Required | Идентификатор условия |
| parentId | string |
Optional | Идентификатор родительского условия |
| negation | boolean |
Required | Флаг: включить ли для функции сравнения отрицание |
| operator | string |
Required | Оператор. Допустимые значения: and, or |
SettingRule
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| function_metrics | boolean |
Optional | Флаг: собирать ли дополнительные метрики |
| is_constructor | boolean |
Optional | Флаг: создано ли правило с помощью визуального конструктора |
| max_alerts | integer |
Optional | Максимальное количество сработок |
| max_alerts_per_second | integer |
Optional | Максимальное количество сработок в секунду |
| max_rule_memory_mb | integer |
Optional | Ограничение памяти (Мб) |
Модель данных Occurrence
| Параметр | Тип данных | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор происшествия |
| created_at | string time |
Required | Дата создания происшестивя: date-time |
| updated_at | string time |
Required | Дата изменения происшествия: date-time |
| event_type | string |
Required | Тип происшествия. Допустимые значения: - manual_source - logmule_go_result - software_compliance_source - vulnerability - watchdog_result |
| ip | string |
Required | IP-адрес актива |
| mac | string |
Required | MAC-адрес актива |
| start_occurrence | string |
Required | Время первого изменения статуса в клиентской системе |
| end_occurrence | string |
Required | Время последнего изменения статуса в клиентской системе |
| service_asset_finding_status_change_id | string |
Required | Идентификатор операции смены статуса инцидента |
| service_asset_finding_id | string |
Required | Идентификатор инцидента |
| fqdn | string |
Required | FQDN актива |
| incident_identifier | string |
Required | Идентификатор инцидента во внешней системе |
| fincert_sync_status | number |
Required | Состояние синхронизации с внешней системой |
| fincert_id | string |
Required | Идентификатор внешней системы |
| sopka_sync_status | number |
Required | Состояние синхронизации с ГосСОПКА |
| sopka_id | string |
Required | Идентификатор ГосСОПКА |
| fincert_sync_result | string |
Required | Результат синхронизации с внешней системой |
| sopka_sync_result | string |
Required | Результат синхронизации с ГосСОПКА |
Модель данных ServiceAsset
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор актива |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| type | string |
Required | Тип актива |
| name | string |
Required | Название актива |
| description | string |
Optional | Описание актива |
| coordinates | string |
Optional | Координаты актива (не используется) |
| active | boolean |
Optional | Флаг активности |
| scan_id | string |
Optional | ID сканера активов (не используется) |
| value | integer |
Optional | Значимость актива В платформе значимость актива может принимать следующие значения: - 1 – ключевой; - 2 – важный; - 3 – некритичный; - 4 – распределенный; - 5 – тестовый. |
| client_note | string |
Optional | Клиентские заметки (не используется) |
| internal_note | string |
Optional | Внутренние заметки (не используется) |
| location | string |
Required | Расположение актива |
| network_exposure | integer |
Optional | Сетевая доступность актива. Тип сетевой видимости актива может принимать следующие значения: - 1 – актив напрямую подключен к сети Интернет; - 2 – актив располагается в демилитаризованной зоне (DMZ); - 3 – актив подключен к сети Интернет через Proxy-сервер; - 4 – актив имеет ограниченный доступ к сети Интернет и к ограниченному набору онлайн-сервисов. Например, тонкие клиенты, POS-терминалы, удаленные офисы; - 5 – актив не подключен к сети. |
| responsible_person | string |
Optional | Ответственное лицо |
| technical_specialist | string |
Optional | Технический специалист |
| responsible_group_id | string |
Optional | ID группы ответственных |
| edited_by | string |
Optional | Кем изменён (не используется) |
Модель данных ServiceAssetGroup
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор группы активов |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| name | string |
Required | Название группы активов |
| network_ranges | Array<string> |
Optional | Список подсетей |
| domain | string |
Optional | Домен |
| itsm_synced | boolean |
Optional | Признак синхронизации с системой управления ИТ-услугами |
| regex | string |
Optional | Регулярное выражение |
| subject_id | string |
Optional | Идентификатор субъекта |
| object_id | string |
Optional | Идентификатор обьекта |
| is_kii | boolean |
Optional | Призкак принадлежности к обьктам критической инфраструктуры |
| is_fincert | boolean |
Optional | Признак вхождения в систему информационного обмена между участниками финансового рынка |
| responsible_person | string |
Optional | Имя отвественного пользователя |
| technical_specialist | string |
Optional | Технический специалист |
| system_id | string |
Optional | Идентификатор системы |
| responsible_group_id | string |
Optional | Идентификатор отвественной группы |
| edited_by | string |
Optional | Идентификатор пользователя, внесшего изменения |