Добавление результата к инциденту
Запрос
| Тип | Метод |
|---|---|
POST |
/logmule_go_results/add_to_incident |
Описание: При выполнении запроса, выбранный результат будет добавлен к инциденту.
Пример запроса
POST
http://127.0.0.1/cruddy/v2/logmule_go_results/add_to_incident
Тело запроса:
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| service_asset_finding_id | string |
Required | Идентификатор инцидента в формате uuid |
| assign_to_customer | boolean |
Optional | Флаг, назначить ли инцидент пользователю |
| result | object<LogmuleGoResultCreate> |
Required | Объект создания результата сработки правила корреляции |
LogmuleGoResultCreate
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| rule_id | string |
Required | Идентификатор правила |
| analysis_output | string |
Optional | Результат анализа |
| event | Array<object> |
Optional | Массив событий |
| compressed_event | string |
Optional | Событие одной строкой в формате byte array |
| risklevel | number |
Optional | Уровень риска в формате float |
| occurred_at | string |
Optional | Дата и время происшествия в формате: date-time |
| error | string |
Optional | Ошибка |
| service_asset_id | string |
Optional | Идентификатор актива |
| asset_info | object<asset> |
Optional | Данные актива |
| incident_identifier | string |
Optional | Идентификатор инцидента |
| metadata | object |
Optional | Метаданные в формате map |
| mitre | object |
Optional | Техники mitre в формате map |
LogmuleGoResultsAsset
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| ip | string |
Required | IP-адрес актива |
| hostname | string |
Required | Хостнейм актива |
| fqdn | string |
Required | FQDN актива |
| mac | string |
Required | MAC-адрес актива |
Пример тела запроса
{
"service_asset_finding_id": "uuid",
"assign_to_customer": true,
"result": {
"trace_id": "uuid",
"rule_id": "uuid",
"analysis_output": "string",
"event": [
{
"uuid": "94a5ee25-435a-4943-b88b-9a108057d5fd"
},
{
"uuid": "045f14f9-83c0-4075-bd9b-b690f9258149"
}
],
"compressed_event": "string",
"risklevel": 5.35,
"occurred_at": "2023-12-20T00:00:01.652259Z",
"error": "string",
"service_asset_id": "uuid",
"asset_info": {
"ip": "string",
"hostname": "string",
"fqdn": "string",
"mac": "string"
},
"incident_identifier": "string",
"metadata": {
"key": "value"
},
"mitre": {
"key": "value"
}
}
}
Успешный ответ
Статус код: 200 – успешное создание результата и добавление его к инциденту.
Формат: JSON.
Тело ответа:
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор результата сработки правила |
| created_at | string time |
Required | Дата создания результата сработки в формате: date-time |
| updated_at | string time |
Required | Дата изменения результата сработки в формате: date-time |
| rule_id | string |
Required | Идентификатор правила |
| analysis_output | string |
Required | Результат анализа |
| event | object |
Required | Событие строкой |
| compressed_event | string array |
Required | Событие одной строкой в формате byte array |
| risklevel | number float |
Required | Уровень риска в формате float |
| occurred_at | string time |
Required | Дата и время происшествия в формате: date-time |
| occurrence_id | string |
Required | Идентификатор происшествия |
| error | string |
Required | Ошибка |
| service_asset_id | string |
Required | Идентификатор актива |
| asset_info | object<asset> |
Required | Данные актива |
| incident_identifier | string |
Required | Идентификатор инцидента |
| metadata | object |
Required | Дополнительные поля инцидента в формате map |
| mitre | object |
Optional | Техники mitre в формате map |
| ##### LogmuleGoResultsAsset |
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| ip | string |
Required | IP-адрес актива |
| hostname | string |
Required | Хостнейм актива |
| fqdn | string |
Required | FQDN актива |
| mac | string |
Required | MAC-адрес актива |
Пример ответа
{
"id": "497f6eca-6276-4993-bfeb-53cbbbba6f08",
"created_at": "2023-12-20T00:00:01.652259Z",
"updated_at": "2023-12-20T00:00:01.652259Z",
"rule_id": "uuid",
"analysis_output": "string",
"event": [
{
"uuid": "94a5ee25-435a-4943-b88b-9a108057d5fd"
},
{
"uuid": "045f14f9-83c0-4075-bd9b-b690f9258149"
}
],
"compressed_event": "string",
"risklevel": 5.35,
"occurred_at": "2023-12-20T00:00:01.652259Z",
"occurrence_id": "uuid",
"error": "string",
"service_asset_id": "uuid",
"asset_info": {
"ip": "string",
"hostname": "string",
"fqdn": "string",
"mac": "string"
},
"incident_identifier": "string",
"metadata": {
"key": "value"
},
"mitre": {
"key": "value"
}
}
Другие возможные ответы
| Код | Ответ | Описание |
|---|---|---|
400 |
1. Bad Request2. service_asset_finding_id is empty3. rule ID is empty4. events are empty5. only one of ‘event’ or ‘compressed_event’ must be specified |
1. Неверный тип параметра запроса, либо отсутствует обязательный параметр 2. Не указан идентификатор инцидента 3. Не указан идентификатор правила 4. Поля result.event и result.asset_info пустые5. Только одно из полей result.event, result.compressed_event может быть задано |
404 |
Not Found |
Редактируемый объект не найден в БД |
500 |
Internal Server Error |
Другие ошибки при редактировании объекта |
Примечание: Текст ошибки не фиксированный, может изменяться в зависимости от фактического ответа получателя запроса.
Пример ответа
Код 400
{
"error": "Bad Request",
"error_code": 400
}
Код 404
{
"error": "Not Found",
"error_code": 404
}
Код 500
{
"error": "Internal Server Error",
"error_code": 500
}