Создание результата "сработки" правила в созданном происшествии

Запрос

Тип	Метод
`POST`	`/logmule_go_results/create_from_event_manual`

Описание: При выполнении запроса будет создан результат "сработки" правила корреляции с заданными параметрами в созданном происшествии.

Особенности метода:

eсли поле result.asset_info не пустое, то поле result.service_asset_id игнорируется;
обязательно должно быть задано поле или result.service_asset_id или result.asset_info;
обязательно должно быть задано поле или result.event или result.compressed_event, но только одно;

Пример запроса


POST
http://127.0.0.1/cruddy/v2/logmule_go_results/create_from_event_manual

Тело запроса:

Параметр	Тип	Обязательность	Описание
result	`object`<LogmuleGoResultCreate>	Required	Объект создания результата сработки правила корреляции
create_incident	`boolean`	Optional	Флаг, создать ли инцидент на основе результата сработки правила корреляции
assign_to_customer	`boolean`	Optional	Флаг, назначить ли инцидент пользователю
incident_group	`string`	Optional	Заголовок группы инцидентов (создаст новую группу, если такой нет)

LogmuleGoResultCreate

Параметр	Тип	Обязательность	Описание
trace_id	`string`	Required	Идентификатор трассировки действия пользователя для аудита
rule_id	`string`	Required	Идентификатор правила
analysis_output	`string`	Optional	Результат анализа
event	`Array<object>`	Optional	Массив событий
compressed_event	`string`	Optional	Событие одной строкой в формате `byte array`
risklevel	`number`	Optional	Уровень риска в формате `float`
occurred_at	`string`	Optional	Дата и время происшествия в формате: `date-time`
error	`string`	Optional	Ошибка
service_asset_id	`string`	Optional	Идентификатор актива
asset_info	`object`<asset>	Optional	Данные актива
incident_identifier	`string`	Optional	Идентификатор инцидента
metadata	`object`	Optional	Метаданные в формате `map`
mitre	`object`	Optional	Техники mitre в формате `map`

LogmuleGoResultsAsset

Параметр	Тип	Обязательность	Описание
ip	`string`	Required	IP-адрес актива
hostname	`string`	Required	Хостнейм актива
fqdn	`string`	Required	FQDN актива
mac	`string`	Required	MAC-адрес актива

Пример тела запроса


{
  "result": {
    "trace_id": "uuid",
    "rule_id": "uuid",
    "analysis_output": "string",
    "event": [
      {
        "uuid": "94a5ee25-435a-4943-b88b-9a108057d5fd"
      },
      {
        "uuid": "045f14f9-83c0-4075-bd9b-b690f9258149"
      }
    ],
    "compressed_event": "string",
    "risklevel": 5.35,
    "occurred_at": "2023-12-20T00:00:01.652259Z",
    "error": "string",
    "service_asset_id": "uuid",
    "asset_info": {
      "ip": "string",
      "hostname": "string",
      "fqdn": "string",
      "mac": "string"
    },
    "incident_identifier": "string",
    "metadata": {
      "key": "value"
    },
    "mitre": {
      "key": "value"
    }
  },
  "create_incident": true,
  "assign_to_customer": true,
  "incident_group": "test-group"
}

Успешный ответ

Статус код: 201 - успешное создание результата "сработки" правила.

Формат: JSON.

Тело ответа:

Параметр	Тип	Обязательность	Описание
id	`string`	Required	Идентификатор результата сработки правила
created_at	`string time`	Required	Дата создания результата сработки в формате: `date-time`
updated_at	`string time`	Required	Дата изменения результата сработки в формате: `date-time`
rule_id	`string`	Required	Идентификатор правила
analysis_output	`string`	Required	Результат анализа
event	`object`	Required	Событие строкой
compressed_event	`string array`	Required	Событие одной строкой в формате `byte array`
risklevel	`number float`	Required	Уровень риска в формате `float`
occurred_at	`string time`	Required	Дата и время происшествия в формате: `date-time`
occurrence_id	`string`	Required	Идентификатор происшествия
error	`string`	Required	Ошибка
service_asset_id	`string`	Required	Идентификатор актива
asset_info	`object`<asset>	Required	Данные актива
incident_identifier	`string`	Required	Идентификатор инцидента
metadata	`object`	Required	Дополнительные поля инцидента в формате `map`
mitre	`object`	Optional	Техники mitre в формате `map`
##### LogmuleGoResultsAsset

Параметр	Тип	Обязательность	Описание
ip	`string`	Required	IP-адрес актива
hostname	`string`	Required	Хостнейм актива
fqdn	`string`	Required	FQDN актива
mac	`string`	Required	MAC-адрес актива

Пример ответа


{
  "id": "497f6eca-6276-4993-bfeb-53cbbbba6f08",
  "created_at": "2023-12-20T00:00:01.652259Z",
  "updated_at": "2023-12-20T00:00:01.652259Z",
  "rule_id": "uuid",
  "analysis_output": "string",
  "event": [
    {
      "uuid": "94a5ee25-435a-4943-b88b-9a108057d5fd"
    },
    {
      "uuid": "045f14f9-83c0-4075-bd9b-b690f9258149"
    }
  ],
  "compressed_event": "string",
  "risklevel": 5.35,
  "occurred_at": "2023-12-20T00:00:01.652259Z",
  "occurrence_id": "uuid",
  "error": "string",
  "service_asset_id": "uuid",
  "asset_info": {
    "ip": "string",
    "hostname": "string",
    "fqdn": "string",
    "mac": "string"
  },
  "incident_identifier": "string",
  "metadata": {
    "key": "value"
  },
  "mitre": {
    "key": "value"
  }
}

Другие возможные ответы

Код	Ответ	Описание
`400`	1.`Bad Request` 2. `name_already_use` 3. `rule ID is empty` 4. `‘service_asset_id’ and ‘asset_info’ are empty` 5. `events are empty` 6. `only one of ‘event’ or ‘compressed_event’ must be specified` 7. `try decompress event`	1. Неверный тип параметра запроса, либо отсутствует обязательный параметр 2. Попытка создать объект с существующим уникальным атрибутом 3. ID правила не задан 4. Не указаны ID или инфо актива 5. Поля `result.event` и `result.asset_info` пустые 6. Только одно из полей `result.event`, `result.compressed_event` может быть задано 7. Не удалось распаковать поле `compressed_event` (если оно передано)
`404`	`Not Found`	Редактируемый объект не найден в БД
`500`	`Internal Server Error`	Другие ошибки при редактировании объекта

Примечание: Текст ошибки не фиксированный, может изменяться в зависимости от фактического ответа получателя запроса.

Пример ответа

Код 400


{
  "error": "Bad Request",
  "error_code": 400
}

Код 500


{
  "error": "Internal Server Error",
  "error_code": 500
}