Модель
Модель данных Occurrence
| Параметр | Тип данных | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор происшествия |
| created_at | string |
Required | Дата создания происшествия в формате: date-time |
| updated_at | string |
Required | Дата изменения происшествия в формате: date-time |
| event_type | string |
Required | Тип происшествия. Допустимые значения: - manual_source - logmule_go_result - software_compliance_source - vulnerability - watchdog_result |
| ip | string |
Required | IP-адрес актива |
| mac | string |
Required | MAC-адрес актива |
| port | integer |
Required | Порт |
| start_occurrence | string |
Required | Время первого изменения статуса в клиентской системе |
| end_occurrence | string |
Required | Время последнего изменения статуса в клиентской системе |
| service_asset_finding_status_change_id | string |
Required | Идентификатор операции смены статуса инцидента |
| service_asset_finding_id | string |
Required | Идентификатор инцидента |
| fqdn | string |
Required | FQDN актива |
| incident_identifier | string |
Required | Идентификатор инцидента во внешней системе |
| fincert_sync_status | number |
Required | Состояние синхронизации с внешней системой |
| fincert_id | string |
Required | Идентификатор внешней системы |
| sopka_sync_status | number |
Required | Состояние синхронизации с CERT |
| sopka_id | string |
Required | Идентификатор CERT |
| fincert_sync_result | string |
Required | Результат синхронизации с внешней системой |
| sopka_sync_result | string |
Required | Результат синхронизации с CERT |
| service_asset_finding | Array<ServiceAssetFindingNoRelations> |
Required | Инцидент |
| service_asset_finding_status_change | object<ServiceAssetFindingStatusChange> |
Required | Смена статуса инцидента |
| vulnerabilities | Array<Vulnerability> |
Required | Уязвимости |
| logmule_go_results | Array<LogmuleGoResults> |
Required | Результат работы правила корреляции |
| _relations | object |
Required | Словарь, описывающий связанные модели через идентификаторы |
| _relations{logmule_go_results} | Array<string> |
Required | Результаты работы правил корреляции |
| _relations{vulnerabilities} | Array<string> |
Required | Связанные уязвимости |
Модель данных ServiceAssetFindingNoRelations
| Параметр | Тип данных | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор инцидента |
| created_at | string time |
Required | Дата создания в формате: date-time |
| updated_at | string time |
Required | Дата изменения в формате: date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| description | string |
Required | Подробное описание инцидента |
| risk_impact | string |
Required | Описание последствий, которые могут возникнуть, если угроза была реализована |
| solution | string |
Required | Рекомендации по устранению инцидента |
| mitigation | integer |
Required | Описание профилактики данного типа инцидента |
| status | string |
Required | Cостояние инцидента в зависимости от того какая с ним работа была проведена оператором. Допустимые значения: - assigned_customer - назначен; - closed - закрыт; - feedback_required - запрошена информация; - invalid - недействительный; - new - новый; - risk_accepted - риск принят - verify_close - ожидает проверки; - working_customer - в работе. Подробнее см. раздел Инциденты |
| risklevel | number |
Required | Уровень риска. Допустимые значения от "0" до "10" |
| service_asset_id | string |
Required | Идентификатор актива, на котором обнаружен инцидент |
| finding_id | string |
Required | Идентификатор типа инцидента |
| analysis_output | string |
Required | Результат анализа. Заполняемое поле в правиле корреляции. Например: на активе {{ .event.IP}} произошло… |
| synopsis | string |
Required | Краткое описание сути инцидентов данного типа |
| title | string |
Required | Название инцидента |
| risk | string |
Required | Описание уровня риска инцидента. Допустимые значения: - none; - low; - medium; - high. |
| acknowledged_at | string |
Required | Дата выявления / обнаружения инцидента |
| alert_type | string |
Required | Политика поведения платформы над инцидентом при "сработке" правила корреляции |
| client_note | string |
Optional | Заметки клиента |
| internal_note | string |
Optional | Внутреннее примечание |
| external | boolean |
Required | Эксплуатируема ли удаленно уязвимость, на основе которой создан инцидент |
| immediate_action_score | number |
Required | Cрочность инцидента. Результат перемножения уровня риска, которое было присвоено по результату сработки правила корреляции и “значимости актива”. при этом значимость актива из 2х параметров. Значимость и сетевая видимость. |
| throughput_period | string |
Required | Cтатус инцидент в логике оповещений операторов о задержке в обработке. Допустимые значения: - grace; - delay; - unacceptable. |
| throughput_period_change | string format: date-time |
Required | Время изменения поля throughput_period |
| customer_created | boolean |
Optional | Флаг, что создан пользователем, а не автоматически |
| c_visible_since | string |
Optional | Дата и время с которой инцидент виден пользователям |
| c_visible_since_in_days | integer |
Optional | Количество дней, в течение которых инцидент виден пользователям |
| c_reopened_count | integer |
Optional | Количество повторных открытий инцидента |
| c_last_customer_status_change | string |
Optional | Дата и время последнего изменения статуса инцидента пользователем |
| logmule_identifier | string |
Optional | Идентификатор, который можно задать в правиле (текстовое), а потом использовать для фильтрации. |
| c_remote_exploitable | boolean |
Required | Возможность удаленного использования |
| c_occurrence_count | integer |
Required | Количество происшествий в инциденте |
| с_customer_retention_time | integer |
Required | Коэффициент задержки пользователя |
| last_occurrence_id | string |
Required | Идентификатор последнего происшествия |
| itsm_last_synced_at | string format: date-time |
Optional | Время последнего изменения статуса происшествия, который был отправлен в стороннюю систему |
| itsm_sync_status | string |
Optional | Статус происшествия, отправленного в стороннюю систему. Допустимые значения: - scheduled; - aborted; - synced; - not_synced; - waiting_confirmation |
| external_id | string |
Optional | Идентификатор инцидента во внешней клиентской системе |
| itsm_sync_error | string |
Optional | Ошибка синхронизации с внешней клиентской системой |
| user_id | string |
Optional | Идентификатор пользователя назначенного на инцидент |
| updated_by | string |
Optional | Идентификатор пользователя, который последний обновил инцидент |
| group_id | string |
Optional | Группа пользователей назначенных на инцидент |
| acknowledged_by | string |
Optional | Идентификатор пользователя, который подтвердил инцидент |
| created_by_customer | string |
Optional | Идентификатор пользователя, который вручную создал инцидент |
| edited_by | string |
Optional | Идентификатор пользователя, который последний отредактировал инцидент, созданный вручную |
| incident_group_id | string |
Optional | Идентификатор группы инцидентов, в которую входит инцидент |
| reopened_at | string |
Optional | Время когда данный инцидент был открыт заново |
| display_id | integer |
Required | Идентификатор инцидента, созданный по алгоритму, который регулирует последовательность присвоения идентификаторов |
ServiceAssetFindingStatusChange
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор операции смены статуса инцидента |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| service_asset_finding_id | string |
Required | Идентификатор инцидента |
| status | string |
Required | Cостояние инцидента в зависимости от того какая с ним работа была проведена оператором. Допустимые значения: - assigned_customer - назначен; - closed - закрыт; - feedback_required - запрошена информация; - invalid - недействительный; - new - новый; - risk_accepted - риск принят - verify_close - ожидает проверки; - working_customer - в работе. Подробнее см. раздел Инциденты |
| revisit_at | string |
Optional | Возвращен ли статус |
| itsm_sync_status | string |
Optional | Статус синхронизации с внешними системами. Допустимые значения: - scheduled; - aborted; - synced; - not_synced; - waiting_confirmation |
| itsm_last_synced_at | string |
Optional | Время синхронизации с внешними системами в формате date-time |
| itsm_sync_error | string |
Optional | Описание ошибки синхронизации |
| user_id | string |
Required | Идентификатор пользователя |
Модель данных Vulnerability
| Параметр | Тип данных | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор |
| created_at | string |
Required | Дата создания в формате: date-time |
| updated_at | string |
Required | Дата изменения в формате: date-time |
| plugin_id | integer |
Optional | ID плагина |
| plugin_name | string |
Optional | Название плагина |
| description | string |
Optional | Описание уязвимости |
| severity | integer |
Optional | Важность |
| additional_data | Array<object> |
Optional | Дополнительные данные в формате map<string,string> |
| protocol | string |
Optional | Тип протокола (tcp, udp и пр.). “-1”, если не определён |
| port | integer |
Optional | Порт |
| occurrence_id | string |
Optional | ID происшествия в формате uuid |
| synopsis | string |
Optional | Краткое описание |
| vulnerability_host_id | string |
Optional | ID хоста уязвимости |
| exploitable | boolean/null |
Optional | Флаг возможности использования |
| plugin_output | string |
Optional | Результат работы плагина, зависит от типа отчета (сканирования) |
| solution | string |
Optional | Алгоритм устранения уязвимости |
| compare_port | integer |
Optional | При создании из результата сканирования, совпадает с полем port |
| compare_protocol | string |
Optional | При создании из результата сканирования, совпадает с полем protocol |
| service_asset_id | string |
Optional | ID актива |
| vulnerability_scan_id | string |
Optional | ID результата сканирования (отчёта) |
| external | boolean |
Optional | Флаг внешней уязвимости |
| remote_exploitable | boolean |
Optional | Флаг возможности удалённого использования |
| cvss_vector | string |
Optional | Вектор метрик оценки по CVSS |
| cvss_temporal_vector | string |
Optional | Вектор временных метрик оценки по CVSS |
| cvss_base_score | number |
Optional | Оценка уязвимости по CVSS |
| cvss_temporal_score | number |
Optional | Временная оценка уязвимости по CVSS |
| risk_factor | string |
Optional | Текстовая степень важности (none, low, medium и т.д.) |
| plugin_modification_date | string |
Optional | Дата изменения плагина (не связано с изменениями в БД, заполняется из результата сканирования) в формате: date-time |
| publication_date | string |
Optional | Дата публикации в формате: date-time |