Модель
Модель данных ServiceAssetFinding
| Параметр | Тип данных | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор инцидента |
| created_at | string time |
Required | Дата создания в формате: date-time |
| updated_at | string time |
Required | Дата изменения в формате: date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| description | string |
Required | Подробное описание инцидента |
| risk_impact | string |
Required | Описание последствий, которые могут возникнуть, если угроза была реализована |
| solution | string |
Required | Рекомендации по устранению инцидента |
| mitigation | integer |
Required | Описание профилактики данного типа инцидента |
| status | string |
Required | Cостояние инцидента в зависимости от того какая с ним работа была проведена оператором. Допустимые значения: - assigned_customer - назначен; - closed - закрыт; - feedback_required - запрошена информация; - invalid - недействительный; - new - новый; - risk_accepted - риск принят - verify_close - ожидает проверки; - working_customer - в работе. Подробнее см. раздел Инциденты |
| risklevel | number |
Required | Уровень риска. Допустимые значения от "0" до "10" |
| service_asset_id | string |
Required | Идентификатор актива, на котором обнаружен инцидент |
| finding_id | string |
Required | Идентификатор типа инцидента |
| analysis_output | string |
Required | Результат анализа. Заполняемое поле в правиле корреляции. Например: на активе {{ .event.IP}} произошло… |
| synopsis | string |
Required | Краткое описание сути инцидентов данного типа |
| title | string |
Required | Название инцидента |
| risk | string |
Required | Описание уровня риска инцидента. Допустимые значения: - none; - low; - medium; - high. |
| acknowledged_at | string |
Required | Дата выявления / обнаружения инцидента |
| alert_type | string |
Required | Политика поведения платформы над инцидентом при "сработке" правила корреляции |
| client_note | string |
Optional | Заметки клиента |
| internal_note | string |
Optional | Внутреннее примечание |
| external | boolean |
Required | Эксплуатируема ли удаленно уязвимость, на основе которой создан инцидент |
| immediate_action_score | number |
Required | Cрочность инцидента. Результат перемножения уровня риска, которое было присвоено по результату сработки правила корреляции и “значимости актива”. при этом значимость актива из 2х параметров. Значимость и сетевая видимость. |
| throughput_period | string |
Required | Cтатус инцидент в логике оповещений операторов о задержке в обработке. Допустимые значения: - grace; - delay; - unacceptable. |
| throughput_period_change | string format: date-time |
Required | Время изменения поля throughput_period |
| customer_created | boolean |
Optional | Флаг, что создан пользователем, а не автоматически |
| c_visible_since | string |
Optional | Дата и время с которой инцидент виден пользователям |
| c_visible_since_in_days | integer |
Optional | Количество дней, в течение которых инцидент виден пользователям |
| c_reopened_count | integer |
Optional | Количество повторных открытий инцидента |
| c_last_customer_status_change | string |
Optional | Дата и время последнего изменения статуса инцидента пользователем |
| logmule_identifier | string |
Optional | Идентификатор, который можно задать в правиле (текстовое), а потом использовать для фильтрации. |
| c_remote_exploitable | boolean |
Required | Возможность удаленного использования |
| c_occurrence_count | integer |
Required | Количество происшествий в инциденте |
| с_customer_retention_time | integer |
Required | Количество времени удержания клиента |
| last_occurrence_id | string |
Required | Идентификатор последнего происшествия |
| itsm_last_synced_at | string format: date-time |
Optional | Время последнего изменения статуса происшествия, который был отправлен в стороннюю систему |
| itsm_sync_status | string |
Optional | Статус происшествия, отправленного в стороннюю систему. Допустимые значения: - scheduled; - aborted; - synced; - not_synced; - waiting_confirmation |
| external_id | string |
Optional | Идентификатор инцидента во внешней клиентской системе |
| itsm_sync_error | string |
Optional | Ошибка синхронизации с внешней клиентской системой |
| user_id | string |
Optional | Идентификатор пользователя назначенного на инцидент |
| updated_by | string |
Optional | Идентификатор пользователя, который последний обновил инцидент |
| group_id | string |
Optional | Группа пользователей назначенных на инцидент |
| acknowledged_by | string |
Optional | Идентификатор пользователя, который подтвердил инцидент |
| created_by_customer | string |
Optional | Идентификатор пользователя, который вручную создал инцидент |
| edited_by | string |
Optional | Идентификатор пользователя, который последний отредактировал инцидент, созданный вручную |
| incident_group_id | string |
Optional | Идентификатор группы инцидентов, в которую входит инцидент |
| reopened_at | string |
Optional | Время когда данный инцидент был открыт заново |
| display_id | integer |
Required | Идентификатор инцидента, созданный по алгоритму, который регулирует последовательность присвоения идентификаторов |
| service_asset_name | string |
Required | Название актива, на котором обнаружен инцидент |
| service_asset_active | boolean |
Required | Флаг активности актива |
| occurrence_count | integer |
Required | Количество происшествий |
| user_short_name | string |
Optional | Короткое имя пользователя |
| group_name | string |
Optional | Наименование группы, в которую добавлен инцидент |
| finding_display_id | integer |
Required | Идентификатор типа инцидента |
| reopened_count | integer |
Optional | Количество переоткрытий |
| event_type | string |
Optional | Тип связанных событий на основе привязанного правила |
| finding_type | string |
Required | Тип инцидента |
| ports | Array<integer> |
Required | Порты на которых найдена уязвимость |
| last_occurrence_id | string uuid |
Идентификатор последнего происшествия в формате uuid |
|
| service_asset_value | integer |
Required | Значимость актива |
| tag_titles | Array<string> |
Набор тэгов | |
| last_status_change | string time |
Optional | Дата последнего изменения статуса в формате: date-time |
| last_scan | string time |
Optional | Дата последнего выполненного сканирования актива в формате: date-time |
| authenticated | boolean |
Optional | Флаг проводилось ли сканирование актива с использованием сканера |
| last_occurrence | string time |
Optional | Дата последнего проиcшествия в формате: date-time |
| remote_exploitable | boolean |
Optional | Флаг эксплуатируема ли уязвимость удаленно |
| service_asset_network_exposure | integer |
Required | Сетевая доступность актива. Тип сетевой видимости актива может принимать следующие значения: - 1 – актив напрямую подключен к сети Интернет; - 2 – актив располагается в демилитаризованной зоне (DMZ); - 3 – актив подключен к сети Интернет через Proxy-сервер; - 4 – актив имеет ограниченный доступ к сети Интернет и к ограниченному набору онлайн-сервисов. Например, тонкие клиенты, POS-терминалы, удаленные офисы; - 5 – актив не подключен к сети. |
| finding_category | string |
Required | Категория типа инцидента |
| display_title | string |
Optional | Заголовок |
| customer_retention_time | integer |
Optional | Продолжительность работы клиента |
| visible_since | string time |
Optional | Дата, с которой инцидент виден пользователям в формате date-time |
| visible_since_in_days | integer |
Optional | Количество дней, в течение которых инцидент виден пользователям |
| last_customer_status_change | string time |
Optional | Дата последнего изменения статуса пользователем в формате: date-time |
| finding_title | string |
Required | Заголовок инцидента |
| incident_group_title | string |
Optional | Название группы инцидентов |
| custom_values | object |
Optional | Связанные поля заполненные вручную или при сработке правила |
| trace_id | string uuid |
Optional | Идентификатор действия для аудита жизненного цикла сущности в формате uuid |
| service_asset | object<ServiceAsset> |
Optional | Актив |
| finding | object |
Optional | Тип инцидента |
| last_occurrence_entity | object<Occurrence> |
Optional | Последнее происшествие |
| user | object |
Optional | Пользователь |
| group | object |
Optional | Группа пользователей |
| incident_group | object<IncidentGroup> |
Optional | Группа инцидентов |
| occurrences | Array<Occurrence> |
Optional | Массив связанных происшествий |
| custom_field_values | Array<CustomFieldValue> |
Optional | Массив значений дополнительных полей |
| comments | Array<object> |
Optional | Комментарии пользователей |
| documents | Array<object> |
Optional | Документы |
| messages | Array<Message> |
Optional | Связанные сообщения пользователей |
| service_asset_finding_status_changes | Array<ServiceAssetFindingStatusChange > |
Optional | Связанные операции по изменению статуса инцидента |
| service_asset_groups | Array<ServiceAssetGroup> |
Optional | Связанные группы активов |
| _relations | object<relations> |
Optional | Словарь, описывающий связанные модели через идентификаторы |
Модель данных ServiceAsset
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор актива |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| type | string |
Required | Тип актива |
| name | string |
Required | Название актива |
| description | string |
Optional | Описание актива |
| coordinates | string |
Optional | Координаты актива (не используется) |
| active | boolean |
Optional | Флаг активности |
| scan_id | string |
Optional | ID сканера активов (не используется) |
| value | integer |
Optional | Значимость актива В платформе значимость актива может принимать следующие значения: - 1 – ключевой; - 2 – важный; - 3 – некритичный; - 4 – распределенный; - 5 – тестовый. |
| client_note | string |
Optional | Клиентские заметки (не используется) |
| internal_note | string |
Optional | Внутренние заметки (не используется) |
| location | string |
Required | Расположение актива |
| network_exposure | integer |
Optional | Сетевая доступность актива. Тип сетевой видимости актива может принимать следующие значения: - 1 – актив напрямую подключен к сети Интернет; - 2 – актив располагается в демилитаризованной зоне (DMZ); - 3 – актив подключен к сети Интернет через Proxy-сервер; - 4 – актив имеет ограниченный доступ к сети Интернет и к ограниченному набору онлайн-сервисов. Например, тонкие клиенты, POS-терминалы, удаленные офисы; - 5 – актив не подключен к сети. |
| responsible_person | string |
Optional | Ответственное лицо |
| technical_specialist | string |
Optional | Технический специалист |
| responsible_group_id | string |
Optional | ID группы ответственных |
| edited_by | string |
Optional | Кем изменён (не используется) |
Модель данных Occurrence
| Параметр | Тип данных | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор происшествия |
| created_at | string time |
Required | Дата создания происшествия: date-time |
| updated_at | string time |
Required | Дата изменения происшествия: date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| event_type | string |
Required | Тип происшествия. Допустимые значения: - manual_source - logmule_go_result - software_compliance_source - vulnerability - watchdog_result |
| ip | string |
Required | IP-адрес актива |
| mac | string |
Required | MAC-адрес актива |
| start_occurrence | string |
Required | Время первого изменения статуса в клиентской системе |
| end_occurrence | string |
Required | Время последнего изменения статуса в клиентской системе |
| service_asset_finding_status_change_id | string |
Required | Идентификатор операции смены статуса инцидента |
| service_asset_finding_id | string |
Required | Идентификатор инцидента |
| fqdn | string |
Required | FQDN актива |
| incident_identifier | string |
Required | Идентификатор инцидента во внешней системе |
| fincert_sync_status | number |
Required | Состояние синхронизации с внешней системой |
| fincert_id | string |
Required | Идентификатор внешней системы |
| sopka_sync_status | number |
Required | Состояние синхронизации с CERT |
| sopka_id | string |
Required | Идентификатор CERT |
| fincert_sync_result | string |
Required | Результат синхронизации с внешней системой |
| sopka_sync_result | string |
Required | Результат синхронизации с CERT |
IncidentGroup
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| title | string |
Required | Название группы инцидентов |
| description | string |
Optional | Расширенное описание группы инцидентов |
| user_id | string |
Optional | Идентификатор назначенного пользователя |
| group_id | string |
Optional | Идентификатор назначенной группы пользователей |
Модель данных CustomFieldValue
| Параметр | Тип | Обязательность | Описание / Допустимые значения |
|---|---|---|---|
| custom_field_id | string |
Optional | Идентификатор значения дополнительного поля |
| service_asset_finding_id | string |
Optional | Идентификатор инцидента, в которое добавлено дополнительное поле |
| string_value | string |
Optional | Значение дополнительного поля с типом данных "строка" |
| integer_value | integer |
Optional | Значение дополнительного поля с типом данных "целое число" |
| float_value | number |
Optional | Значение дополнительного поля с типом данных "число с плавающей запятой" |
| date_value | date |
Optional | Значение дополнительного поля с типом данных "дата" |
| json_value | string |
Optional | Значение дополнительного поля с типом данных "JSON" |
| boolean_value | boolean |
Optional | Значение дополнительного поля с типом данных "логический" |
Модель данных Message
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор сообщения пользователя |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| subject | string |
Optional | Тема (Предмет) сообщения |
| body | string |
Optional | Тело сообщения |
| service_asset_id | string |
Optional | Идентификатор связанного актива |
| service_asset_finding_id | string |
Optional | Идентификатор связанного инцидента |
| service_asset_finding_status_change_id | string |
Optional | Идентификатор связанного изменения статуса инцидента |
| automated | boolean |
Optional | Флаг автоматического создания |
| finding_id | string |
Optional | Идентификатор связанного типа инцидента |
| itsm_sync_status | string |
Optional | Статус синхронизации с внешними системами. Допустимые значения: - not_synced - scheduled - aborted - synced - waiting_confirmation |
| itsm_last_synced_at | string |
Optional | Время синхронизации с внешними системами |
| itsm_sync_error | string |
Optional | Описание ошибки синхронизации |
| sender_id | string |
Optional | Идентификатор пользователя, инициировавшего синхронизацию |
ServiceAssetFindingStatusChange
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор операции смены статуса инцидента |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| trace_id | string |
Required | Идентификатор трассировки действия пользователя для аудита |
| service_asset_finding_id | string |
Required | Идентификатор инцидента |
| status | string |
Required | Cостояние инцидента в зависимости от того какая с ним работа была проведена оператором. Допустимые значения: - assigned_customer - назначен; - closed - закрыт; - feedback_required - запрошена информация; - invalid - недействительный; - new - новый; - risk_accepted - риск принят - verify_close - ожидает проверки; - working_customer - в работе. Подробнее см. раздел Инциденты |
| revisit_at | string |
Optional | Возвращен ли статус |
| itsm_sync_status | string |
Optional | Статус синхронизации с внешними системами. Допустимые значения: - scheduled; - aborted; - synced; - not_synced; - waiting_confirmation |
| itsm_last_synced_at | string |
Optional | Время синхронизации с внешними системами в формате date-time |
| itsm_sync_error | string |
Optional | Описание ошибки синхронизации |
| user_id | string |
Required | Идентификатор пользователя |
Модель данных ServiceAssetGroup
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор группы активов |
| created_at | string |
Required | Дата создания в формате date-time |
| updated_at | string |
Required | Дата изменения в формате date-time |
| name | string |
Required | Название группы активов |
| network_ranges | Array<string> |
Optional | Список подсетей |
| domain | string |
Optional | Домен |
| itsm_synced | boolean |
Optional | Признак синхронизации с системой управления ИТ-услугами |
| regex | string |
Optional | Регулярное выражение |
| subject_id | string |
Optional | Идентификатор субъекта |
| object_id | string |
Optional | Идентификатор объекта |
| is_kii | boolean |
Optional | Признак принадлежности к объектам критической инфраструктуры |
| is_fincert | boolean |
Optional | Признак вхождения в систему информационного обмена между участниками финансового рынка |
| responsible_person | string |
Optional | Имя ответственного пользователя |
| technical_specialist | string |
Optional | Технический специалист |
| system_id | string |
Optional | Идентификатор системы |
| responsible_group_id | string |
Optional | Идентификатор ответственной группы |
| edited_by | string |
Optional | Идентификатор пользователя, внесшего изменения |
Relations
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| occurrences | Array<string> |
Optional | Идентификаторы происшествий |
| custom_field_values | Array<string> |
Optional | Идентификаторы значений дополнительных полей |
| comments | Array<string> |
Optional | Идентификаторы комментариев |
| documents | Array<string> |
Optional | Связанные документы |
| messages | Array<string> |
Optional | Связанные сообщения пользователей |
| service_asset_finding_status_changes | Array<string> |
Optional | Связанные операции по изменению статуса инцидента |
| service_asset_groups | Array<string> |
Optional | Идентификаторы групп инцидентов |