Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

tenantID

Строка

Да

Идентификатор тенанта.

Если у пользователя нет права Чтение для любого из указанных тенантов, запрос не выполняется.

00000000-0000-0000-0000-000000000000

[

{"TenantID":"{tenantID}", "ID":"1", "Name": "name1", "Priority": 0, ...},

{"TenantID":"{tenantID}", "ID":"2", "Name": "name2", "Priority": 1, ...},

]

Имя

Тип данных

Описание

Пример значения

id

Строка

Идентификатор правила (UUID).

Идентификатором правила по умолчанию является 8e5405a7-6740-471f-a15d-9f9414974060.

00000000-0000-0000-0000-000000000000

name

Строка

Имя правила.

Rule1

description

Строка

Описание правила.

Агрегировать по pentest user name

tenantID

Строка

Идентификатор тенанта (UUID).

00000000-0000-0000-0000-000000000000

enabled

логический оператор

Указывает, следует ли включить правило.

Да

trigger

Строка

Правило срабатывания. Выражение jq, которое должно возвращать булево значение.

any(.Observables[]? | select(.Type == "username") | .Value; . == "Alice" or . == "Bob")

aggregationID

Строка

Идентификатор правила агрегации. Выражение jq, которое должно возвращать строковое значение.

PentestByUserName

alertName

Строка

Название инцидента. Выражение jq, которое должно возвращать строковое значение.

В примере справа имя правила берется из первого агрегированного события. Последующие агрегированные события не влияют на итоговое имя алерта.

"[PentestByUserName] " + ([.Rules[]?.Name] | join(","))

aggregationInterval

объект:

• значение, int32, минимум 1;
• единица измерения: секунды, минуты.

Интервал поиска (по умолчанию 30 секунд).

45

maxAlertsInAggregate

целое число

Максимальное количество алертов для агрегации. Минимум – 1. Максимум – 100.

10

priority

целое число

Приоритет правила.

2

HTTP-код

Описание

Значение поля message

Значение поля details

500

Любые другие внутренние ошибки.

Переменная.

Переменная.