Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

tenantID

Строка

Да

Идентификатор тенанта.

Если у пользователя нет права Чтение для любого из указанного тенанта, запрос не выполняется.

00000000-0000-0000-0000-000000000000

{"TenantID":"{tenantID}", "ID":"2", "Name": "newRule1", "Priority": 1, ...}

Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

id

Строка

Нет

Идентификатор правила (UUID).

Идентификатором правила по умолчанию является 8e5405a7-6740-471f-a15d-9f9414974060.

00000000-0000-0000-0000-000000000000

name

Строка

Да

Rule name.

Rule1

description

Строка

Нет

Описание правила.

Агрегировать по pentest user name

tenantID

Строка

Да

Идентификатор тенанта (UUID).

00000000-0000-0000-0000-000000000000

enabled

логический оператор

Да

Указывает, следует ли включить правило.

Да

trigger

Строка

Да

Правило срабатывания. Выражение jq, которое должно возвращать булево значение.

any(.Observables[]? | select(.Type == "username") | .Value; . == "Alice" or . == "Bob")

aggregationID

Строка

Да

Идентификатор правила агрегации. Выражение jq, которое должно возвращать строковое значение.

PentestByUserName

alertName

Строка

Да

Название алерта. Выражение jq, которое должно возвращать строковое значение.

В примере справа имя правила берется из первого агрегированного события. Последующие агрегированные события не влияют на итоговое имя алерта.

"[PentestByUserName] " + ([.Rules[]?.Name] | join(","))

aggregationInterval

объект:

• значение, int32, минимум 1;
• единица измерения: секунды, минуты.

Нет

Интервал поиска (по умолчанию 30 секунд).

45

maxAlertsInAggregate

целое число

Нет

Максимальное количество алертов для агрегации. Минимум – 1. Максимум – 100.

10

priority

целое число

Нет

Приоритет правила.

2

HTTP-код

Описание

Значение поля message

Значение поля details

400

Правило с указанным именем уже существует.

Переменная.

Переменная.