获取 /siem/offenses
总结 检索系统中当前的攻击列表。
检索系统中当前的攻击列表。
| MIME 类型 |
|---|
application/json |
| 参数 | 类型 | 可选性 | 数据类型 | MIME 类型 | 说明 |
|---|---|---|---|---|---|
范围 |
页眉 |
自选 |
字符串 |
文本/纯文本 |
可选 - 使用此参数可将列表中返回的元素数限制为指定范围。该列表从零开始编制索引。 |
领域 |
查询 |
自选 |
字符串 |
文本/纯文本 |
可选 - 使用此参数指定要在响应中返回的字段。未命名的字段被排除在外。在括号中指定子字段,同一对象中的多个字段用逗号分隔。 |
滤波器 |
查询 |
自选 |
字符串 |
文本/纯文本 |
可选 - 此参数用于根据各种字段的内容限制列表中的元素。 |
排序 |
查询 |
自选 |
字符串 |
文本/纯文本 |
可选 - 此参数用于对列表中的元素进行排序。 |
| HTTP 响应代码 | 唯一代码 | 说明 |
|---|---|---|
200 |
|
已检索到攻击列表。 |
422 |
1005 |
request 参数无效。 |
422 |
1030 |
排序字段或顺序无效 |
422 |
1010 |
filter 参数无效。 |
500 |
1020 |
检索违规列表时出错。 |
响应说明
Offense 对象的数组。Offense 对象包含以下字段:
- id - Number - 犯罪的 ID。(可过滤。可排序。
- description - String - 对冒犯的描述。
- assigned_to - 字符串 - 将攻击分配给的用户。(可过滤。可排序。
- categories - 字符串数组 - 与攻击关联的事件类别。(可过滤。可排序。
- category_count - 数字 - 与攻击关联的事件类别数。(可过滤。可排序。
- policy_category_count - 数字 - 与攻击关联的策略事件类别的数量。(可过滤。可排序。
- security_category_count - 数字 - 与攻击关联的安全事件类别的数量。(可过滤。可排序。
- close_time - 数字 - 自纪元以来关闭攻击的毫秒数。(可过滤。可排序。
- closing_user - 字符串 - 关闭攻击的用户。(可过滤。可排序。
- closing_reason_id - 数字 - 违规关闭原因的 ID。犯罪被关闭的原因。(可过滤。可排序。
- 可信度 - 数字 - 犯罪的可信度。(可过滤。可排序。
- relevance - 数字 - 犯罪的相关性。(可过滤。可排序。
- severity - 数字 - 冒犯的严重性。(可过滤。可排序。
- magnitude - 数字 - 犯罪的程度。(可过滤。可排序。
- destination_networks - 字符串数组 - 与攻击关联的目标网络。(可过滤。
- source_network - 字符串 - 与攻击关联的源网络。
- device_count - 编号 - 与攻击关联的设备数。(可过滤。可排序。
- event_count - 数字 - 与攻击关联的事件数。(可过滤。可排序。
- flow_count - 数量 - 与攻击关联的流数。(可过滤。可排序。
- inactive - Boolean - 如果进攻处于非活动状态,则为 true。(可过滤。可排序。
- last_updated_time - 数字 - 自纪元以来看到导致攻击的最后一个事件的毫秒数。(可过滤。可排序。
- local_destination_count - 编号 - 与攻击关联的本地目标数。(可过滤。
- offense_source - 字符串 - 攻击的来源。(可排序。
- offense_type - 数字 - 表示攻击类型的数字。使用 GET /siem/offense_types 检索列表。(可过滤。可排序。
- protected - Boolean - 如果进攻受到保护,则为 true。(可过滤。可排序。
- follow_up - 布尔值 - 如果违规行为被标记为跟进,则为真。(可过滤。可排序。
- remote_destination_count - 数量 - 与攻击关联的远程目标数。(可过滤。可排序。
- source_count - 数量 - 与攻击关联的来源数量。(可过滤。
- start_time - 数字 - 自开始攻击的纪元以来的毫秒数。(可过滤。可排序。
- status - 字符串 - 进攻的状态。“OPEN”、“HIDDEN”或“CLOSED”之一。(可过滤,但不支持以下运算符:<、>、<=、>=、BETWEEN。可排序。
- username_count - 编号 - 与攻击关联的用户名数。(可过滤。可排序。
- source_address_ids - 数字数组 -与攻击关联的源地址 ID。(可过滤。
- local_destination_address_ids - 数字数组 - 与攻击关联的本地目标地址 ID。(可过滤。
- domain_id - 数字 - 可选。如果攻击与单个域相关联,则关联域的 ID。(可过滤。
- last_persisted_time - 数字 - 自纪元以来上次更新违规字段的毫秒数。(可过滤。可排序。
- first_persisted_time - 数字 - 自创建攻击时的纪元以来的毫秒数。(可过滤。可排序。
- rules - 数组 - 导致攻击的规则数组(可过滤)。
- id - 长 - 规则的 ID。
- type - String - 规则的类型。“ADE_RULE”、“BUILDING_BLOCK_RULE”或“CRE_RULE”之一。
- log_sources - 数组 - 导致攻击的日志源数组 (Filterable.):
- id - Long - 日志源的 ID。
- name - String - 日志源的名称。
- type_id - 长 - 日志源类型的 ID。
- type_name - 字符串 - 日志源类型的名称。
响应示例
[{"last_persisted_time": 42, "username_count": 42, "description": "String", "rules": [{"id": 42, "type": "String <one of: ADE_RULE, BUILDING_BLOCK_RULE, CRE_RULE>"}], "event_count": 42, "flow_count": 42, "assigned_to": "String", "security_category_count": 42, "follow_up": true, "source_address_ids": [42], "source_count": 42, "inactive": true, "protected": true, "category_count": 42, "source_network": "String", "destination_networks": ["String"], "closing_user": "String", "close_time": 42, "remote_destination_count": 42, "start_time": 42, "last_updated_time": 42, "credibility": 42, "magnitude": 42, "id": 42, "categories": ["String"], "severity": 42, "log_sources": [{"type_name": "String", "type_id": 42, "name": "String", "id": 42}], "policy_category_count": 42, "device_count": 42, "closing_reason_id": 42, "first_persisted_time": 42, "offense_type": 42, "relevance": 42, "domain_id": 42, "offense_source": "String", "local_destination_address_ids": [42], "local_destination_count": 42, "status": "String <one of: OPEN, HIDDEN, CLOSED>"}]