Alert
Recupero di tutti gli alert
Richiesta
Definizione
GET /api/v1/alerts
Headers
-
AuthorizationrichiestoToken di autenticazione con privilegi di lettura della risorsa.
Bearer {token}
Parametri query string
| Parametro | Tipo | Richiesto | Descrizione |
|---|---|---|---|
paginate | boolean | Si | Indica se il risultato debba essere paginato. |
page | integer | Si se paginate è true | Indice della pagina. |
page_size | integer | Si se paginate è true | Numero di elementi visualizzati per pagina. |
kind | integer | No | Filtra i risultati il cui codice identificativo della tipologia di alert corrisponde a quello inserito. |
attack_code | string | No | Filtra i risultati il cui codice identificativo della tipologia di attacco corrisponde a quello inserito. |
attack_code_list | array<string> | No | Filtra i risultati il cui codice identificativo della tipologia di attacco corrisponde a uno degli elementi della lista. |
attack_name | string | No | Filtra i risultati la cui tipologia di attacco corrisponde alla stringa inserita. |
attack_name_list | array<string> | No | Filtra i risultati la cui tipologia di attacco corrisponde a uno degli elementi della lista. |
pattern | string | No | Filtra i risultati che contengono il pattern ricercato. |
pattern_search | string | No | Filtra i risultati il cui pattern corrisponde interamente o parzialmente alla stringa inserita. |
rq_host | string | No | Filtra i risultati il cui header Host corrisponde alla stringa inserita. |
rq_host_list | array<string> | No | Filtra i risultati il cui header Host corrisponde a uno degli elementi della lista. |
rq_host_search | string | No | Filtra i risultati il cui header Host corrisponde interamente o parzialmente alla stringa inserita. |
detection_time_start | integer | No | Filtra i risultati rilevati dopo la data inserita. |
detection_time_end | integer | No | Filtra i risultati rilevati prima della data inserita. |
first_seen_start | integer | No | Filtra i risultati la cui prima comparsa è avvenuta dopo la data inserita. |
first_seen_end | integer | No | Filtra i risultati la cui prima comparsa è avvenuta prima della data inserita. |
last_seen_start | integer | No | Filtra i risultati la cui ultima comparsa è avvenuta dopo la data inserita. |
last_seen_end | integer | No | Filtra i risultati la cui ultima comparsa è avvenuta dopo la data inserita. |
client_address_list | array<string> | No | Filtra i risultati che contengono almeno uno degli indirizzi IP della lista. |
status_code_list | array<integer> | No | Filtra i risultati che contengono almeno uno dei codici di risposta indicati nella lista. |
Risposta
Codici di stato
| Codice di stato | Messaggio |
|---|---|
| 200 | "List of alerts" |
| 400 | "Error with pagination fields" |
| 403 | "Forbidden" |
Corpo
- Attributi
- Esempio
-
data.alerts.attack_categorystringCategoria di attacco.
-
data.alerts.attack_codestringCodice identificativo della tipologia di attacco.
-
data.alerts.attack_namestringTipologia di attacco.
-
data.alerts.client_addressesarray<string>Lista di indirizzi IP responsabili della segnalazione.
-
data.alerts.additional_info.cwearray<object>Lista di Common Weakness Enumeration associati all'alert.
-
data.alerts.detection_timeintegerData di rilevazione.
-
data.alerts.first_seenintegerData della prima comparsa dell'alert.
-
data.alerts.idstringCodice identificativo dell'alert.
-
data.alerts.kindintegerCodice identificativo per la tipologia di alert. Lo
0indica un Activity alert, mentre1indica un Identity alert. -
data.alerts.last_seeninteger,Data dell'ultima comparsa dell'alert.
-
data.alerts.patternstringCaratteristica principale comune alle diverse transazioni che identifica il tentativo di attacco.
-
data.alerts.riskstringStringa che descrive il livello di rischio dell'alert.
-
data.alerts.rq_hoststringHeader Host indicato nella richiesta.
-
data.alerts.status_codesarray<integer>Codici di risposta delle richieste a cui l'alert fa riferimento.
-
data.alerts.target_specsobjectSpecifiche sul target e sul contesto dell'attacco.
-
data.alerts.additional_infoobjectInformazioni aggiuntive sull'alert.
{
"data": {
"alerts": [
{
"additional_info": {
"cwe": [
{
"abstraction": "Pillar",
"id": "707",
"link": "https://cwe.mitre.org/data/definitions/707.html",
"name": "Improper Neutralization"
},
{
"abstraction": "Class",
"id": "74",
"link": "https://cwe.mitre.org/data/definitions/74.html",
"name": "Improper Neutralization of Special Elements in Output Used by a Downstream Component (Injection)"
},
{
"abstraction": "Class",
"id": "77",
"link": "https://cwe.mitre.org/data/definitions/77.html",
"name": "Improper Neutralization of Special Elements used in a Command (Command Injection)"
}
]
},
"attack_category": "Injection",
"attack_code": "2-2-0",
"attack_name": "Command injection",
"client_addresses": [
"10.2.3.4",
"10.9.1.2"
],
"cve": null,
"detection_time": 1705497149071355,
"first_seen": 1651131895000000,
"id": "urWAuxxxxxqiCOydxxxxx+WmFXuyxPxxxxx£1sgxx1c=",
"kind": 0,
"last_seen": 1651131895000000,
"pattern": "rm -rf",
"risk": null,
"rq_host": "xxxxxxxxx.it",
"status_codes": [
404,
400
],
"target_specs": {
"parameter_value": [
{
"client_addresses": [
"10.9.1.2",
"10.2.3.4"
],
"payloads": [
"rm -rf"
],
"specs": {
"parameter_key": "key",
"path": "/example/of/path",
"request:Host": "xxxxxxxxx.it"
}
}
]
}
}
]
},
"message": "List of alerts",
"pagination": {
"first": 1,
"last": 1,
"page": 0,
"total_count": 1,
"total_pages": 1
},
"status": "ok"
}
Recupero di un singolo alert
Richiesta
Definizione
GET /api/v1/alerts/{alert_id}
Headers
-
AuthorizationrichiestoToken di autenticazione con privilegi di lettura della risorsa.
Bearer {token}
Risposta
Codici di stato
| Codice di stato | Messaggio |
|---|---|
| 200 | "Alert retrieved" |
| 400 | "Error retrieving alert" |
| 400 | "Error with pagination fields" |
| 403 | "Forbidden" |
Corpo
{
"data": {
"alert": {
"additional_info": {
"cwe": [
{
"abstraction": "Pillar",
"id": "707",
"link": "https://cwe.mitre.org/data/definitions/707.html",
"name": "Improper Neutralization"
},
{
"abstraction": "Class",
"id": "74",
"link": "https://cwe.mitre.org/data/definitions/74.html",
"name": "Improper Neutralization of Special Elements in Output Used by a Downstream Component (Injection)"
},
{
"abstraction": "Class",
"id": "77",
"link": "https://cwe.mitre.org/data/definitions/77.html",
"name": "Improper Neutralization of Special Elements used in a Command (Command Injection)"
}
]
},
"attack_category": "Injection",
"attack_code": "2-2-0",
"attack_name": "Command injection",
"client_addresses": [
"10.2.3.4",
"10.2.9.1"
],
"cve": null,
"detection_time": 1705497151055122,
"first_seen": 1651131895000000,
"id": "urWAuJougNqiCOydhPMw3+WmFXuyxPDAw5P£1sgfT1c=",
"kind": 0,
"last_seen": 1651131895000000,
"pattern": "rm -rf",
"risk": null,
"rq_host": "xxxxxxxxx.it",
"status_codes": [
404,
400
],
"target_specs": {
"parameter_value": [
{
"client_addresses": [
"10.2.9.1",
"10.2.3.4"
],
"payloads": [
"rm -rf"
],
"specs": {
"parameter_key": "key",
"path": "example/of/path",
"request:Host": "xxxxxxxxx.it"
}
}
]
}
}
},
"message": "Alert retrieved",
"status": "ok"
}
Eliminazione di un singolo alert
Richiesta
Definizione
DELETE /api/v1/alerts/{alert_id}
Header
-
AuthorizationrichiestoToken di autenticazione con privilegi di lettura della risorsa.
Bearer {token}
Risposta
Codici di stato
| Codice di stato | Messaggio |
|---|---|
| 200 | "Alerts deleted" |
| 400 | "Error deleting alerts" |
| 403 | "Forbidden" |
Corpo
{
"data": {
"alert_ids": [
"urWAuJougNqiCOydhPMw3+WmFXuyxPDAw5P£1sgfT1c="
]
},
"message": "Alerts deleted",
"status": "ok"
}
Eliminazione di più alert
Richiesta
Definizione
DELETE /api/v1/alerts
Header
-
AuthorizationrichiestoToken di autenticazione con privilegi di lettura della risorsa.
Bearer {token} -
Content-Typerichiestoapplication/json
Corpo della richiesta
{
"alert_ids": [
"urWAuJougNqiCOydhPMw3+WmFXuyxPDAw5P£1sgfT1c="
]
}
Risposta
Codici di stato
| Codice di stato | Messaggio |
|---|---|
| 200 | "Alerts deleted" |
| 400 | "Error deleting alerts" |
| 403 | "Forbidden" |
Corpo
{
"data": {
"alert_ids": [
"urWAuJougNqiCOydhPMw3+WmFXuyxPDAw5P£1sgfT1c="
]
},
"message": "Alerts deleted",
"status": "ok"
}