API отчетности Stealthwatch Enterprise для хостов с тревожными сигналами

kahsieh

Здравствуйте, Мой клиент хочет получить
данные категории «Alarming Hosts» (Хосты с тревожными сигналами), а также хосты после нажатия на цифры в категории через API. ![Screen Shot 2019-11-20 at 02.35.17.png] Какие API подходят для этого в DevNet
Stealthwatch Enterprise REST API
? https://developer.cisco.com/docs/stealthwatch/#!reporting-api-version-1 Я вижу там несколько, но не уверен, подходят ли они и как их использовать. ![Screen Shot 2019-11-20 at 02.32.25.png] Можете ли вы мне помочь?

kywinter

SMC использует следующую конечную точку для получения количества тревог по категориям тревог на главной панели инструментов Security Insights: /sw-reporting/v1
/tenants/{tenantId}/internalHosts/tags/{tagId}/alarms/{alarmTypeId}/trend/daily На самом деле этот вызов выполняется 11 раз, по одному для каждого из типов сигналов тревоги высокого уровня, отображаемых на этой панели инструментов. Идентификатор арендатора совпадает с идентификатором вашего домена. Идентификатор тега (идентификатор группы хостов), используемый на главной панели инструментов Security Insights, равен «1» и обозначает все внутренние хосты. Идентификаторы типов сигналов тревоги для 11 основных категорий сигналов тревоги следующие: 32 - High Concern Index 15 - High Target Index 45 - Data Exfiltration 46 - Command & Control 47 - Policy Violation 51 - Recon 52 - Data Hoarding 53 - High DDoS Target Index 54 - High DDoS Source Index 56 - Exploitation 57 - Anomaly Чтобы получить список IP-адресов, связанных с этими сигналами тревоги, можно использовать следующий вызов: /sw-reporting/v1
/tenants/{tenantId}/internalHosts/tags/{tagId}/alarms/topHosts Сообщите, если вам нужна дополнительная помощь.