[BUG] Проблема с генерацией ссылки на событие, там где требуется отправка фильтра по POST

[GenRockeR]

Is there an existing issue or discussion for this?

• I have searched the existing issues and discussions

Current Behavior

Привет.

Тестирую siem monkey и обнаружил следующую проблему. Открываю инцидент и смотрю прилинкованные к нему события. Потом копирую ссылку на события с помощью кнопки в siem monkey.

Генерируется ссылка вот такого формата

https://10.3.132.5/#/events/view?where=uuid=%22067a97e4-f883-4b6d-acea-d71f44e81e27%22&period=range&start=1686067132000&end=1686067132000

Но данная ссылка не работает, так как в приватном API передается еще через POST запрос с фильтрами.

{"filter":{"select":["_checkpoint","_whitelisting","action","agent_id",
...
...
{},"searchType":null,"searchSources":null},"timeFrom":1686066532,"timeTo":1686067132}

Я тут подрезал немного json.

Без этого не открываются нужные события.

Кроме того в сформированной ссылке лишние кавычки вокруг uuid

Expected Behavior

События должны показываться, в любом случае. GET или POST запрос там проходит

Steps To Reproduce

No response

Environment

- OS:
- VSCode:
- VSCode-XP:

Anything else?

No response

[grikos]

Я проверил и ту ссылку, которая приложена к багу и поведение кнопки у себя.
Сейчас всё работает, как и было задумано.
Кнопка формирует ссылку на одно конкретное событие без учета того, связано оно с инцидентом или нет.
Эффект достигается тем, что в ссылке кодируется фильтр вида
uuid="тут значение uuid события"
и время, за которое надо искать событие при переходе по ссылке.

При переходе по сформированной таким образом ссылке после прогрузки UI SIEM браузер должен отправить запрос на поиск по фильтру и вернуть в результате искомое событие.
Проблемы возможны, если ранее в предыдущем окне использовалась фильтрация событий по группам активов.
Информация об этом не кодируется в формируемой ссылке и в новом окне автоматически используется та же группа, которая использовалась до этого. Это может влиять на то, что искомое событие не будет отображаться. Чтобы этого избежать следует в левой панели "Группы" выбрать пункт "Все события" (или группу, в которую должен входить хотя бы один актив, связанный с событием, если такая группа заранее известна)

Если ожидалось какое-то другое поведение, опиши пожалуйста. Возможно получится доработать функционал.

Так же отмечу, что плагин просто формирует ссылку и никак не управляет тем, каким методом (GET или POST) будет осуществлен запрос к SIEM. Если использовать эту ссылку для открытия её в браузере (кликом по ней или явной вставкой в адресную строку), то будет использован GET-запрос. Повлиять на это нет никакой возможности.

Кавычки в фильтре используются по аналогии с тем, как формируется фильтр для поиска штатным механизмом при клике на значение поля uuid и добавлении фильтра из выпадающего меню:

Действительно, допускается использование поиска по uuid без заключения искомого значение в кавычки, но использование кавычек ошибкой не является.

[grikos]

Оказывается, в URL можно использовать параметр
groupId=-1
для явного указания того, что искать события нужно по всем событиям без учета групп активов.
Запланирую эту доработку для того, чтобы избежать проблем с группами активов при переходе по ссылке.