故障原因 子账号权限不足，仅为操作账号配置了SA FullAccess或SA ReadOnlyAccess策略权限，未配置“Tenant Guest”角色。 目前，“SA FullAccess”或“SA ReadOnlyAccess”权限需要配合“Tenant Guest”权限才能使用。具体说明如下： 配置SA所有权限：“SA FullAccess”和“Tenant Guest”权限。 其中，如果需要使用SA的资源管理和基线检查功能需要配置以下权限： 资源管理：“SA FullAccess”和“Tenant Administrator”权限，详细操作请参见配置相关功能所需的权限。 基线检查：“SA FullAccess”、“Tenant Administrator”和 IAM 相关权限，详细操作请参见配置相关功能所需的权限。 配置SA只读权限：“SA ReadOnlyAccess”和“Tenant Guest”权限。

修订记录 发布日期 修改记录 2023-06-08 第三十次正式发布。 本次更新说明如下： 新增SA与SecMaster服务的关系与区别？章节内容。 优化 态势感知 与其他安全服务之间的关系与区别？章节中的描述信息。 优化SA与HSS服务的区别？章节中的描述信息。 更新如何给账号配置相关功能所需的权限？章节中的描述信息。 2022-11-24 第二十九次正式发布。 本次更新说明如下： 更新态势感知支持跨区域使用吗？章节内容，新增region。 更新“态势感知支持退订吗？”章节中的退订图片说明。 优化文档描述。 2022-10-26 第二十八次正式发布。 本次更新说明如下： 更新“态势感知支持退订吗？”章节中的退订说明。 新增区域与可用区章节内容。 2022-08-30 第二十七次正式发布。 本次更新说明如下： 新增常见问题以下常见问题： 如何处理SA的403 forbidden报错？ 为什么WAF、HSS中的数据和SA中的数据不一致？ 2022-02-11 第二十六次正式发布。 本次更新说明如下： 刷新SA与HSS服务的区别？章节内容，删除了安全编排功能相关描述。 刷新如何处理暴力破解告警事件？章节内容，删除了安全编排功能相关描述。 2022-01-22 第二十五次正式发布。 本次更新说明如下： 刷新如何给账号配置相关功能所需的权限？章节内容，新增资源管理功能权限相关描述。 2022-01-11 第二十四次正式发布。 本次更新说明如下： 刷新如何更新安全评分？章节内容，安全概览全新升级，更新安全概览相关描述。 2021-11-11 第二十三次正式发布。 本次更新说明如下： 新增了标准版相关描述。 2021-08-02 第二十二次正式发布。 本次更新说明如下： 新增常见问题如何给账号配置相关功能所需的权限？。 2021-03-12 第二十一次正式发布。 本次更新说明如下： 新增了为什么不能使用主机漏洞和网站漏洞功能？问答。 2020-12-24 第二十次正式发布。 本次更新说明如下： 新增了如何更新安全评分？问答。 2020-11-19 第十九次正式发布。 本次更新说明如下： 新增了SA与HSS服务的区别？问答； 新增了如何处理暴力破解告警事件？问答。 2020-10-10 第十八次正式发布。 本次更新说明如下： 修改了为什么主机最大配额不能小于主机数量？问答； 修改了态势感知如何变更专业版规格？问答。 2020-08-28 第十七次正式发布。 本次更新说明如下： 修改了态势感知如何变更专业版规格？问答； 修改了“态势感知支持退订吗？”问答； 修改了“态势感知即将到期如何续费？”问答。 2020-07-09 第十六次正式发布。 本次更新说明如下： 新增了“态势感知到期后，会继续收费吗？”问答； 新增了“如何取消态势感知自动续费？”问答； 新增了“如何修改态势感知自动续费？”问答； 修改了态势感知如何变更专业版规格？问答； 修改了“态势感知如何收费？”问答； 修改了“态势感知支持退订吗？”问答； 修改了“态势感知即将到期如何续费？”问答。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了态势感知支持跨区域使用吗？问答； 新增了态势感知支持跨账号使用吗？问答； 修改了如何获取风险程度最高的资产信息？问答。 2020-03-20 第十四次正式发布。 本次更新说明如下： 新增了为什么最大配额数不能小于主机数量？问答； 修改了态势感知与其他安全服务之间的关系与区别？问答。 2020-03-13 第十三次正式发布。 本次更新说明如下： 新增了“态势感知可以免费使用吗？”问答； 修改了态势感知的数据来源是什么？问答； 修改了“态势感知即将到期如何续费？”问答； 修改了“如何获取攻击者的信息？”问答； 修改了态势感知与其他安全服务之间的关系与区别？问答。 2020-01-10 第十二次正式发布。 本次更新说明如下： 新增了态势感知如何变更专业版规格？问答。 2019-09-26 第十一次正式发布。 本次更新说明如下： 新增了态势感知与其他安全服务之间的关系与区别？问答。 2019-09-06 第十次正式发布。 本次更新说明如下： 新增了什么是区域和可用区？问答。 2019-08-09 第九次正式发布。 本次更新说明如下： 新增了“态势感知如何收费？”问答； 新增了“态势感知支持退订吗？”问答； 新增了“态势感知支持续费吗？”问答。 2019-07-11 第八次正式发布。 2019-02-20 第七次正式发布。 2019-02-01 第六次正式发布。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

服务含义区别 态势感知（Situation Awareness，SA）是华为云可视化 威胁检测 和分析的安全管理平台。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全攻击态势。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、 容器安全 和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SA是呈现全局安全态势的服务，HSS是提升主机和容器安全性的服务。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SA：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SA：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 应急漏洞公告 - SA：支持同步华为 云安全 公告信息，及时获取热点安全讯息。 HSS：不支持该功能。 主机漏洞 呈现主机 漏洞扫描 结果，管理主机漏洞。 SA：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 网站漏洞 - SA：支持同步CodeArts Inspector 网站漏洞扫描 结果，管理网站漏洞。 HSS：不支持该功能。 基线检查 云服务基线 - SA：针对华为云服务关键配置项，从“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 主机基线 - SA：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

响应参数 状态码： 400 表20 响应Body参数 参数 参数类型 描述 error_msg String 无效请求提示信息 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 401 表21 响应Body参数 参数 参数类型 描述 error_msg String 权限错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 500 表22 响应Body参数 参数 参数类型 描述 error_msg String 系统内部错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128

请求示例 POST https://{endpoint}/v2/{project_id}/events/import { "events" : [ { "version" : "1.1.0", "environment" : { "type" : "xxx", "domain_id" : "dfaf9864b95c448797b5dc0f0xxxxxxx", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "region_id" : "xx-xx-1" }, "data_source" : { "type" : 1, "domain_id" : "dfaf9864b95c448797b5dc0f0xxxxxxx", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "region_id" : "xx-xx-1", "company_name" : "xxx", "product_name" : "xxx", "product_feature" : "xxx" }, "first_observed_time" : "2020-10-10T13:10:40.436+0800", "last_observed_time" : "2020-10-10T13:10:40.436+0800", "create_time" : "2020-10-10T13:10:40.436+0800", "arrive_time" : "2020-10-21T01:20:31.343+0800", "event_id" : "1683fbf6-01fd-49f4-8222-0fe33d3f2d2e", "title" : "TCP Malformed", "description" : "TCP Malformed", "count" : 1, "severity" : { "original_score" : 1, "label" : "TIPS" }, "type" : [ { "business" : "attack", "category" : "Brute Force", "classifier" : "ssh" } ], "network" : { "direction" : "IN", "dest_ip" : "xxx.xxx.xxx.xxx", "dest_port" : 80, "dest_geo" : { "latitude" : 1.352083, "longitude" : 103.81984 } }, "resource" : [ { "id" : "f1f4076a-9d12-497f-aac4-a9dcb5462fcc", "name" : "ecs-s3_large_2_win-20200828214727", "type" : "cloudservers", "provider" : "ecs", "region_id" : "xx-xx-1", "domain_id" : "dfaf9864b95c448797b5dc0f00709a55", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "ep_id" : "7e998f85-xxxx-xxxx-xxxx-xxxxxxxx", "ep_name" : "test001" } ], "verification_state" : "Unknown", "handle_status" : "New" } ] }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 X-Language 否 String 语言。 最小长度：2 最大长度：6 表3 请求Body参数 参数 是否必选 参数类型 描述 events 是 Array of Event objects event 批量导入 表4 Event 参数 是否必选 参数类型 描述 version 是 String SA数据对象版本号，数据接入时需携带版本号。版本号由SA服务团队负责更新，数据源只可填写SA给定的版本号。目前版本为1.0.0。 最小长度：5 最大长度：5 environment 是 Environment object 环境坐标，DRP。 data_source 是 DataSource object 提供数据来源相关信息，必选对象。 first_observed_time 是 String 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time 否 String 最新发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time 是 String 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time 否 String 数据接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 是指事件数据被SA侧接收的时间，由SA接收时填写，产品上报数据时不用填写。 event_id 是 String 事件唯一标识，UUID格式。 最小长度：32 最大长度：36 title 是 String 事件标题，最大255字符。 最小长度：1 最大长度：255 description 是 String 事件描述信息，最大1024个字符 最小长度：1 最大长度：1024 source_url 否 String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 最小长度：1 最大长度：4096 count 是 Integer 事件发生次数，默认为1，必填。 最小值：1 最大值：9223372036854775807 confidence 否 Integer 事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100%。 最小值：0 最大值：100 severity 是 Severity object 严重性对象。 criticality 否 Integer 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 最小值：0 最大值：100 type 是 Type object 事件分类。 compliance 否 Compliance object 扩展信息，用来提供合规检查信息。合规检查相关的数据上报时，必须填充此对象。 network 否 Network object 扩展信息，用来提供网络信息。 vulnerability_patch 否 VulnerabilityPatch object 扩展信息，用来提供漏洞信息。 malware 否 Malware object 恶意软件。 threat_intel 否 ThreatIntel object 威胁情报。 resource 是 Resource object 受影响资源。 remediation 否 Remediation object 补救措施。 data_source_fields 否 Object 数据源自定义信息，最多支持50个key/value对，约束条件： 1、该对象不能包含冗余数据，并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state 否 String 事件验证状态，标识事件的准确性。 Unknown – 未知，默认 True_positive – 确认 False_positive – 误报。 最小长度：1 最大长度：512 handle_status 是 String 事件处理状态，New/Ignored/Resolved；默认New。 最小长度：1 最大长度：512 phase 否 String 阶段：Prepartion|Detection and Analysis|Containm，Eradication& Recovery| Post-Incident-Activity。 最小长度：1 最大长度：32 sla 否 Integer 约束闭环时间：单位：天。 最小值：1 最大值：90 表5 Environment 参数 是否必选 参数类型 描述 type 是 String 环境供应商，HWCP/HWC/AWS/Azure/GCP等。 最小长度：1 最大长度：36 domain_id 是 String 租户账号ID，用来标识事件所属租户。 最小长度：32 最大长度：36 project_id 否 String 租户项目ID，用来标识事件所属项目区域。 最小长度：32 最大长度：36 region_id 否 String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。 最小长度：1 最大长度：512 表6 DataSource 参数 是否必选 参数类型 描述 type 否 Integer 数据源类型，取值范围如下： 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品 最小值：1 最大值：3 domain_id 否 String 数据源产品所属管理账号的ID，最大36个字符。 最小长度：32 最大长度：36 project_id 否 String 数据源产品所属项目的ID，最大36个字符。 最小长度：32 最大长度：36 region_id 否 String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。 最小长度：1 最大长度：512 company_name 是 String 数据源产品所属公司的名称。 最小长度：1 最大长度：512 product_name 是 String 数据源产品的名称。 最小长度：1 最大长度：512 product_feature 否 String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性。 最小长度：1 最大长度：512 表7 Severity 参数 是否必选 参数类型 描述 label 是 String 严重性等级取值范围：TIPS、LOW、MEDIUM、HIGH、FATAL。 TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 最小长度：1 最大长度：512 normalize_score 否 Integer 严重性评分取值范围：0-100； 与严重性等级的对应关系： TIPS 0； LOW 1-39； MEDIUM 40-69； HIGH 70-89； FATAL 90-100。 最小值：0 最大值：100 original_score 否 Integer 严重性原始评分，指在数据源产品中的评分。 最小值：0 最大值：9223372036854775807 表8 Type 参数 是否必选 参数类型 描述 business 是 String 事件所属业务领域标签，可选类别如下： attack – 攻击 vulnerability – 漏洞 compliance check – 合规检查 risk - 风险 public opinion - 舆情 illegal&violation - 违法违规 security bulletin - 公告 最小长度：1 最大长度：512 category 否 String 类别，推荐使用预定义的类型分类。 最小长度：1 最大长度：512 classifier 否 String 分类器，推荐使用预定义的分类器。 如果指定了分类器，则必须指定类别。 最小长度：1 最大长度：512 tech_domain 否 String 技术领域标签： OS：主机 APP：应用 NET：网络 OPS：运维 CS ：云服务 CSP：平台云服务 最小长度：1 最大长度：512 properties 否 TypeProperties object 属性信息。 表9 TypeProperties 参数 是否必选 参数类型 描述 killchain 否 String Kill chain事件分类，仅当business为attack有效 最小长度：1 最大长度：512 ttps 否 String Mitre Array 事件分类，仅当business为attack有效 最小长度：1 最大长度：512 effects 否 String 影响，适用全部类型 最小长度：1 最大长度：512 表10 Compliance 参数 是否必选 参数类型 描述 checkitem_id 是 String 检查项（检查规则）编号 最小长度：1 最大长度：512 checkpoint_id 是 String 检查点（检查结果）编号，检查项对同一个资源的检查结果 最小长度：1 最大长度：512 spec_id 是 String 检查规范编号，默认选第一个 最小长度：1 最大长度：512 status 是 String 合规检查结果，取值定义：PASSED、WARNING、FAILED、NOT_AVAILABLE。 说明： PASSED - 接受评估的所有资源都已通过安全检查。 WARNING - 某些信息缺失或配置不支持此检查。 FAILED - 至少有一个接受评估的资源未能通过安全检查。 NOT_AVAILABLE - 由于服务中断或 API 错误，无法执行检查。 最小长度：1 最大长度：512 properties 否 String 属性信息 最小长度：1 最大长度：512 表11 Network 参数 是否必选 参数类型 描述 direction 否 String 方向，取值范围：IN、OUT。 最小长度：2 最大长度：3 protocol 否 String 协议。 最小长度：0 最大长度：512 src_ip 否 String 源IP地址。 最小长度：7 最大长度：15 src_port 否 Integer 源端口，0–65535。 最小值：0 最大值：65535 src_domain 否 String 源域名，最大128个字符。 最小长度：1 最大长度：128 src_geo 否 Geo object 源IP的地理位置信息。 dest_ip 否 String 目标IP地址。 最小长度：7 最大长度：15 dest_port 否 Integer 目标端口，0–65535。 最小值：0 最大值：65535 dest_domain 否 String 目标域名，最大128个字符。 最小长度：1 最大长度：128 dest_geo 否 Geo object 目标IP的地理位置信息。 表12 Geo 参数 是否必选 参数类型 描述 latitude 否 Number 纬度。 最小值：-90.0 最大值：90.0 longitude 否 Number 经度。 最小值：-180.0 最大值：180.0 city_code 否 String 城市编码。 最小长度：1 最大长度：128 country_code 否 String 国家简码ISO 3166-1 alpha-2，例如：CN、US、DE、IT、SG。 最小长度：1 最大长度：128 表13 VulnerabilityPatch 参数 是否必选 参数类型 描述 patch_id 是 String 补丁编号。 最小长度：1 最大长度：256 patch_name 否 String 补丁名称。 最小长度：1 最大长度：256 type 否 String 补丁类型（0：linux，1：windows，2：web-cms）。 最小长度：1 最大长度：32 major_level 否 String 重要等级。 最小长度：1 最大长度：32 status 否 String 补丁状态。 最小长度：1 最大长度：32 repair_cmd 否 String 修复命令。 最小长度：0 最大长度：512 repair_necessity 否 String 修复必要程度（1：需立刻修复，2：可延后修复，3：暂可以不修复）。 最小长度：0 最大长度：512 release_time 否 String 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 reference_url 否 String 参考链接。 最小长度：0 最大长度：512 vendor_name 否 String 漏洞报告提供者信息。 最小长度：1 最大长度：32 vulnerable_package 否 String 受影响软件版本。 最小长度：1 最大长度：32 cve_ids 否 String CVE编号列表。 最小长度：1 最大长度：256 表14 Malware 参数 是否必选 参数类型 描述 name 是 String 恶意软件名称，最大64个字符。 最小长度：1 最大长度：64 sha256 否 String 恶意软件sha256 最小长度：1 最大长度：1024 type 是 String 恶意软件类型，遵循STIX规范： adware、backdoor、bot、bootkit、ddos、downloader、dropper、exploit-kit、keylogger、ransomware、remote-access-trojan、resource-exploitation、rogue-security-software、rootkit、screen-capture、spyware、trojan、unknown、virus、webshell、wiper、worm 最小长度：1 最大长度：512 path 否 String 恶意软件在系统中的路径，最大512个字符。 最小长度：0 最大长度：512 state 否 String 恶意软件状态，取值范围：OBSERVED、REMOVAL_FAILED、REMOVED。 最小长度：0 最大长度：512 properties 否 MalwareProperties object 属性信息。 表15 MalwareProperties 参数 是否必选 参数类型 描述 pid 否 String 进程ID。 最小长度：1 最大长度：64 user 否 String 系统角色（例如:root，service）。 最小长度：1 最大长度：64 mod 否 String 系统权限（例如：777，755）。 最小长度：1 最大长度：64 start_time 否 String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 表16 ThreatIntel 参数 是否必选 参数类型 描述 id 是 String 情报Id。 最小长度：0 最大长度：32 indicator_type 否 String 威胁情报类型，Domain、Email_Address、Hash_MD5、Hash_SHA1、Hash_SHA256、 Hash_SHA512、IPv4_Address、IPv6_Address、URL。 最小长度：0 最大长度：64 labels 否 String 标签，如'矿池','外联'等，"Directory Scan|Directory Traversal"。 最小长度：0 最大长度：512 confidence 否 Integer 置信度，不同来源目前置信度分值定义不一样（分数）。 最小值：0 最大值：9223372036854775807 information_source 是 String 威胁情报源，最大64个字符。 最小长度：0 最大长度：64 severity 否 Integer 严重程度，不同渠道定义值不一样（分数）。 最小值：0 最大值：9223372036854775807 description 是 String 威胁情报描述。 最小长度：0 最大长度：4096 modified 否 String 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from 否 String 有效期开始（可读字符串）。 最小长度：0 最大长度：32 valid_until 否 String 有效期结束（可读字符串）。 最小长度：0 最大长度：32 properties 否 ThreatIntelProperties object 威胁情报属性信息。 表17 ThreatIntelProperties 参数 是否必选 参数类型 描述 file_md5 否 String 恶意软件Md5。 最小长度：1 最大长度：64 file_sha1 否 String 恶意软件Sha1。 最小长度：1 最大长度：255 file_sha256 否 String 恶意软件Sha256值。 最小长度：1 最大长度：255 file_name 否 String 文件名称。 最小长度：1 最大长度：255 create_time 否 String 编译时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 file_class 否 String 文件类别，TEXT|XCODE。 最小长度：1 最大长度：255 file_family 否 String 家族，例如：wannacry（勒索软件）。 最小长度：1 最大长度：255 file_maltype 否 String 类别，例如：trojan（特洛伊）。 最小长度：1 最大长度：255 ip_resolves_to_refs 否 String mac地址。 最小长度：1 最大长度：255 belongs_to_refs 否 String IP AS 自治系统。 最小长度：1 最大长度：255 ip_location 否 String 地区 格式：country/provice/city/lngwgs/latwgs。 最小长度：1 最大长度：255 domain_family 否 String 例如：banjori|iodine。 最小长度：1 最大长度：255 domain_resolves_to_refs 否 String 解析的IP地址。 最小长度：1 最大长度：255 domain_dns_type 否 String DNS类别。A|NS|CNAME|TXT。 最小长度：1 最大长度：255 url_host 否 String 例：3ms.huawei.com。 最小长度：1 最大长度：255 url_resolves_to_refs 否 String IP地址。 最小长度：1 最大长度：255 display_name 否 String 显示名称。 最小长度：1 最大长度：128 url_belongs_to_ref 否 String 邮箱账户，@之前部分。 最小长度：1 最大长度：128 表18 Resource 参数 是否必选 参数类型 描述 id 是 String 资源ID。 最小长度：32 最大长度：36 name 是 String 资源名称；最大长度255个字符。 最小长度：1 最大长度：255 type 是 String 资源类型。 最小长度：1 最大长度：128 provider 是 String 云服务名称。 最小长度：1 最大长度：128 region_id 否 String 区域。 最小长度：1 最大长度：128 domain_id 是 String 资源所属租户账号ID。 最小长度：32 最大长度：36 project_id 否 String 资源所属项目ID。 最小长度：32 最大长度：36 ep_id 否 String 企业项目ID。 最小长度：32 最大长度：36 ep_name 否 String 企业项目名称。 最小长度：32 最大长度：36 tags 否 Object 资源标签 1、最多50个key/values对。 2、values：最大255字符。 3、取值范围：字母数字、空格、“+”、“-”、“=”、“.”、“_”、“:”、“/”、“@”。 表19 Remediation 参数 是否必选 参数类型 描述 recommendation 是 String 处理建议，最长512个字符。 最小长度：1 最大长度：512 url 否 String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 最小长度：1 最大长度：128

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-4”，您可以从地区和终端节点获取，对应地区和终端节点页面的“区域”字段的值。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 URI-scheme： 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint： 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path： 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string： 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，同一个服务的Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type：消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token：用户Token，可选，当使用Token方式认证时，必须填充该字段。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见AK/SK认证。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见企业管理服务用户指南。 父主题： 使用前必读

响应参数 状态码： 400 表4 响应Body参数 参数 参数类型 描述 error_msg String 无效数据的描述信息。 最小长度：1 最大长度：128 error_code String 错误码。 最小长度：1 最大长度：128 状态码： 401 表5 响应Body参数 参数 参数类型 描述 error_msg String token认证错误。 最小长度：1 最大长度：128 error_code String 错误码。 最小长度：1 最大长度：128 状态码： 403 表6 响应Body参数 参数 参数类型 描述 error_msg String 权限错误。 最小长度：1 最大长度：128 error_code String 错误码。 最小长度：1 最大长度：128 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_msg String 系统内部错误。 最小长度：1 最大长度：128 error_code String 错误码。 最小长度：1 最大长度：128