处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。 详情请参见HSS如何处理账户暴力破解事件？。

态势感知与其他安全服务之间的关系与区别？ SA与其他安全防护服务（WAF、HSS、Anti-DDoS、DBSS、AAD）的关系与区别如下： 关联： SA：作为安全管理服务，依赖于其他安全服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议。 其他安全服务：威胁检测数据可以统一汇聚在SA中，呈现全局安全威胁攻击态势。 区别： SA：仅为可视化威胁检测和分析的平台，不实施具体安全防护动作，需与其他安全服务搭配使用。 其他安全服务：仅展示对应服务的检测分析数据，并实施具体安全防护动作，不会呈现全局的威胁攻击态势。 SA与其他安全防护服务含义、关联与区别如表1所示。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能详细介绍 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业重要业务连续性。 AAD产品介绍 主机安全服务（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 HSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计。 同步相关审计日志、告警数据等给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍 父主题： 产品咨询

与安全服务的关系 态势感知从主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）、Anti-DDoS流量清洗（Anti-DDoS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。更多说明请参见态势感知与其他安全服务之间的关系与区别。

Windows操作系统：Windows账号登录 在弹出的对话框中，选择已有Windows账号。 单击“确定”，完成Windows主机授权。 授权成功后，可在主机授权列表，查看对应主机的已授权信息。 图4 配置授权信息 若无可用Windows账号，需首先创建Windows账号。 单击“创建Windows账号”，配置Windows账号信息，具体参数说明参考表2。设置完成后，单击“确认”，账可使用该账号对主机授权。 如果需要修改已有Windows账号，单击“编辑”，修改号信息。 如果需要删除已有Windows账号，单击“删除”，删除账号。 图5 创建Windows账号 表2 参数说明 参数名称 参数说明 Windows账号别称 自定义Windows账号名称。 选择加密密钥 选择已有的加密密钥，或者单击“创建密钥”，创建新的密钥，具体方法请参考创建密钥。 用户名 默认为Administrator。 密码 Windows系统登录密码。 账号域 查看该Windows系统的账号域并填写到此处，该参数也可以为空，不填写。

Linux操作系统：SSH账号登录 在弹出的“配置授权信息”窗口中，选择“方法一：SSH账号登录”。 图2 选择SSH账号 在下拉框中选择已有的SSH账号。 单击“确定”，完成Linux主机授权。 授权成功后，可在主机授权列表，查看对应主机的已授权信息。 若无可用SSH账号，需首先创建SSH账号。 单击“创建SSH账号”，账置SSH账号信息，具体参数说明参考表1。设置完成后，单击“确认”，即可使用该账号对主机授权。 若需要修改已有SSH账号，单击“编辑”，修改账号信息。 若需要删除已有SSH账号，单击“删除”，删除账号。 图3 账建SSH账号信息 表1 参数说明 参数名称 参数说明 SSH账号别名 自定义SSH账号名称。 登录端口 SSH账号登录的端口号。 选择登录方式 选择登录方式。可选择：“密码登录”或“密钥登录”。 选择“密钥登录”时，需要“创建私钥”。 选择加密密钥 选择已有的加密密钥，或者单击“创建密钥”，创建新的密钥，具体方法请参考创建密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而是只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。

Linux操作系统：授权脚本执行 在弹出的“配置授权信息”窗口中，选择“方法二：授权脚本执行”。 单击右侧的“复制”，复制开通授权的命令。 使用远程管理工具（例如：“Xshell”、“SecureCRT”、“PuTTY”），通过弹性IP地址登录到待开通授权的弹性云服务器。 也可使用弹性云服务器的“远程登录”功能，登录弹性云服务器。 执行复制的命令（这里用“SecureCRT”工具登录）。 提示“Install Success”时则执行成功，完成Linux主机授权。 脚本执行授权成功后，在主机授权列表页面，暂时不能显示已授权信息，仅能通过脚本运行结果验证授权成功与否。 # curl -O -s http://XX.XX.XX.XX/southchina-vss-hostscan/vss_hostscan_427c_install.sh && bash vss_hostscan_427c_install.sh --start [INFO] Uninstall Success [INFO] Create vss_hostscan_55e9 account [INFO] Grant sudo privileges for vss_hostscan_55e9 [INFO] Inject SSH Public Key [INFO] Install Success

故障原因 子账号权限不足，仅为操作账号配置了SA FullAccess或SA ReadOnlyAccess策略权限，未配置“Tenant Guest”角色。 目前，“SA FullAccess”或“SA ReadOnlyAccess”权限需要配合“Tenant Guest”权限才能使用。具体说明如下： 配置SA所有权限：“SA FullAccess”和“Tenant Guest”权限。 其中，如果需要使用SA的资源管理和基线检查功能需要配置以下权限： 资源管理：“SA FullAccess”和“Tenant Administrator”权限，详细操作请参见配置相关功能所需的权限。 基线检查：“SA FullAccess”、“Tenant Administrator”和IAM相关权限，详细操作请参见配置相关功能所需的权限。 配置SA只读权限：“SA ReadOnlyAccess”和“Tenant Guest”权限。

修订记录 发布日期 修改记录 2023-06-08 第三十次正式发布。 本次更新说明如下： 新增SA与SecMaster服务的关系与区别？章节内容。 优化态势感知与其他安全服务之间的关系与区别？章节中的描述信息。 优化SA与HSS服务的区别？章节中的描述信息。 更新如何给账号配置相关功能所需的权限？章节中的描述信息。 2022-11-24 第二十九次正式发布。 本次更新说明如下： 更新态势感知支持跨区域使用吗？章节内容，新增region。 更新“态势感知支持退订吗？”章节中的退订图片说明。 优化文档描述。 2022-10-26 第二十八次正式发布。 本次更新说明如下： 更新“态势感知支持退订吗？”章节中的退订说明。 新增区域与可用区章节内容。 2022-08-30 第二十七次正式发布。 本次更新说明如下： 新增常见问题以下常见问题： 如何处理SA的403 forbidden报错？ 为什么WAF、HSS中的数据和SA中的数据不一致？ 2022-02-11 第二十六次正式发布。 本次更新说明如下： 刷新SA与HSS服务的区别？章节内容，删除了安全编排功能相关描述。 刷新如何处理暴力破解告警事件？章节内容，删除了安全编排功能相关描述。 2022-01-22 第二十五次正式发布。 本次更新说明如下： 刷新如何给账号配置相关功能所需的权限？章节内容，新增资源管理功能权限相关描述。 2022-01-11 第二十四次正式发布。 本次更新说明如下： 刷新如何更新安全评分？章节内容，安全概览全新升级，更新安全概览相关描述。 2021-11-11 第二十三次正式发布。 本次更新说明如下： 新增了标准版相关描述。 2021-08-02 第二十二次正式发布。 本次更新说明如下： 新增常见问题如何给账号配置相关功能所需的权限？。 2021-03-12 第二十一次正式发布。 本次更新说明如下： 新增了为什么不能使用主机漏洞和网站漏洞功能？问答。 2020-12-24 第二十次正式发布。 本次更新说明如下： 新增了如何更新安全评分？问答。 2020-11-19 第十九次正式发布。 本次更新说明如下： 新增了SA与HSS服务的区别？问答； 新增了如何处理暴力破解告警事件？问答。 2020-10-10 第十八次正式发布。 本次更新说明如下： 修改了为什么主机最大配额不能小于主机数量？问答； 修改了态势感知如何变更专业版规格？问答。 2020-08-28 第十七次正式发布。 本次更新说明如下： 修改了态势感知如何变更专业版规格？问答； 修改了“态势感知支持退订吗？”问答； 修改了“态势感知即将到期如何续费？”问答。 2020-07-09 第十六次正式发布。 本次更新说明如下： 新增了“态势感知到期后，会继续收费吗？”问答； 新增了“如何取消态势感知自动续费？”问答； 新增了“如何修改态势感知自动续费？”问答； 修改了态势感知如何变更专业版规格？问答； 修改了“态势感知如何收费？”问答； 修改了“态势感知支持退订吗？”问答； 修改了“态势感知即将到期如何续费？”问答。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了态势感知支持跨区域使用吗？问答； 新增了态势感知支持跨账号使用吗？问答； 修改了如何获取风险程度最高的资产信息？问答。 2020-03-20 第十四次正式发布。 本次更新说明如下： 新增了为什么最大配额数不能小于主机数量？问答； 修改了态势感知与其他安全服务之间的关系与区别？问答。 2020-03-13 第十三次正式发布。 本次更新说明如下： 新增了“态势感知可以免费使用吗？”问答； 修改了态势感知的数据来源是什么？问答； 修改了“态势感知即将到期如何续费？”问答； 修改了“如何获取攻击者的信息？”问答； 修改了态势感知与其他安全服务之间的关系与区别？问答。 2020-01-10 第十二次正式发布。 本次更新说明如下： 新增了态势感知如何变更专业版规格？问答。 2019-09-26 第十一次正式发布。 本次更新说明如下： 新增了态势感知与其他安全服务之间的关系与区别？问答。 2019-09-06 第十次正式发布。 本次更新说明如下： 新增了什么是区域和可用区？问答。 2019-08-09 第九次正式发布。 本次更新说明如下： 新增了“态势感知如何收费？”问答； 新增了“态势感知支持退订吗？”问答； 新增了“态势感知支持续费吗？”问答。 2019-07-11 第八次正式发布。 2019-02-20 第七次正式发布。 2019-02-01 第六次正式发布。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

服务含义区别 态势感知（Situation Awareness，SA）是华为云可视化威胁检测和分析的安全管理平台。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全攻击态势。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SA是呈现全局安全态势的服务，HSS是提升主机和容器安全性的服务。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SA：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SA：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 应急漏洞公告 - SA：支持同步华为云安全公告信息，及时获取热点安全讯息。 HSS：不支持该功能。 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 SA：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 网站漏洞 - SA：支持同步CodeArts Inspector网站漏洞扫描结果，管理网站漏洞。 HSS：不支持该功能。 基线检查 云服务基线 - SA：针对华为云服务关键配置项，从“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 主机基线 - SA：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

响应参数 状态码： 400 表20 响应Body参数 参数 参数类型 描述 error_msg String 无效请求提示信息 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 401 表21 响应Body参数 参数 参数类型 描述 error_msg String 权限错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 500 表22 响应Body参数 参数 参数类型 描述 error_msg String 系统内部错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128

请求示例 POST https://{endpoint}/v2/{project_id}/events/import { "events" : [ { "version" : "1.1.0", "environment" : { "type" : "xxx", "domain_id" : "dfaf9864b95c448797b5dc0f0xxxxxxx", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "region_id" : "xx-xx-1" }, "data_source" : { "type" : 1, "domain_id" : "dfaf9864b95c448797b5dc0f0xxxxxxx", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "region_id" : "xx-xx-1", "company_name" : "xxx", "product_name" : "xxx", "product_feature" : "xxx" }, "first_observed_time" : "2020-10-10T13:10:40.436+0800", "last_observed_time" : "2020-10-10T13:10:40.436+0800", "create_time" : "2020-10-10T13:10:40.436+0800", "arrive_time" : "2020-10-21T01:20:31.343+0800", "event_id" : "1683fbf6-01fd-49f4-8222-0fe33d3f2d2e", "title" : "TCP Malformed", "description" : "TCP Malformed", "count" : 1, "severity" : { "original_score" : 1, "label" : "TIPS" }, "type" : [ { "business" : "attack", "category" : "Brute Force", "classifier" : "ssh" } ], "network" : { "direction" : "IN", "dest_ip" : "xxx.xxx.xxx.xxx", "dest_port" : 80, "dest_geo" : { "latitude" : 1.352083, "longitude" : 103.81984 } }, "resource" : [ { "id" : "f1f4076a-9d12-497f-aac4-a9dcb5462fcc", "name" : "ecs-s3_large_2_win-20200828214727", "type" : "cloudservers", "provider" : "ecs", "region_id" : "xx-xx-1", "domain_id" : "dfaf9864b95c448797b5dc0f00709a55", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "ep_id" : "7e998f85-xxxx-xxxx-xxxx-xxxxxxxx", "ep_name" : "test001" } ], "verification_state" : "Unknown", "handle_status" : "New" } ] }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 X-Language 否 String 语言。 最小长度：2 最大长度：6 表3 请求Body参数 参数 是否必选 参数类型 描述 events 是 Array of Event objects event 批量导入 表4 Event 参数 是否必选 参数类型 描述 version 是 String SA数据对象版本号，数据接入时需携带版本号。版本号由SA服务团队负责更新，数据源只可填写SA给定的版本号。目前版本为1.0.0。 最小长度：5 最大长度：5 environment 是 Environment object 环境坐标，DRP。 data_source 是 DataSource object 提供数据来源相关信息，必选对象。 first_observed_time 是 String 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time 否 String 最新发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time 是 String 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time 否 String 数据接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 是指事件数据被SA侧接收的时间，由SA接收时填写，产品上报数据时不用填写。 event_id 是 String 事件唯一标识，UUID格式。 最小长度：32 最大长度：36 title 是 String 事件标题，最大255字符。 最小长度：1 最大长度：255 description 是 String 事件描述信息，最大1024个字符 最小长度：1 最大长度：1024 source_url 否 String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 最小长度：1 最大长度：4096 count 是 Integer 事件发生次数，默认为1，必填。 最小值：1 最大值：9223372036854775807 confidence 否 Integer 事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100%。 最小值：0 最大值：100 severity 是 Severity object 严重性对象。 criticality 否 Integer 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 最小值：0 最大值：100 type 是 Type object 事件分类。 compliance 否 Compliance object 扩展信息，用来提供合规检查信息。合规检查相关的数据上报时，必须填充此对象。 network 否 Network object 扩展信息，用来提供网络信息。 vulnerability_patch 否 VulnerabilityPatch object 扩展信息，用来提供漏洞信息。 malware 否 Malware object 恶意软件。 threat_intel 否 ThreatIntel object 威胁情报。 resource 是 Resource object 受影响资源。 remediation 否 Remediation object 补救措施。 data_source_fields 否 Object 数据源自定义信息，最多支持50个key/value对，约束条件： 1、该对象不能包含冗余数据，并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state 否 String 事件验证状态，标识事件的准确性。 Unknown – 未知，默认 True_positive – 确认 False_positive – 误报。 最小长度：1 最大长度：512 handle_status 是 String 事件处理状态，New/Ignored/Resolved；默认New。 最小长度：1 最大长度：512 phase 否 String 阶段：Prepartion|Detection and Analysis|Containm，Eradication& Recovery| Post-Incident-Activity。 最小长度：1 最大长度：32 sla 否 Integer 约束闭环时间：单位：天。 最小值：1 最大值：90 表5 Environment 参数 是否必选 参数类型 描述 type 是 String 环境供应商，HWCP/HWC/AWS/Azure/GCP等。 最小长度：1 最大长度：36 domain_id 是 String 租户账号ID，用来标识事件所属租户。 最小长度：32 最大长度：36 project_id 否 String 租户项目ID，用来标识事件所属项目区域。 最小长度：32 最大长度：36 region_id 否 String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。 最小长度：1 最大长度：512 表6 DataSource 参数 是否必选 参数类型 描述 type 否 Integer 数据源类型，取值范围如下： 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品 最小值：1 最大值：3 domain_id 否 String 数据源产品所属管理账号的ID，最大36个字符。 最小长度：32 最大长度：36 project_id 否 String 数据源产品所属项目的ID，最大36个字符。 最小长度：32 最大长度：36 region_id 否 String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。 最小长度：1 最大长度：512 company_name 是 String 数据源产品所属公司的名称。 最小长度：1 最大长度：512 product_name 是 String 数据源产品的名称。 最小长度：1 最大长度：512 product_feature 否 String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性。 最小长度：1 最大长度：512 表7 Severity 参数 是否必选 参数类型 描述 label 是 String 严重性等级取值范围：TIPS、LOW、MEDIUM、HIGH、FATAL。 TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 最小长度：1 最大长度：512 normalize_score 否 Integer 严重性评分取值范围：0-100； 与严重性等级的对应关系： TIPS 0； LOW 1-39； MEDIUM 40-69； HIGH 70-89； FATAL 90-100。 最小值：0 最大值：100 original_score 否 Integer 严重性原始评分，指在数据源产品中的评分。 最小值：0 最大值：9223372036854775807 表8 Type 参数 是否必选 参数类型 描述 business 是 String 事件所属业务领域标签，可选类别如下： attack – 攻击 vulnerability – 漏洞 compliance check – 合规检查 risk - 风险 public opinion - 舆情 illegal&violation - 违法违规 security bulletin - 公告 最小长度：1 最大长度：512 category 否 String 类别，推荐使用预定义的类型分类。 最小长度：1 最大长度：512 classifier 否 String 分类器，推荐使用预定义的分类器。 如果指定了分类器，则必须指定类别。 最小长度：1 最大长度：512 tech_domain 否 String 技术领域标签： OS：主机 APP：应用 NET：网络 OPS：运维 CS：云服务 CSP：平台云服务 最小长度：1 最大长度：512 properties 否 TypeProperties object 属性信息。 表9 TypeProperties 参数 是否必选 参数类型 描述 killchain 否 String Kill chain事件分类，仅当business为attack有效 最小长度：1 最大长度：512 ttps 否 String Mitre Array 事件分类，仅当business为attack有效 最小长度：1 最大长度：512 effects 否 String 影响，适用全部类型 最小长度：1 最大长度：512 表10 Compliance 参数 是否必选 参数类型 描述 checkitem_id 是 String 检查项（检查规则）编号 最小长度：1 最大长度：512 checkpoint_id 是 String 检查点（检查结果）编号，检查项对同一个资源的检查结果 最小长度：1 最大长度：512 spec_id 是 String 检查规范编号，默认选第一个 最小长度：1 最大长度：512 status 是 String 合规检查结果，取值定义：PASSED、WARNING、FAILED、NOT_AVAILABLE。 说明： PASSED - 接受评估的所有资源都已通过安全检查。 WARNING - 某些信息缺失或配置不支持此检查。 FAILED - 至少有一个接受评估的资源未能通过安全检查。 NOT_AVAILABLE - 由于服务中断或 API 错误，无法执行检查。 最小长度：1 最大长度：512 properties 否 String 属性信息 最小长度：1 最大长度：512 表11 Network 参数 是否必选 参数类型 描述 direction 否 String 方向，取值范围：IN、OUT。 最小长度：2 最大长度：3 protocol 否 String 协议。 最小长度：0 最大长度：512 src_ip 否 String 源IP地址。 最小长度：7 最大长度：15 src_port 否 Integer 源端口，0–65535。 最小值：0 最大值：65535 src_domain 否 String 源域名，最大128个字符。 最小长度：1 最大长度：128 src_geo 否 Geo object 源IP的地理位置信息。 dest_ip 否 String 目标IP地址。 最小长度：7 最大长度：15 dest_port 否 Integer 目标端口，0–65535。 最小值：0 最大值：65535 dest_domain 否 String 目标域名，最大128个字符。 最小长度：1 最大长度：128 dest_geo 否 Geo object 目标IP的地理位置信息。 表12 Geo 参数 是否必选 参数类型 描述 latitude 否 Number 纬度。 最小值：-90.0 最大值：90.0 longitude 否 Number 经度。 最小值：-180.0 最大值：180.0 city_code 否 String 城市编码。 最小长度：1 最大长度：128 country_code 否 String 国家简码ISO 3166-1 alpha-2，例如：CN、US、DE、IT、SG。 最小长度：1 最大长度：128 表13 VulnerabilityPatch 参数 是否必选 参数类型 描述 patch_id 是 String 补丁编号。 最小长度：1 最大长度：256 patch_name 否 String 补丁名称。 最小长度：1 最大长度：256 type 否 String 补丁类型（0：linux，1：windows，2：web-cms）。 最小长度：1 最大长度：32 major_level 否 String 重要等级。 最小长度：1 最大长度：32 status 否 String 补丁状态。 最小长度：1 最大长度：32 repair_cmd 否 String 修复命令。 最小长度：0 最大长度：512 repair_necessity 否 String 修复必要程度（1：需立刻修复，2：可延后修复，3：暂可以不修复）。 最小长度：0 最大长度：512 release_time 否 String 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 reference_url 否 String 参考链接。 最小长度：0 最大长度：512 vendor_name 否 String 漏洞报告提供者信息。 最小长度：1 最大长度：32 vulnerable_package 否 String 受影响软件版本。 最小长度：1 最大长度：32 cve_ids 否 String CVE编号列表。 最小长度：1 最大长度：256 表14 Malware 参数 是否必选 参数类型 描述 name 是 String 恶意软件名称，最大64个字符。 最小长度：1 最大长度：64 sha256 否 String 恶意软件sha256 最小长度：1 最大长度：1024 type 是 String 恶意软件类型，遵循STIX规范： adware、backdoor、bot、bootkit、ddos、downloader、dropper、exploit-kit、keylogger、ransomware、remote-access-trojan、resource-exploitation、rogue-security-software、rootkit、screen-capture、spyware、trojan、unknown、virus、webshell、wiper、worm 最小长度：1 最大长度：512 path 否 String 恶意软件在系统中的路径，最大512个字符。 最小长度：0 最大长度：512 state 否 String 恶意软件状态，取值范围：OBSERVED、REMOVAL_FAILED、REMOVED。 最小长度：0 最大长度：512 properties 否 MalwareProperties object 属性信息。 表15 MalwareProperties 参数 是否必选 参数类型 描述 pid 否 String 进程ID。 最小长度：1 最大长度：64 user 否 String 系统角色（例如:root，service）。 最小长度：1 最大长度：64 mod 否 String 系统权限（例如：777，755）。 最小长度：1 最大长度：64 start_time 否 String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 表16 ThreatIntel 参数 是否必选 参数类型 描述 id 是 String 情报Id。 最小长度：0 最大长度：32 indicator_type 否 String 威胁情报类型，Domain、Email_Address、Hash_MD5、Hash_SHA1、Hash_SHA256、 Hash_SHA512、IPv4_Address、IPv6_Address、URL。 最小长度：0 最大长度：64 labels 否 String 标签，如'矿池','外联'等，"Directory Scan|Directory Traversal"。 最小长度：0 最大长度：512 confidence 否 Integer 置信度，不同来源目前置信度分值定义不一样（分数）。 最小值：0 最大值：9223372036854775807 information_source 是 String 威胁情报源，最大64个字符。 最小长度：0 最大长度：64 severity 否 Integer 严重程度，不同渠道定义值不一样（分数）。 最小值：0 最大值：9223372036854775807 description 是 String 威胁情报描述。 最小长度：0 最大长度：4096 modified 否 String 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from 否 String 有效期开始（可读字符串）。 最小长度：0 最大长度：32 valid_until 否 String 有效期结束（可读字符串）。 最小长度：0 最大长度：32 properties 否 ThreatIntelProperties object 威胁情报属性信息。 表17 ThreatIntelProperties 参数 是否必选 参数类型 描述 file_md5 否 String 恶意软件Md5。 最小长度：1 最大长度：64 file_sha1 否 String 恶意软件Sha1。 最小长度：1 最大长度：255 file_sha256 否 String 恶意软件Sha256值。 最小长度：1 最大长度：255 file_name 否 String 文件名称。 最小长度：1 最大长度：255 create_time 否 String 编译时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 file_class 否 String 文件类别，TEXT|XCODE。 最小长度：1 最大长度：255 file_family 否 String 家族，例如：wannacry（勒索软件）。 最小长度：1 最大长度：255 file_maltype 否 String 类别，例如：trojan（特洛伊）。 最小长度：1 最大长度：255 ip_resolves_to_refs 否 String mac地址。 最小长度：1 最大长度：255 belongs_to_refs 否 String IP AS 自治系统。 最小长度：1 最大长度：255 ip_location 否 String 地区 格式：country/provice/city/lngwgs/latwgs。 最小长度：1 最大长度：255 domain_family 否 String 例如：banjori|iodine。 最小长度：1 最大长度：255 domain_resolves_to_refs 否 String 解析的IP地址。 最小长度：1 最大长度：255 domain_dns_type 否 String DNS类别。A|NS|CNAME|TXT。 最小长度：1 最大长度：255 url_host 否 String 例：3ms.huawei.com。 最小长度：1 最大长度：255 url_resolves_to_refs 否 String IP地址。 最小长度：1 最大长度：255 display_name 否 String 显示名称。 最小长度：1 最大长度：128 url_belongs_to_ref 否 String 邮箱账户，@之前部分。 最小长度：1 最大长度：128 表18 Resource 参数 是否必选 参数类型 描述 id 是 String 资源ID。 最小长度：32 最大长度：36 name 是 String 资源名称；最大长度255个字符。 最小长度：1 最大长度：255 type 是 String 资源类型。 最小长度：1 最大长度：128 provider 是 String 云服务名称。 最小长度：1 最大长度：128 region_id 否 String 区域。 最小长度：1 最大长度：128 domain_id 是 String 资源所属租户账号ID。 最小长度：32 最大长度：36 project_id 否 String 资源所属项目ID。 最小长度：32 最大长度：36 ep_id 否 String 企业项目ID。 最小长度：32 最大长度：36 ep_name 否 String 企业项目名称。 最小长度：32 最大长度：36 tags 否 Object 资源标签 1、最多50个key/values对。 2、values：最大255字符。 3、取值范围：字母数字、空格、“+”、“-”、“=”、“.”、“_”、“:”、“/”、“@”。 表19 Remediation 参数 是否必选 参数类型 描述 recommendation 是 String 处理建议，最长512个字符。 最小长度：1 最大长度：512 url 否 String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 最小长度：1 最大长度：128