华为云用户手册

手动修复系统软件漏洞 对于Web-CMS漏洞、应用漏洞，不支持一键自动修复，您可以参考漏洞详情页面的修复建议，登录服务器手动修复。 漏洞修复命令 进入到漏洞的基本信息页，可根据修复建议修复已经被识别出的漏洞，漏洞修复命令可参见表1。 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 如果同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 表1 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu apt-get update && apt-get install 软件名称 --only-upgrade Gentoo 请参见漏洞修复建议。 漏洞修复方案 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 为需要修复漏洞的E CS 主机创建镜像，详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。 在当前主机上直接进行漏洞修复。 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。

安全编排使用流程 安全编排的使用流程如下： 图1 安全编排使用流程 表1 使用流程 序号 操作项 说明 1 启用流程 流程是剧本触发时响应的方式， 安全云脑 默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程。 启用流程分为以下场景： 场景一：使用初始版本的流程 流程的初始版本（V1）自动启用，无需手动启用。 场景二：使用自定义版本的流程 如果需要对某个流程进行编辑，可以复制初始版本进行处理，启用自定义流程版本的流程操作步骤如下： 复制流程版本 编辑并提交流程版本 审核流程版本 启用流程 2 启用剧本 剧本是处理一类安全问题的方法描述，是安全云脑在安全编排系统中的形式化表述。 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本。其中，多个剧本已默认启用，无需手动启用。默认已启用以下剧本： 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知。 如果需要使用某个未启用剧本，可以启用剧本的初始版本（V1，默认已激活），或者对剧本进行修改后再启用。 启用剧本分为以下场景： 场景一：使用初始版本的剧本 系统默认激活剧本的初始版本（V1），仅开启剧本启用即可，参考启用剧本。 场景二：使用自定义版本的剧本 如果需要使用某个未启用剧本，支持对剧本版本进行修改后再启用，启用自定义剧本版本操作步骤如下： 复制剧本版本 编辑并提交剧本版本 审核剧本版本 启用剧本

基本概念说明 在安全编排中，剧本和流程是两个核心元素，它们相互关联、依赖，并协同工作以确保安全运营的有效性和高效性。 剧本 剧本（Playbook）：是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程，剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 一个剧本中有且仅有一个流程。 流程 流程（Workflow）：是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本与流程的联系 剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 剧本与流程的区别 剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例 以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

约束与限制 单账号单workspace内，单剧本调度频率时间 ≥ 5分钟。 单账号单workspace内一天内的重试次数限制如下： 手动重试：流程实例最大重试次数100次。重试之后，等剧本执行完毕之后才允许再次重试。 API接口重试：流程实例最大重试次数100次。重试之后，等剧本执行完毕之后才允许再次重试。 分类&映射约束与限制如下： 单账号单workspace内，分类&映射模板 ≤ 50个。 单账号单workspace内，分类和映射的映射关系规格为1:100。 单账号单workspace内，最多可新增分类&映射100个。

操作场景 安全云脑通过集成 企业主机安全 （Host Security Service，HSS） 漏洞扫描 数据以及手动导入漏洞数据，集中呈现云上资产漏洞风险，帮助用户及时发现资产安全短板，修复危险漏洞。 导入漏洞：针对安全云脑无法自动同步的云服务或资产的漏洞信息，支持用户手动导入漏洞数据，导入漏洞数据后，可在安全云脑统一查看跟踪。 导出漏洞：当您需要查看全量的漏洞信息时，安全云脑支持导出漏洞列表，支持用户自定义导出漏洞的参数信息。 本章节介绍如何导入、导出漏洞。

操作场景 为了解最新的云服务基线配置状态，您需要执行扫描任务，扫描结束后才能获取云服务基线的风险配置。基线检查功能支持定期自动检查和立即检查： 定期自动检查：根据安全云脑提供的默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：支持立即检查所有检查规范或某个检查计划，实时查看是否存在基线风险。 本章节介绍如何立即执行基线检查，包含以下几种类型： 立即检查所有遵从包：检查已有的，且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划：检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目：检查选中的检查项。

工作空间相关操作 新增工作空间后，用户可以进行如下相关操作。具体功能是否支持取决于购买的安全云脑版本，不同版本支持的功能不同，具体请参见产品功能。 查看态势总览、查看安全大屏、安全报告、任务中心：查看工作空间的安全态势、创建安全报告以及处理待办，通过安全大屏一览安全态势。 资产管理：对资产进行统一管理。 风险预防：进行风险预防，包括基线检查、漏洞管理、应急漏洞公告、策略管理。 威胁管理：进行威胁管理，包括事件管理、告警管理、情报管理、智能建模、安全分析、安全舆情。 安全编排：进行安全编排，将企业和组织在安全运营过程中涉及的不同系统或者同一个系统不同组件的安全功能按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事故的高效自动化响应处置。主要内容包括运营对象管理、剧本编排管理、页面布局管理、插件管理。 设置：设置日志采集或日志接入相关配置，实现日志采集或日志接入安全云脑。

前提条件 仅安全云脑标准版或专业版支持，安全云脑基础版不支持该功能。 云服务日志已接入安全云脑，安全云脑的数据管道中已有数据。如需接入云服务日志请参见接入日志数据。 如需投递到OBS中，需要已有一个桶策略为私有、公共读或公共读写的可用的桶（暂不支持并行文件桶）。如需创建，详细操作请参见创建OBS桶。 如需投递到LTS中，需要已有可用的日志组和日志流。如需创建，详细操作请参见创建LTS日志组、创建LTS日志流。

操作场景 安全云脑支持将数据实时投递至其他管道或其他 华为云产品 中，便于您存储数据或联合其它系统消费数据。配置数据投递后，安全云脑将定时将采集到的数据投递至其他管道或对应的云产品。 表1 数据投递场景说明 分类 投递场景 场景说明 数据投递场景 投递日志数据至其他数据管道 投递日志数据到其他数据管道。 投递日志数据至OBS桶 投递日志数据到 对象存储服务 （Object Storage Service，OBS）。 投递日志数据至LTS 投递日志数据到 云日志 服务（Log Tank Service，LTS）。 管理数据投递任务 管理数据投递任务 包括查看数据投递任务、挂起投递任务、启动投递任务、删除投递任务。 查看数据投递任务：查看数据投递任务相关信息。 挂起投递任务：数据投递成功后，如需停止投递，可挂起目标投递任务。 启动投递任务：数据投递任务停止投递后，如需重启投递，可启动目标投递任务。 删除投递任务：如果不在需要某个投递任务，可删除投递任务。

告警的风险等级分类 表2 告警的风险等级分类说明 风险等级 描述 致命 致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危 高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危 中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危 低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示 对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。

背景信息 应急漏洞指的是华为 云安全 公告讯息中呈现的业界近期广泛披露的安全漏洞。安全云脑通过采集应急漏洞讯息，及时呈现业界近期广泛披露的安全漏洞，并支持一键获取安全漏洞详情、影响范围和处置建议等信息，提供对资产风险的消减建议。 应急漏洞功能支持以下特性： 支持每5分钟抓取一次安全公告讯息，更新应急漏洞公告。 支持按披露时间排序应急漏洞公告。 支持按关键字查找应急漏洞公告。 支持导出全部应急漏洞公告列表。

取消加白或删除白名单策略 加白名单后，再次执行检查时，将不再对已加白的检查项进行检查，且“检查项合格率”中，也将不再纳入计算中。如需再次检查该检查项目，可以执行取消加白或删除白名单策略。检查项加白名单有三种方式，三种不同加白方式下取消加白或删除白名单策略的方法如下： 当通过在检查结果页面对某检查项加白名单，可通过如下两种方式进行取消加白操作： 方式1：参考在遵从包详情页对某检查项加白名单指导，在待取消加白检查项的“操作”列单击“取消加白”，并在弹出的确认框单击“确定”。 方式2：参考通过策略设置对某检查项进行加白名单策略设置指导，删除待取消加白检查项对应的白名单策略。 当通过在遵从包详情页对某检查项加白名单 参考在遵从包详情页对某检查项加白名单指导，在待取消加白检查项的“操作”列单击“取消加白”，并在弹出的确认框单击“确定”。 当通过通过策略设置对某检查项进行加白名单策略设置，可以在“策略设置”页面删除对应的检查项加白策略。 删除：在待取消加白的检查项加白策略所在行操作列的“删除”。在弹出的“删除”页面确认信息后单击“确定”。 批量删除：勾选待取消加白的检查项加白策略，支持同时勾选多个加白策略，单击“批量删除”。在弹出的“删除”页面确认信息后单击“确定”。

安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新，也支持通过单击“重新检测”来进行实时更新。 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见安全评分。 分值环形图不同颜色表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“告警管理”、“漏洞管理”、“基线检查”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤告警管理或漏洞管理页面的数据总数。 处理安全风险： 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 在“安全风险处理”页面中，单击“前往处理”，进入“告警管理”、“漏洞管理”或“基线检查”页面。 对风险告警、漏洞或基线检查项目进行处理。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 表2 安全监控参数说明 参数名称 参数说明 威胁告警 呈现最近7天内当前工作空间中未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 如果列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“告警管理”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息，查看威胁告警详细操作请参见查看告警信息。 漏洞 展示当前工作空间中您资产中TOP5漏洞类型，以及近7天内还未修复的漏洞总数和不同漏洞风险等级对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 高危：即高危风险，表示资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 中危：即中危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏，系统将呈现TOP5（根据某个漏洞影响的主机数量进行排序）的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序，受影响主机数量越多排名越靠前。 要求Linux系统主机中Agent版本为3.2.9及以上，Windows系统主机中Agent版本为4.0.19及以上。更多主机Agent版本说明请参见Agent版本说明。升级主机Agent请参见升级主机Agent。 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏，系统将列表实时呈现近7天内TOP5的漏洞事件，可快速查看漏洞详情。 呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 如果列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“漏洞管理”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息，查看漏洞详细操作请参见查看漏洞详情。 合规检查 展示当前工作空间中您资产中存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看合规检查事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现TOP5的合规检查异常事件，可快速查看合规检查详情。 呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、受影响资产数量、发现时间。 如果列表显示内容为空，表示无合规异常事件。 单击“查看更多”，可跳转到“基线检查”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息，查看合规检查详细操作请参见查看检查结果。

约束与限制 单用户单工作空间内容最多新增300条支持阻断老化的应急策略，全量最多新增2500条应急策略。同时，单次下发策略阻断对象数量限制如下： 当需要下发策略至CFW时，单用户单次最多可新增500个IP或 域名 作为阻断对象。 当需要下发策略至WAF时，单用户单次最多可新增500个IP作为阻断对象。 当需要下发策略至VPC时，单用户单次1分钟内最多可新增500个IP作为阻断对象。 当需要下发策略至 IAM 时，单用户单次最多可新增500个IAM用户作为阻断对象。 将IP或IP地址段或IAM用户配置为黑名单后，来自该IP或IP地址段或用户的访问，CFW/WAF/VPC/IAM将不会做任何检测，直接拦截。 为确保系统稳定性，同时执行的应急策略任务数量必须小于等于5个，若检测到已有5个任务正在执行，系统将禁止继续新增、重试或编辑应急策略操作。 应急策略新增成功后，不支持修改阻断对象类型和阻断对象（即新增时设置的IP地址或IP地址段或IAM用户名）。 应急策略新增成功后，不支持修改策略对象、策略类型、对象类型、和已经勾选的操作连接。

操作场景 应急策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断，拦截该恶意IP的访问。表1中为推荐设置，除此之外，您也可以结合对多条告警的综合调查结果，对单个攻击源采用多种类型进行阻断。 表1 推荐阻断策略 告警类型 对应防线 推荐阻断策略 HSS告警 主机防线 建议优先采用VPC策略阻断 WAF告警 应用防线 建议优先采用WAF策略阻断 CFW告警 网络防线 建议优先采用CFW策略阻断 IAM告警 身份防线 建议优先采用IAM策略阻断 OBS/DBSS告警 数据防线 当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断，隔绝防护资产和攻击源的网络通信等 本章节介绍如何执行一键阻断和一键解封操作。

基线检查方式 自动执行基线检查 SecMaster默认每隔3天检查一次，每次在00:00~06:00对您账号下当前region所有资产按照“安全上云合规检查1.0”遵从包进行检查。默认检查计划仅支持变更开启或关闭自动执行基线检查的操作。 自定义定时执行基线检查 支持自定义自动检查周期、检查时间和检查范围，“安全上云合规检查1.0”、“护网检查”、“华为云安全配置基线”里的支持自动化项的检查项。定时执行基线检查详细操作请参见定时执行基线检查。 立即执行基线检查 支持立即检查所有检查规范或某个检查计划，实时查看是否存在基线风险。支持用户设置遵从包中的可自动化项的检查项。针对仅支持手动检查的检查项系统会生成检查结果为“待检查”的检查项，需要用户线下执行手动检查后在控制台反馈检查结果。立即执行基线检查详细操作请参见立即执行基线检查。 立即检查所有遵从包：检查已有的，且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划：检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目：检查选中的检查项。 手动执行基线检查 基线检查的一些检查项目为手动检查项，需要您在线下执行检查后，再在控制台上反馈检查结果，以便计算检查项合格率。另外，自动检查的检查项目也可以进行手动检查。 基线检查的“等保2.0三级要求”、“GDPR”中所有的检查项目、“安全上云合规检查1.0”、“护网检查”、“华为云安全配置基线”中的一些检查项目为手动检查项。 手动检查详细操作请参见手动执行基线检查。

操作场景 含义：资产连接是安全编排流程中，每个插件节点需要使用到的连接域名和鉴权参数。 作用：用于在安全编排的流程执行过程中，每个插件节点运行时，传入需要连接的域名信息，以及在访问该域名时，需要使用到的用户鉴权信息，如用户名/密码、账号AK/SK等。 资产连接与插件的关系：每个插件在运行过程中，需要通过域名调用的方式访问其他云服务或者三方服务，调用过程中需要鉴权，因此，在插件的登录凭证参数中会定义需要的域名参数（Endpoint）和认证参数（用户名/密码、账号AK/SK等）。资产连接则是配置插件登录凭证的参数值，流程中每个插件节点绑定不同的资产连接，支持相同插件的不同节点访问不同的服务。 本章节主要介绍如何管理资产连接，包括：新增资产连接、查看资产连接、编辑资产连接、删除资产连接。

sec-mtd-alarm MTD告警日志字段含义如下所示： 表20 sec-mtd-alarm 字段 类型 字段含义 version String 事件对象的版本，该字段的值必须为服务确定的官方发布版本之一。 在当前版本中，事件对象格式的版本为1.2.0。 environment Object 事件产生的环境坐标信息。 environment type string 环境供应商。 domain_id string HWC special，域名ID。 region_id string HWC special，区域ID。 project_id string HWC special，项目ID。 data_source Object 数据源。 data_source type Int 数据源类型。取值范围如下： 1：华为产品 2：第三方产品 3：租户私有产品 domain_id String 数据源产品所属账号的ID，最大36个字符。 project_id String 数据源产品所属项目的ID，最大36个字符。 region_id String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。 company_name String 数据源产品所属公司的名称，最大16个字符。 product_name String 数据源产品的名称，最大24个字符。 product_feature String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性，最大24个字符。 first_observed_time Timestamp 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time Timestamp 最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time Timestamp 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time Timestamp 接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 event_id String 事件唯一标识，UUID格式，最大36个字符。 title String 事件标题，最大255字符。 title_en String 事件标题英文，最大255字符。 title_zh String 事件标题中文，最大255字符。 description String 事件描述信息，最大1024个字符。 source_url String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 count Int 事件发生次数。 confidence Int 事件的置信度，置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100。 severity Object 严重性。 severity label String 严重性等级，取值范围： TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 normalize_score Int 严重性评分，取值范围：0-100。与严重性等级的对应关系： TIPS：0 LOW：1-39 MEDIUM：40-69 HIGH：70-89 FATAL：90-100 original_score Int 严重性原始评分，指在数据源产品中的评分。 criticality Int 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 type Object 事件分类。 type business String 安全运营过程，弱点的分类维度 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 namespace String 安全运营过程，弱点的分类维度。 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 category String 类别，推荐使用预定义的类型分类。 classifier String 分类器，推荐使用预定义的分类器。如果指定了分类器，则必须指定类别。 tech_domain String 技术领域标签： OS：主机 APP：应用 NET：网络 CS：云服务 CSP：平台云服务 properties Object 见对象type.properties type.properties killchain String Kill chain事件分类，仅当 namespace为ATTACK有效。 ttps String Mitre Array 事件分类，仅当namespace为ATTACK有效。 effects String 影响，全部类型。 compliance Object 合规检查信息。 compliance checkitem_id String 检查项（检查规则）编号。 checkpoint_id String 检查点（检查结果）编号，检查项对同一个资源的检查结果。 spec_id String 检查规范编号，默认选第一个。 reason String 原因。 status String 合规检查结果，取值定义： QUALIFIED：没有检查失败的项，且未出现风险项，表示检查结果为合格。 RISK：没有失败的，但是只要有一个有风险的就是有风险的。 FAILED：只要有一个失败的就是失败。 properties Object 主机基线字段全量维持（不固定，包含主机基线和sa基线）。 network Object 网络信息。 network direction String 方向，取值范围：IN | OUT protocol String 协议。 src_ip String 源IP地址。 src_port int 源端口，0–65535。 src_domain String 源域名，最大128个字符。 src_geo Object 源IP的地理位置信息。 dest_ip String 目标IP地址。 dest_port int 目标端口，0–65535。 dest_domain String 目标域名，最大128个字符。 dest_geo Object 目标IP的地理位置信息。 geo latitude Float 纬度。 longitude Float 经度。 city_code String 城市编码。 country_code String 国家简码ISO。 vulnerability_patch Object 漏洞补丁信息。 vulnerability_patch patch_id String 补丁编号。 patch_name String 补丁名称。 type String 补丁类型。 0：linux 1：windows 2：web-cms major_level String 重要等级。 status String 补丁状态。 release_time Timestamp 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 repair_cmd String 修复命令。 repair_necessity Int 修复必要程度。 1：需立刻修复 2：可延后修复 3：暂可以不修复 vendor_name String 漏洞报告提供者信息（厂商）。 vulnerable_package String 受影响软件版本列表。 reference_url String 参考链接。 cve_ids String 漏洞列表。 malware Object 恶意软件。 malware name String 恶意软件名称，最大64个字符。 sha256 String 恶意软件sha256。 type String 恶意软件类型，遵循STIX规范： adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm path String 恶意软件在系统中的路径，最大512个字符（包含软件名称）。 state String 恶意软件状态，取值范围：OBSERVED | REMOVAL_FAILED | REMOVED。 properties Object 见对象malware.properties。 malware.properties pid String 进程ID。 user String 系统角色（例如：root，service）。 mod String 系统权限（例如：777，755）。 start_time String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 threat_intel Object 威胁情报。 threat_intel id String 情报ID。 indicator_type String 威胁情报类型。 labels String 标签。 confidence Int 置信度，不同来源目前置信度分值定义不一样（分数）。 information_source String 威胁情报源。 severity Int 严重程度，不同渠道定义值不一样（分数）。 value String 威胁情报指标值，最大512个字符，如：ip、url、domain等。 description_en string 威胁情报描述-英文。 description_zh String 威胁情报描述-中文。 description String 威胁情报描述。 modified Timestamp 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from String 有效期开始（可读字符串）。 valid_until String 有效期结束（可读字符串）。 properties Object 见对象threat_intel.properties。 threat_intel.properties file_md5 String 恶意软件Md5。 file_sha1 String 恶意软件Sha1。 file_sha256 String 恶意软件Sha256值。 file_name String 文件名称。 create_time Timestamp 编译时间。 file_class String 文件类别，TEXT、XCODE。 file_family String 家族，例如：wannacry（勒索软件）。 file_maltype String 类别，例如：trojan（特洛伊）。 ip_resolves_to_refs String mac地址。 belongs_to_refs String IP AS 自治系统 ip_location String 地区。格式：country/province/city/lngwgs/latwgs。 domain_family String 域名家族。 domain_resolves_to_refs String 解析的IP地址。 domain_dns_type String DNS类别。 url_host String URL地址。 url_resolves_to_refs String IP地址。 display_name String 显示名称。 url_belongs_to_ref String 邮箱账户，@之前部分。 resource Object 受影响资源。 resource id String 云服务资源ID。 name String 资源名称；最大长度255个字符。 type String 资源类型，引用 RMS type字段。 provider String 云服务名称，引用RMS provider字段。 region_id String 区域。 domain_id String 资源所属账号ID，UUID。 project_id String 资源所属项目ID，UUID。 ep_id String 企业项目id。 ep_name String 企业项目名称。 tags Object 资源标签。 最多50个key/values对。 values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ remediation Object 补救措施。 remediation recommendation_zh String 推荐处理方法-中文。 recommendation_en String 推荐处理方法-英文。 recommendation String 推荐处理方法。 url String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 data_source_fields Object 数据源自定义信息，最多支持50个key/value对，约束条件： 该对象不能包含冗余数据，并且不能与已定义的事件格式字段冲突。 字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state String 验证状态，标识事件的准确性。可选类型如下： Unknown：未知 True_Positive：确认 False_Positive：误报 默认填写Unknown。 handle_status String 事件处理状态，可选类型如下： New：未知 Ignored：忽略 Resolved：已解决 默认填写New。 phase String 阶段：Preparation|Detection and Analysis|Containment，Eradication& Recovery| Post-Incident-Activity sla Int 约束闭环时间，单位：天。设置风险接受持续时间。

sec-dbss-alarm DBSS告警日志字段含义如下所示： 表16 dbss-alarm 字段 类型 字段含义 domain_id String 账号ID。 project_id String 项目ID。 region String region tenant_vpc_id String 租户的VPC ID。 tenant_subnet_id String 租户的子网ID。 instance_id String 实例ID。 instance_name String 实例名。 alarm Object 告警对象。 source_type String dbss。 alarm alarm_risk String 告警等级。 client_ip String 连接IP。 database_ip String 数据库访问IP。 count Long 告警次数。 user_name String 数据库用户名。 schema String oracle schema。 rule_name String 规则名称。 rule_id String 规则ID。 sql_type String SQL执行类型。 sql_result String SQL执行结果。 db_type String 数据库类型。

sec-cfw-block 云防火墙 访问控制日志字段含义如下所示： 表14 sec-cfw-block 字段 类型 字段含义 hit_time Date 访问发生的时间。 action String 云防火墙当前的响应动作： permit：放行 deny：阻断 app String 应用类型。 dst_ip String 目的IP地址。 dst_port String 目的端口号。 protocol String 协议类型。 rule_id String 触发规则的ID。 src_ip String 源IP地址。 src_port String 源端口号。

sec-apig-access API网关访问日志字段含义如下所示： 表15 sec-apig-access 字段 类型 字段含义 region_id String 局点。 api_id String API ID。 body_bytes_sent String 返回Body大小。 bytes_sent String 整个返回大小。 domain String 公网域名。 errorType String 是否被流控（1：被流控）。 http_user_agent String 用户代理标识。 http_x_forwarded_for String X-Forwarded-For头。 opsuba_api_url String 请求的URI。 out_times String 网关内部与周边组件交互耗时。 remote_addr String 远端ip。 request_id String 请求id。 request_length String 整个请求大小。 request_method String HTTP请求方法。 request_time String 访问耗时。 scheme String 协议。 server_protocol String 请求协议。 status String 状态。 time_local Date 时间。 upstream_addr String 远端ip。 upstream_connect_time String 远端连接耗时。 upstream_header_time String 远端头耗时。 upstream_response_time String 远端返回耗时。 upstream_status String 远端状态。 upstream_uri String 请求后端的URI。 user_name String 用户projectid或appid。

sec-cfw-flow 云防火墙流量日志字段含义如下所示： 表13 sec-cfw-flow 字段 类型 字段含义 app String 应用类型。 dst_ip String 目的IP地址。 dst_port String 目的端口号。 end_time Date 流结束时间。 protocol String 协议类型。 to_c_bytes String 服务端向客户端发送的字节数。 to_c_pkts String 服务端向客户端发送的报文数。 to_s_bytes String 客户端向服务端发送的字节数。 to_s_pkts String 服务端向客户端发送的报文数。 src_ip String 源IP地址。 src_port String 源端口号。 start_time Date 流开始时间。

sec-cfw-risk 云防火墙攻击事件日志字段含义如下所示： 表12 sec-cfw-risk 字段 类型 字段含义 event_time Date 检测到的攻击时间。 action String 云防火墙当前的响应动作。 permit：放行 deny：阻断 app String 应用类型。 attack_rule String 检测到攻击的防御规则。 attack_rule_id String 检测到攻击的防御规则ID号。 attack_type String 发生攻击的类型： Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为 dst_ip String 目的IP地址。 dst_port String 目的端口号。 packet String 攻击日志的原始数据包。 protocol String 协议类型。 level String 表示检测到威胁的等级： CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source String 检测到攻击的防御模式： 0：基础防御 1：虚拟补丁 src_ip String 源IP地址。 src_port String 源端口号。 direction String 流量方向： out2in：入方向 in2out：出方向

sec-cts-audit 云审计 服务日志字段含义如下所示： 表11 sec-cts-audit 字段 类型 字段含义 time Date 事件发生时间。以当地标准时间（采用格林威治时间加当地时区形式）进行展示，例如：2022/11/08 11:24:04 GMT+08:00。 user Object 发起操作的云账户信息。 request Object 操作的请求内容。 response Object 操作的响应内容。 service_type String 操作来源。 resource_type String 资源类型。 resource_name String 资源名称。 resource_id String 资源的唯一标识。 source_ip String 发起本次操作的用户的IP，如果为系统内调用，则为空。 trace_name String 操作名称。 trace_rating String 操作事件等级，分为以下等级： normal：代表本次操作成功。 warning：代表本次操作失败。 incident：代表本次操作引起了比失败更严重的后果，比如会造成节点故障或用户业务故障等情况。 trace_type String 操作类型，分为以下几种： ConsoleAction：表示通过管理控制台执行的操作。 SystemAction：表示系统内部触发的操作。 ApiCall：表示调用ApiGateway触发的操作。 ObsSDK：表示通过调用OBS 提供的SDK 触发的关于OBS桶相关操作。 Others：表示除去通过“ObsSDK”触发的关于OBS桶相关的操作。 api_version String 作为操作来源的云服务的API版本号。 message Object 备注信息。 record_time Long 记录操作的时间，表示方式为时间戳。 trace_id String 操作的唯一标识。 code Integer 事件http返回码，例如200，400。 request_id String 记录本次请求的request id。 location_info String 记录本次请求出错后，问题定位所需要的辅助信息。 endpoint String 该操作涉及云资源的详情页面的endpoint。 resource_url String 该操作涉及云资源的详情页面的访问链接（不含endpoint）。 user_agent String OBS桶相关操作中非ObsSDK方式调用时的操作类型。 content_length Long OBS桶相关操作中请求消息体的长度。 total_time Long OBS桶相关操作中请求的响应时间。

sec-ddos-attack DDoS攻击日志字段含义如下所示： 表10 sec-ddos-attack 字段 类型 字段含义 log_type String 日志类型。 time Date 本地时间。 device_ip String 设备IP。 device_type String 设备类型（清洗：CLEAN；检测：DETECT）。 direction String 日志方向（inbound，outbound）。 zone_id String 防护对象ID。 zone_name String 防护对象名称。 zone_ip String IP。 biz_id String 业务ID。 is_deszone String 是否网段流量（是：true；否：false）。 is_ipLocation String 是否地址位置流量（是：true，否：false）。 ipLocation_id String 地理位置ID。 total_pps String 总pps。 total_kbps String 总Kbps。 tcp_pps String 到目标的TCP总包速率pps。 tcp_kbps String 到目标的TCP总流量Kbps。 tcpfrag_pps String 到目标的TCP碎片包速率pps。 tcpfrag_kbps String 到目标的TCP碎片流量Kbps。 udp_pps String 到目标的UDP总包速率pps。 udp_kbps String 到目标的UDP总流量Kbps。 udpfrag_pps String 到目标的UDP碎片包速率pps。 udpfrag_kbps String 到目标的UDP碎片流量Kbps。 icmp_pps String 到目标的ICMP总包速率pps。 icmp_kbps String 到目标的ICMP总流量Kbps。 other_pps String 到目标的Other总包速率pps。 other_kbps String 到目标的Other总流量Kbps。 syn_pps String 到目标的SYN报文数。 synack_pps String 到目标的SYN/ACK报文数pps。 ack_pps String 到目标的ACK报文数pps。 finrst_pps String 到目标的FIN/Rst报文数pps。 http_pps String 到目标的HTTP总包速率pps。 http_kbps String 到目标的HTTP总流量Kbps。 http_get_pps String 到目标的HTTP请求总包速率pps。 https_pps String 到目标的HTTPS总包速率pps。 https_kbps String 到目标的HTTPS总流量Kbps。 dns_request_pps String 到目标业务DNS Query包速率pps。 dns_request_kbps String 到目标业务DNS Query总流量Kbps。 dns_reply_pps String 到目标业务DNS Reply包速率pps。 dns_reply_kbps String 到目标业务DNS Reply总流量Kbps。 sip_invite_pps String 到目标业务SIP包速率pps。 sip_invite_kbps String 到目标业务SIP总流量Kbps。 tcp_increase_con String 到目标的tcp每秒新建连接数统计。 udp_increase_con String 到目标的udp每秒新建连接数统计。 icmp_increase_con String 到目标的icmp每秒新建连接数统计。 other_increase_con String 到目标的other协议每秒新建连接数统计。 tcp_concur_con String 到目标的tcp并发连接数统计。 udp_concur_con String 到目标的udp并发连接数统计。 icmp_concur_con String 到目标的icmp并发连接数统计。 other_concur_con String 到目标的other协议并发连接数统计。 total_average_pps String 到目标的所有流量的平均pps。 total_average_kbps String 到目标的所有流量的平均Kbps。

sec-hss-log 主机安全日志字段含义如下所示： 表9 sec-hss-log 字段 类型 字段含义 agentUuid String agent的UUID。 alarmCsn String 告警UUID。 alarmKey String 告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。 alarmVersion String agent版本号。 occurTime Long 事件发生时间（ms）。 severity Long 风险等级。 hostUuid String 受影响主机UUID。 hostName String 受影响主机名。 hostIp String 受影响主机通信IP。 ipList String 受影响主机IP列表。 cloudId String cloudagent sn。 region String 受影响主机所在区域。 projectId String 项目ID。 enterpriseProjectId String 企业项目ID。 appendInfo Object 告警详情。 appendInfo agent_id String AGENT ID。 version String 事件版本。 container_name String 容器ID（ 容器安全 场景）。 image_name String 镜像名称（容器安全场景）。 event_id String 事件ID，GUID。 event_name String 事件名称。 event_classid String 事件唯一标识。 occur_time Long 发生时间（秒）。 recent_time Long 最近一次发生时间（秒）。 event_category Integer 事件大类。 event_type Integer 事件类型。 event_count Integer 事件次数。 severity Integer 严重级别。 attack_phase Integer 攻击阶段。 attack_tag Integer 攻击标识。 confidence Integer 置信度。 action Integer 动作类型。 detect_module String 检测模块。 report_source String 上报源。 related_events String 相关事件ID。 resource_info Object 资源信息。 network_info Object 网络信息。 app_info Object 应用信息。 system_info Object 系统信息。 process_info list 进程信息。 user_info list 用户信息。 file_info list 文件信息。 geo_info Object 地理信息。 malware_info Object 恶意软件信息。 forensic_info String 取证字段。 recommendation String 处置建议。 extend_info String 事件扩展信息。 resource_info project_id String 项目ID。 region_name String Region名称。 vpc_id String VPC ID。 host_name String 主机名称。 host_ip String 主机IP。 host_id String 主机ID（ECS对应ID）。 cloud_id String CloudAgent SN。 vm_name String 虚拟机名称。 vm_uuid String 虚拟机UUID。 container_id String 容器id。 image_id String 镜像id。 sys_arch String 系统CPU架构。 os_bit String 操作系统位数。 os_type String 操作系统类型。 os_name String 操作系统名称。 os_version String 操作系统版本。 network_info local_address String 本地地址。 local_port Integer 本地端口。 remote_address String 远程地址。 remote_port Integer 远程端口。 src_ip String 源IP。 src_port Integer 源端口。 src_domain String 源域。 dest_ip String 目的IP。 dest_port Integer 目的端口。 dest_domain String 目的域。 protocol String 协议。 app_protocol String 应用层协议。 flow_direction String 流量方向。 app_info sql String 执行的sql语句。 domain_name String DNS域名。 url_path String URL路径。 url_method String URL方法。 req_refer String URL请求refer信息。 email_subject String 邮件主题。 email_sender String 邮件发送者。 email_receiver String 邮件接收者。 email_keyword String 邮件关键字。 process_info process_name String 进程名称。 process_path String 进程文件路径。 process_pid Integer 进程id。 process_uid Integer 进程用户id。 process_username String 运行进程的用户名。 process_cmdline String 进程文件命令行。 process_filename String 进程文件名。 process_start_time Long 进程启动时间。 process_gid Integer 进程组ID。 process_egid Integer 进程有效组ID。 process_euid Integer 进程有效用户ID。 parent_process_name String 父进程名称。 parent_process_path String 父进程文件路径。 parent_process_pid Integer 父进程id。 parent_process_uid Integer 父进程用户id。 parent_process_cmdline String 父进程文件命令行。 parent_process_filename String 父进程文件名。 parent_process_start_time Long 父进程启动时间。 parent_process_gid Integer 父进程组ID。 parent_process_egid Integer 父进程有效组ID。 parent_process_euid Integer 父进程有效用户ID。 child_process_name String 子进程名称。 child_process_path String 子进程文件路径。 child_process_pid Integer 子进程id。 child_process_uid Integer 子进程用户id。 child_process_cmdline String 子进程文件命令行。 child_process_filename String 子进程文件名。 child_process_start_time Long 子进程启动时间。 child_process_gid Integer 子进程组ID。 child_process_egid Integer 子进程有效组ID。 child_process_euid Integer 子进程有效用户ID。 virt_cmd String 虚拟化命令。 virt_process_name String 虚拟化进程名称。 escape mode String 逃逸方式。 escape cmd String 逃逸后执行的命令。 user_info user_id Integer 用户uid。 user_gid Integer 用户gid。 user_name String 用户名称。 user_group_name String 用户组名称。 user_home_dir String 用户home目录。 login_ip String 用户登录ip。 service_type String 登录的服务类型。 service_port Integer 登录服务端口。 login_mode String 登录方式。 login_lasttime Long 用户最后一次登录时间。 login_fail_count Integer 用户登录失败次数。 pwd_hash String 口令hash。 pwd_with_fuzzing String 匿名化处理后的口令。 pwd_used_days Integer 密码使用的天数。 pwd_min_days Integer 口令的最短有效期限。 pwd_max_days Integer 口令的最长有效期限。 pwd_warn_left_days Integer 口令无效时提前告警天数。 file_info file_path String 文件路径/名称。 file_alias String 文件别名。 file_size Integer 文件大小。 file_mtime Long 文件最后一次修改时间。 file_atime Long 文件最后一次访问时间。 file_ctime Long 文件最后一次状态改变时间。 file_hash String 文件hash。 file_md5 String 文件md5。 file_sha256 String 文件sha256。 file_type String 文件类型。 file_content String 文件内容。 file_attr String 文件属性。 file_operation String 文件操作类型。 file_change_attr String 变更前后的属性。 file_new_path String 新文件路径。 file_desc String 文件描述。 file_key_word String 文件关键字。 is_dir Boolean 是否目录。 fd_info String 文件句柄信息。 fd_count Integer 文件句柄数量。 forensic_info monitor_process String 监控进程。 escape_mode String 逃逸方式。 abnormal_port String 异常端口。 geo_info src_country String 源国家。 src_city String 源城市。 src_latitude Long 源纬度。 src_longitude Long 源经度。 dest_country String 目的国家。 dest_city String 目的城市。 dest_latitude Long 目的纬度。 dest_longitude Long 目的经度。 malware_info malware_family String 恶意家族。 malware_class String 恶意软件分类。 system_info pwd_valid Boolean 口令结果是否有效。 pwd_min_len Integer 口令长度。 pwd_digit_credit Integer 口令中数字要求。 pwd_uppercase_letter Integer 口令中大写字母。 pwd_lowercase_letter Integer 口令中小写字母。 pwd_special_characters Integer 口令中特殊字符。 extend_info hit_rule String 特征规则。 rule_name String 规则名称。 rulesetname String 规则集名称。 report_type String 上报数据类型。 ti_info ti_source String 情报来源。 ti_class String 情报分类。 ti_threat_type String 情报威胁类型。 ti_first_time Long 第一次发现时间。 ti_last_time Long 最近一次发现时间。

sec-hss-alarm 主机安全告警日志字段含义如下所示： 表8 sec-hss-alarm 字段 类型 字段含义 agentUuid String agent的UUID。 alarmCsn String 告警UUID。 alarmKey String 告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。 alarmVersion String agent版本号。 occurTime Long 事件发生时间（ms）。 severity Long 风险等级。 hostUuid String 受影响主机UUID。 hostName String 受影响主机名。 hostIp String 受影响主机通信IP。 ipList String 受影响主机IP列表。 cloudId String cloudagent sn。 region String 受影响主机所在区域。 projectId String 项目ID。 enterpriseProjectId String 企业项目ID。 appendInfo Object 告警详情。 appendInfo agent_id String AGENT ID。 version String 事件版本。 container_name String 容器ID（容器安全场景）。 image_name String 镜像名称（容器安全场景）。 event_id String 事件ID，GUID。 event_name String 事件名称。 event_classid String 事件唯一标识。 occur_time Long 发生时间（秒）。 recent_time Long 最近一次发生时间（秒）。 event_category Integer 事件大类。 event_type Integer 事件类型。 event_count Integer 事件次数。 severity Integer 严重级别。 attack_phase Integer 攻击阶段。 attack_tag Integer 攻击标识。 confidence Integer 置信度。 action Integer 动作类型。 detect_module String 检测模块。 report_source String 上报源。 related_events String 相关事件ID。 resource_info Object 资源信息。 network_info Object 网络信息。 app_info Object 应用信息。 system_info Object 系统信息。 process_info list 进程信息。 user_info list 用户信息。 file_info list 文件信息。 geo_info Object 地理信息。 malware_info Object 恶意软件信息。 forensic_info String 取证字段。 recommendation String 处置建议。 extend_info String 事件扩展信息。 resource_info project_id String 项目ID。 region_name String Region名称。 vpc_id String VPC ID。 host_name String 主机名称。 host_ip String 主机IP。 host_id String 主机ID（ECS对应ID）。 cloud_id String CloudAgent SN。 vm_name String 虚拟机名称。 vm_uuid String 虚拟机UUID。 container_id String 容器id。 image_id String 镜像id。 sys_arch String 系统CPU架构。 os_bit String 操作系统位数。 os_type String 操作系统类型。 os_name String 操作系统名称。 os_version String 操作系统版本。 network_info local_address String 本地地址。 local_port Integer 本地端口。 remote_address String 远程地址。 remote_port Integer 远程端口。 src_ip String 源IP。 src_port Integer 源端口。 src_domain String 源域。 dest_ip String 目的IP。 dest_port Integer 目的端口。 dest_domain String 目的域。 protocol String 协议。 app_protocol String 应用层协议。 flow_direction String 流量方向。 app_info sql String 执行的sql语句。 domain_name String DNS域名。 url_path String URL路径。 url_method String URL方法。 req_refer String URL请求refer信息。 email_subject String 邮件主题。 email_sender String 邮件发送者。 email_receiver String 邮件接收者。 email_keyword String 邮件关键字。 process_info process_name String 进程名称。 process_path String 进程文件路径。 process_pid Integer 进程id。 process_uid Integer 进程用户id。 process_username String 运行进程的用户名。 process_cmdline String 进程文件命令行。 process_filename String 进程文件名。 process_start_time Long 进程启动时间。 process_gid Integer 进程组ID。 process_egid Integer 进程有效组ID。 process_euid Integer 进程有效用户ID。 parent_process_name String 父进程名称。 parent_process_path String 父进程文件路径。 parent_process_pid Integer 父进程id。 parent_process_uid Integer 父进程用户id。 parent_process_cmdline String 父进程文件命令行。 parent_process_filename String 父进程文件名。 parent_process_start_time Long 父进程启动时间。 parent_process_gid Integer 父进程组ID。 parent_process_egid Integer 父进程有效组ID。 parent_process_euid Integer 父进程有效用户ID。 child_process_name String 子进程名称。 child_process_path String 子进程文件路径。 child_process_pid Integer 子进程id。 child_process_uid Integer 子进程用户id。 child_process_cmdline String 子进程文件命令行。 child_process_filename String 子进程文件名。 child_process_start_time Long 子进程启动时间。 child_process_gid Integer 子进程组ID。 child_process_egid Integer 子进程有效组ID。 child_process_euid Integer 子进程有效用户ID。 virt_cmd String 虚拟化命令。 virt_process_name String 虚拟化进程名称。 escape mode String 逃逸方式。 escape cmd String 逃逸后执行的命令。 user_info user_id Integer 用户uid。 user_gid Integer 用户gid。 user_name String 用户名称。 user_group_name String 用户组名称。 user_home_dir String 用户home目录。 login_ip String 用户登录ip。 service_type String 登录的服务类型。 service_port Integer 登录服务端口。 login_mode String 登录方式。 login_lasttime Long 用户最后一次登录时间。 login_fail_count Integer 用户登录失败次数。 pwd_hash String 口令hash。 pwd_with_fuzzing String 匿名化处理后的口令。 pwd_used_days Integer 密码使用的天数。 pwd_min_days Integer 口令的最短有效期限。 pwd_max_days Integer 口令的最长有效期限。 pwd_warn_left_days Integer 口令无效时提前告警天数。 file_info file_path String 文件路径/名称。 file_alias String 文件别名。 file_size Integer 文件大小。 file_mtime Long 文件最后一次修改时间。 file_atime Long 文件最后一次访问时间。 file_ctime Long 文件最后一次状态改变时间。 file_hash String 文件hash。 file_md5 String 文件md5。 file_sha256 String 文件sha256。 file_type String 文件类型。 file_content String 文件内容。 file_attr String 文件属性。 file_operation String 文件操作类型。 file_change_attr String 变更前后的属性。 file_new_path String 新文件路径。 file_desc String 文件描述。 file_key_word String 文件关键字。 is_dir Boolean 是否目录。 fd_info String 文件句柄信息。 fd_count Integer 文件句柄数量。 forensic_info monitor_process String 监控进程。 escape_mode String 逃逸方式。 abnormal_port String 异常端口。 geo_info src_country String 源国家。 src_city String 源城市。 src_latitude Long 源纬度。 src_longitude Long 源经度。 dest_country String 目的国家。 dest_city String 目的城市。 dest_latitude Long 目的纬度。 dest_longitude Long 目的经度。 malware_info malware_family String 恶意家族。 malware_class String 恶意软件分类。 system_info pwd_valid Boolean 口令结果是否有效。 pwd_min_len Integer 口令长度。 pwd_digit_credit Integer 口令中数字要求。 pwd_uppercase_letter Integer 口令中大写字母。 pwd_lowercase_letter Integer 口令中小写字母。 pwd_special_characters Integer 口令中特殊字符。 extend_info hit_rule String 特征规则。 rule_name String 规则名称。 rulesetname String 规则集名称。 report_type String 上报数据类型。 ti_info ti_source String 情报来源。 ti_class String 情报分类。 ti_threat_type String 情报威胁类型。 ti_first_time Long 第一次发现时间。 ti_last_time Long 最近一次发现时间。

sec-iam-audit 统一身份认证 审计日志字段含义如下所示： 表6 sec-iam-audit 字段 类型 字段含义 uid String 用户id。 un String 用户名。 did String 租户id。 dn String 租户名。 src String 请求域名。 opl String 操作级别。 op String 操作类型。 res String IAM服务调用结果。 ter String 源ip。 dtl String iam认证详情。 tn Date 发生时间。 ts Long iam服务调用的发生时间戳。 tid String traceid。 evnt String 事件。 tobj String 操作服务。

sec-hss-vul 主机漏洞扫描结果字段含义如下所示： 表7 sec-hss-vul 字段 类型 字段含义 agentUuid String agent的UUID。 alarmCsn String 告警UUID，master生成告警时随机生成。 alarmKey String 告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。 alarmVersion String agent版本号。 occurTime Int64 漏洞检测时间（ms）。 severity Int32 HSS定义的漏洞等级。 hostUuid String 受影响主机UUID。 hostName String 受影响主机名。 hostIp String 受影响主机通信IP。 ipList String 受影响主机IP列表。 cloudId String cloudagent sn。 region String 受影响主机所在区域。 projectId String 项目ID。 enterpriseProjectId String 企业项目ID。 appendInfo Object 漏洞详情。 appendInfo vulId String 漏洞官方ID。 type Int32 漏洞类型。 0：linux 1：windows 2：webcms repairNecessity Int32 漏洞修复必要性级别。 1：低危 2&3：中危 4：高危 status Int32 保留字段。 cve_ids String CVE ID列表，通过英文逗号连接。 url String 漏洞详情官网链接。 vulNameEn String 漏洞英文名。 vulNameCn String 漏洞中文名。 severityLevel String 漏洞危害级别，分为如下等级： Critical：严重 High：高 Medium：中 Low：低 descriptionEn String 漏洞英文描述。 descriptionCn String 漏洞中文描述。 solutionEn String 解决方案英文描述。 solutionCn String 解决方案中文描述。 repairCmd String 修复命令。 needBoot Int32 是否需要重启；当前默认1，暂时不用。 errorInfo String 修复失败原因。 appName String 存在漏洞的软件名（linux漏洞特有）。 version String 存在漏洞的软件版本（linux漏洞特有）。 createTime Int64 首次检测时间（ms）。 updateTime Int64 漏洞修复时间（ms）；初始值同createTime。 agentId String 关联主机agent的UUID。 projectId String 受影响租户ID。