华为云首页 用户手册

安全云脑 SECMASTER-日志字段含义:sec-mtd-alarm

安全云脑 SECMASTER-日志字段含义:sec-mtd-alarm

时间:2024-05-08 16:56:55
安全云脑 SECMASTER 安全分析

sec-mtd-alarm

MTD告警日志字段含义如下所示:

表20 sec-mtd-alarm

字段

类型

字段含义

version

String

事件对象的版本,该字段的值必须为服务确定的官方发布版本之一。

在当前版本中,事件对象格式的版本为1.2.0。

environment

Object

事件产生的环境坐标信息。

environment

type

string

环境供应商。

domain_id

string

HWC special,域名ID。

region_id

string

HWC special,区域ID。

project_id

string

HWC special,项目ID。

data_source

Object

数据源。

data_source

type

Int

数据源类型。取值范围如下:

  • 1:华为产品
  • 2:第三方产品
  • 3:租户私有产品

domain_id

String

数据源产品所属账号的ID,最大36个字符。

project_id

String

数据源产品所属项目的ID,最大36个字符。

region_id

String

数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义,例如cn-north-4a。

company_name

String

数据源产品所属公司的名称,最大16个字符。

product_name

String

数据源产品的名称,最大24个字符。

product_feature

String

产品功能特性名称,用来指明检测到当前事件的产品的功能特性,最大24个字符。

first_observed_time

Timestamp

首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

last_observed_time

Timestamp

最近发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

create_time

Timestamp

记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

arrive_time

Timestamp

接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

event_id

String

事件唯一标识,UUID格式,最大36个字符。

title

String

事件标题,最大255字符。

title_en

String

事件标题英文,最大255字符。

title_zh

String

事件标题中文,最大255字符。

description

String

事件描述信息,最大1024个字符。

source_url

String

事件URL链接,指向数据源产品中有关当前事件说明的页面。

count

Int

事件发生次数。

confidence

Int

事件的置信度,置信度的定义旨在说明识别的行为或问题的可能性。

取值范围:0-100。

severity

Object

严重性。

severity

label

String

严重性等级,取值范围:

  • TIPS:未发现任何问题。
  • LOW:无需针对问题执行任何操作。
  • MEDIUM:问题需要处理,但不紧急。
  • HIGH:问题必须优先处理。
  • FATAL:问题必须立即处理,以防止产生进一步的损害。

normalize_score

Int

严重性评分,取值范围:0-100。与严重性等级的对应关系:

  • TIPS:0
  • LOW:1-39
  • MEDIUM:40-69
  • HIGH:70-89
  • FATAL:90-100

original_score

Int

严重性原始评分,指在数据源产品中的评分。

criticality

Int

关键性,是指事件涉及的资源的重要性级别。

取值范围:0-100,0表示资源不关键,100表示最关键资源。

type

Object

事件分类。

type

business

String

安全运营过程,弱点的分类维度

事件所属业务领域标签,可选类别如下:

  • attack:攻击
  • vulnerability:漏洞
  • compliance check:合规检查
  • risk:风险
  • public opinion:舆情
  • illegal&violation:违法违规
  • security bulletin:公告

namespace

String

安全运营过程,弱点的分类维度。

事件所属业务领域标签,可选类别如下:

  • attack:攻击
  • vulnerability:漏洞
  • compliance check:合规检查
  • risk:风险
  • public opinion:舆情
  • illegal&violation:违法违规
  • security bulletin:公告

category

String

类别,推荐使用预定义的类型分类。

classifier

String

分类器,推荐使用预定义的分类器。如果指定了分类器,则必须指定类别。

tech_domain

String

技术领域标签:

  • OS:主机
  • APP:应用
  • NET:网络
  • CS:云服务
  • CSP:平台云服务

properties

Object

见对象type.properties

type.properties

killchain

String

Kill chain事件分类,仅当 namespace为ATTACK有效。

ttps

String

Mitre Array 事件分类,仅当namespace为ATTACK有效。

effects

String

影响,全部类型。

compliance

Object

合规检查信息。

compliance

checkitem_id

String

检查项(检查规则)编号。

checkpoint_id

String

检查点(检查结果)编号,检查项对同一个资源的检查结果。

spec_id

String

检查规范编号,默认选第一个。

reason

String

原因。

status

String

合规检查结果,取值定义:

  • QUALIFIED:没有失败的,也没有有风险的就是合格的。
  • RISK:没有失败的,但是只要有一个有风险的就是有风险的。
  • FAILED:只要有一个失败的就是失败。

properties

Object

主机基线字段全量维持(不固定,包含主机基线和sa基线)。

network

Object

网络信息。

network

direction

String

方向,取值范围:IN | OUT

protocol

String

协议。

src_ip

String

源IP地址。

src_port

int

源端口,0–65535。

src_domain

String

源域名,最大128个字符。

src_geo

Object

源IP的地理位置信息。

dest_ip

String

目标IP地址。

dest_port

int

目标端口,0–65535。

dest_domain

String

目标域名,最大128个字符。

dest_geo

Object

目标IP的地理位置信息。

geo

latitude

Float

纬度。

longitude

Float

经度。

city_code

String

城市编码。

country_code

String

国家简码ISO。

vulnerability_patch

Object

漏洞补丁信息。

vulnerability_patch

patch_id

String

补丁编号。

patch_name

String

补丁名称。

type

String

补丁类型。

  • 0:linux
  • 1:windows
  • 2:web-cms

major_level

String

重要等级。

status

String

补丁状态。

release_time

Timestamp

发布时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息

为事件发生时区,无法解析时区的时间,默认时区填东八区。

repair_cmd

String

修复命令。

repair_necessity

Int

修复必要程度。

  • 1:需立刻修复
  • 2:可延后修复
  • 3:暂可以不修复

vendor_name

String

漏洞报告提供者信息(厂商)。

vulnerable_package

String

受影响软件版本列表。

reference_url

String

参考链接。

cve_ids

String

漏洞列表。

malware

Object

恶意软件。

malware

name

String

恶意软件名称,最大64个字符。

sha256

String

恶意软件sha256。

type

String

恶意软件类型,遵循STIX规范:

adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm

path

String

恶意软件在系统中的路径,最大512个字符(包含软件名称)。

state

String

恶意软件状态,取值范围:OBSERVED | REMOVAL_FAILED | REMOVED。

properties

Object

见对象malware.properties。

malware.properties

pid

String

进程ID。

user

String

系统角色(例如:root,service)。

mod

String

系统权限(例如:777,755)。

start_time

String

进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。

时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

threat_intel

Object

威胁情报。

threat_intel

id

String

情报ID。

indicator_type

String

威胁情报类型。

labels

String

标签。

confidence

Int

置信度,不同来源目前置信度分值定义不一样(分数)。

information_source

String

威胁情报源。

severity

Int

严重程度,不同渠道定义值不一样(分数)。

value

String

威胁情报指标值,最大512个字符,如:ip、url、domain等。

description_en

string

威胁情报描述-英文。

description_zh

String

威胁情报描述-中文。

description

String

威胁情报描述。

modified

Timestamp

威胁情报的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

valid_from

String

有效期开始(可读字符串)。

valid_until

String

有效期结束(可读字符串)。

properties

Object

见对象threat_intel.properties。

threat_intel.properties

file_md5

String

恶意软件Md5。

file_sha1

String

恶意软件Sha1。

file_sha256

String

恶意软件Sha256值。

file_name

String

文件名称。

create_time

Timestamp

编译时间。

file_class

String

文件类别,TEXT、XCODE。

file_family

String

家族,例如:wannacry(勒索软件)。

file_maltype

String

类别,例如:trojan(特洛伊)。

ip_resolves_to_refs

String

mac地址。

belongs_to_refs

String

IP AS 自治系统

ip_location

String

地区。格式:country/province/city/lngwgs/latwgs。

domain_family

String

域名家族。

domain_resolves_to_refs

String

解析的IP地址。

domain_dns_type

String

DNS类别。

url_host

String

URL地址。

url_resolves_to_refs

String

IP地址。

display_name

String

显示名称。

url_belongs_to_ref

String

邮箱账户,@之前部分。

resource

Object

受影响资源。

resource

id

String

云服务资源ID。

name

String

资源名称;最大长度255个字符。

type

String

资源类型,引用RMS type字段。

provider

String

云服务名称,引用RMS provider字段。

region_id

String

区域。

domain_id

String

资源所属账号ID,UUID。

project_id

String

资源所属项目ID,UUID。

ep_id

String

企业项目id。

ep_name

String

企业项目名称。

tags

Object

资源标签。

  • 最多50个key/values对。
  • values:最大255字符,取值范围:字母数字,空格,+, -, =, ., _, :, /,@

remediation

Object

补救措施。

remediation

recommendation_zh

String

推荐处理方法-中文。

recommendation_en

String

推荐处理方法-英文。

recommendation

String

推荐处理方法。

url

String

链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证。

data_source_fields

Object

数据源自定义信息,最多支持50个key/value对,约束条件:

  • 该对象不能包含冗余数据,并且不能与已定义的事件格式字段冲突。
  • 字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @。

示例:

"data_source_fields": {

"key1": "value1",

"key2", "value2",

}

verification_state

String

验证状态,标识事件的准确性。可选类型如下:

  • Unknown:未知
  • True_Positive:确认
  • False_Positive:误报

默认填写Unknown。

handle_status

String

事件处理状态,可选类型如下:

  • New:未知
  • Ignored:忽略
  • Resolved:已解决

默认填写New。

phase

String

阶段:Preparation|Detection and Analysis|Containment,Eradication& Recovery| Post-Incident-Activity

sla

Int

约束闭环时间,单位:天。设置风险接受持续时间。
support.huaweicloud.com/usermanual-secmaster/secmaster_01_0140.html
看了此文的人还看了
CDN加速 GaussDB 文字转换成语音 免费的服务器 如何创建网站 域名网站购买 私有云桌面 云主机哪个好 域名怎么备案 手机云电脑 SSL证书申请 云点播服务器 免费OCR是什么 电脑云桌面 域名备案怎么弄 语音转文字 文字图片识别 云桌面是什么 网址安全检测 网站建设搭建 国外CDN加速 SSL免费证书申请 短信批量发送 图片OCR识别 云数据库MySQL 个人域名购买 录音转文字 扫描图片识别文字 OCR图片识别 行驶证识别 虚拟电话号码 电话呼叫中心软件 怎么制作一个网站 Email注册网站 华为VNC 图像文字识别 企业网站制作 个人网站搭建 华为云计算 免费租用云托管 云桌面云服务器 ocr文字识别免费版 HTTPS证书申请 图片文字识别转换 国外域名注册商 使用免费虚拟主机 云电脑主机多少钱 鲲鹏云手机 短信验证码平台 OCR图片文字识别 SSL证书是什么 申请企业邮箱步骤 免费的企业用邮箱 云免流搭建教程 域名价格
安全云脑 SECMASTER-日志字段含义:sec-mtd-alarm

搜索反馈

您搜索到想要的结果了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
热门活动
推荐文章
更多内容
云硬盘存储EVS Web应用防火墙 人机语音识别 开发者大会2023 云计算入门 云数据库选择 HDC大会 华为云计算 响应式建站是什么 智慧班牌系统