华为云用户手册

名词解释 插件：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集：是具有相同业务场景的插件集合。 函数：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器：是用于连接数据源，将告警、事件等安全数据接入 安全云脑 ，包括事件触发和定时触发两种连接器类型。 公共库：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

操作风险 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云备份（CBR）为E CS 创建备份，详细操作请参见创建云服务器备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。 Linux系统：如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置华为云提供的对应操作系统的镜像源，详细的配置操作请参见配置镜像源。 Windows系统：如果主机无法访问Internet，请确保拥有自建的补丁服务器。

修复验证 漏洞修复后，建议您立即进行验证。 表2 修复验证 验证方式 操作方法 手动验证 通过漏洞详情页面的“验证”，进行一键验证。 执行以下命令查看软件升级结果，确保软件已升级为最新版本。 CentOS/Fedora /Euler/Redhat/Oracle操作系统：rpm -qa | grep 软件名称 Debian/Ubuntu操作系统：dpkg -l | grep 软件名称 Gentoo操作系统：emerge --search 软件名称 在HSS中进行手动执行漏洞检测，查看漏洞修复结果。 自动验证 如果您未进行手动验证，HSS每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。

约束限制 主机安全服务各版本支持的漏洞处理操作请参见支持扫描和修复的漏洞类型。 操作系统CentOS 7，CentOS 8，Debian 9、10，Windows 2012 R2和Ubuntu 14.04及以下，官方已停止维护，由于官方不出补丁所以无法修复，建议使用正在维护的操作系统。 操作系统Ubuntu 16.04~Ubuntu 22.04，官方已不支持免费补丁更新，需要订阅Ubuntu Pro才能安装升级包，未配置Ubuntu Pro会导致漏洞修复失败。 由于贸然修复内核漏洞，可能会导致主机功能不可用，因此针对CCE、 MRS 、BMS的主机内核漏洞，HSS不支持自动修复，HSS在执行批量自动修复漏洞任务时也会自动过滤不修复这些类型的漏洞。 处理漏洞时需保证目标服务器的“服务器状态”为“运行中”、“Agent状态”为“在线”、“防护状态”为“防护中”。

手动修复系统软件漏洞 对于Web-CMS漏洞、应用漏洞，不支持一键自动修复，您可以参考漏洞详情页面的修复建议，登录服务器手动修复。 漏洞修复命令 进入到漏洞的基本信息页，可根据修复建议修复已经被识别出的漏洞，漏洞修复命令可参见表1。 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 如果同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 表1 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu apt-get update && apt-get install 软件名称 --only-upgrade Gentoo 请参见漏洞修复建议。 漏洞修复方案 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像，详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。 在当前主机上直接进行漏洞修复。 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。

相关操作 在跨租投递权限授权页面可以的投递权限进行拒绝和取消授权操作： 表1 跨租投递权限管理 操作 具体操作方法 拒绝 在目标投递任务所在行“操作”列，单击“拒绝”。 如需批量拒绝授权，可以勾选所有需要拒绝的任务，然后单击列表左上角的“拒绝”。 取消 在目标投递任务所在行“操作”列，单击“取消”。 如需批量取消授权，可以勾选所有需要取消的任务，然后单击列表左上角的“取消”。 在弹出的确认框中，单击“确定”。

含义 采集器：定制化的Logstash。采集器节点则是定制化的Logstash+组件控制器（isap-agent）。 节点：安装了组件控制器（isap-agent），并成功通过 IAM 鉴权后，并被安全云脑纳管的云服务器叫做节点。节点纳管成功后，即可在组件管理中下发采集引擎Logstash。 组件：为了很好地完成业务而定制的软件，目前提供汇聚式收集引擎Logstash用于租户日志收发安全云脑业务。 连接器：Logstash配置的基础概念，主要包括input、output两部分，分别对应源连接器、目的连接器，用于定义采集器Logstash接受数据方式和规范。其中，安全云脑管道pipe连接器可以对接安全云脑，实现租户数据上报安全云脑，安全云脑数据转储到租户的能力。 解析器：Logstash配置的基础概念，主要为Logstash的filter部分，安全云脑解析器是对其filter部分的无码化封装和定制，用户只需在页面上配置解析器规则即可生成原生的filter配置脚本，从而轻松实现将原始日志转化为目标格式。 采集通道：采集通道等价于Logstash的pipeline，在Logstash可以配置多个pipeline，每个pipeline包括input、filter、output部分，每个pipeline为单独的作业，互不影响。在安全云脑租户采集上，可将相同的pipeline部署在多个节点上，并且配置相同的pipeline视为一个采集通道。

数据采集流程 图3 数据采集流程 表2 数据采集流程说明 序号 步骤 说明 1 纳管节点 选择或 购买云服务器 ，在云服务器上安装组件控制器，完成节点纳管。 2 安装组件 节点纳管完成之后可以通过管理下发安装引擎Logstash，完成组件安装。 3 配置连接器 配置源和目的连接器，根据需要选择连接器并完成参数配置。 4 （可选）配置解析器 根据需要在页面上进行无码化解析器配置。 5 配置采集通道 配置连接通道，并与节点进行关联，下发Logstash的pipeline配置，完成整个数据采集的配置。 6 采集结果验证 配置完成采集通道之后，验证数据是否采集。 如果是日志接入到安全云脑管道，可以在安全云脑“安全分析”页面查询结果。

采集器规格 采集管理中，选作为节点的云服务器规格说明如下表所示： 表1 采集器规格 CPU内核数 内存大小 系统盘 数据盘 参考处理能力 4U 8G 50G 100G 2000 EPS @ 1KB 4000 EPS @ 500B 8U 16G 50G 100G 5000 EPS @ 1KB 10000 EPS @ 500B 16U 32G 50G 100G 10000 EPS @ 1KB 20000 EPS @ 500B 32U 64G 50G 100G 20000 EPS @ 1KB 40000 EPS @ 500B 64U 128G 50G 100G 40000 EPS @ 1KB 80000 EPS @ 500B 说明： 云服务器规格最少为2U4G，目录磁盘至少挂载100G磁盘。 日志量应当与机器规格成比例放大，总体来说，建议按表中规格比例进行放大。如果机器压力较大，建议部署多台采集器，通过采集通道来统一管理，分摊单机日志中转压力。 安装组件控制器前，建议先挂载磁盘，然后使用分盘脚本对磁盘进行分配，确保目录磁盘下有超过100G的剩余空间，保证采集器Logstash的正常安装和运行。

数据采集移除流程 图4 数据采集移除流程 表3 数据采集移除流程说明 序号 步骤 说明 1 删除采集通道 请在采集通道管理页面中，停止并删除Logstash的pipeline配置。 注：相关节点上的所有采集通道都需要进行停止并删除，才可以完整移除组件、注销节点。 2 （可选）删除解析器 如果配置了解析器，请在解析器管理页面中，删除配置的无码化解析器。 3 （可选）删除数据连接 如果新增了数据连接，请在连接管理页面中，删除源和目的连接器。 4 移除组件 删除节点上安装的采集引擎Logstash，移除组件。 5 注销节点 移除组件控制器，完成节点注销。 注：注销节点不会删除ECS和endpointinterface资源，后续如果不再使用数据采集功能，需要手动释放，详细操作请参见如何释放ECS和 VPC终端节点 资源？、删除终端节点。

威胁态势大屏总览 展示当前账号内资产的网络日志攻击次数、应用日志攻击次数和主机日志攻击次数。 表1 威胁态势大屏总览 参数名称 统计周期 更新频率 说明 网络日志攻击 次数 近7天 每小时 近7天弹性公网IP被攻击的次数。 较上周 近7天弹性公网IP被攻击次数，与近7-14天弹性公网IP被攻击次数的差值。 应用日志攻击 次数 近7天 每小时 近7天网站被攻击次数。 较上周 近7天网站被攻击次数，与近7-14天网站被攻击次数的差值。 主机日志攻击 次数 近7天 每小时 近7天ECS被攻击次数。 较上周 近7天ECS被攻击次数，与近7-14天ECS被攻击次数的差值。

攻击来源分布情况 呈现TOP5的网络攻击和应用攻击来源的分布情况，包括被攻击的资产IP、所属部门以及个数。 表2 攻击来源分布情况 参数名称 统计周期 更新频率 说明 Top5 网络日志攻击来源分布 近7天 每小时 近7天弹性公网IP被攻击的情况，按照攻击的源IP进行聚合统计，按照聚合后的统计次数由多到少取前五名。 Top5 应用告警攻击来源分布 近7天 每小时 近7天网站被攻击的情况，按照攻击的源IP进行聚合统计，按照聚合后的统计次数由多到少取前五名。

脆弱性大屏总览 展示脆弱性资产、漏洞、不合格基线、未防护资产的总数。 脆弱性资产表示当前时间存在未处理的漏洞、不合格的基线或未防护的资产。 表1 脆弱性大屏总览 参数名称 统计周期 更新频率 说明 脆弱性资产总数 实时 每小时 存在漏洞、基线检查问题的资产数量统计 漏洞 实时 每小时 漏洞管理中的漏洞统计数据 不合格基线数 实时 每小时 安全云脑基线检查中的数据 未防护资产 实时 每小时 用户没有开启安全防护的资产数量，例如没有开启主机安全服务的ECS，没有开启DDoS的弹性公网IP等。

基线检查通过率 呈现基线检查通过率、基线自动检查不通过资源统计情况、基线检查不通过类型及其数量、基线检查总数等。 表5 基线检查通过率 参数名称 统计周期 更新频率 说明 基线检查通过率 实时 每小时 基线检查通过率 = ( 基线检查合格项 / 总检查项 ) * 100%。 基线自动检查不通过资源统计 实时 每小时 基线检查不合格项，按照严重程度统计其影响的资源数。 基线检查 实时 每小时 基线检查合格、不合格、失败数量统计。

资产来源及对应的防护产品 表1 资产来源及对应的防护产品 参数名称 来源 对应的安全防护产品 主机资产 弹性云服务器（Elastic Cloud Server，ECS） 主机安全服务（Host Security Service，HSS） 网站 Web应用防火墙 （Web Application Firewall，WAF） Web应用防火墙（Web Application Firewall，WAF） 数据库 云数据库（Relational Database Service，RDS） 数据库安全服务（Database Security Service，DBSS） VPC 虚拟私有云（Virtual Private Cloud，VPC） 云防火墙 （Cloud Firewall，CFW） EIP 弹性公网IP（Elastic IP，EIP） DDoS原生基础防护服务（Anti-DDoS流量清洗，Anti-DDoS） 设备 用户线下设备资产 -- 说明： 资产信息同步至安全云脑后，在安全云脑控制台将展示资产的防护状态。防护状态说明如下： 如果资产的“防护状态”显示“已防护”，表示已购买对应安全防护产品，且已开启防护。 如果资产的“防护状态”显示“未防护”，表示未购买对应安全防护产品，且未开启防护。如果需要防护目标资产，请购买对应安全防护产品并开启防护，例如，需要防护ECS，则请购买HSS，并在HSS中开启防护。 安全防护产品具体操作请参见HSS操作指引、WAF操作指引、DBSS操作指引、CFW操作指引、Anti-DDoS操作指引。 如果资产的“防护状态”显示为“--”，表示对应的安全防护产品在该region不支持使用。

模板月报展示内容 表3 模板月报展示内容 参数模块 参数说明 统计周期 月报默认统计周期为上一个月整月。 安全评分 根据您的安全云脑的 威胁检测 能力，评估上一个月最后一天最新的整体资产安全健康得分，可以快速了解资产的整体安全状况。 基线检查 展示上一个月最后一次基线检查的统计情况，包含以下信息： 当前基线检查项目总数量 最后一次基线检查不合规检查项数量 安全漏洞 展示接入云服务上一个月最后一天最新的漏洞统计情况，包含以下信息： 漏洞总数量 未修复漏洞数量 策略覆盖 展示上一个月最后一天最新的安全产品覆盖情况，包含以下信息： 受安全产品保护的实例数量（=受保护ECS数量+受保护WAF实例数量） 主机安全覆盖率（=受保护ECS数量/全部ECS数量） 当前受保护云主机数量 当前受保护网站数量 资产安全 展示上一个月最后一天最新的资产安全情况，包含以下信息： 资产总数量 存在风险的资产数量 安全分析 展示安全分析统计情况，包含以下信息： 上一个月整月安全日志总流量 上一个月最后一天的安全日志模型数量 安全响应（总览） 展示上一个月整月安全响应情况，包含以下信息： 上一个月整月已处置的安全告警数量 上一个月整月确认的入侵事件数量 运行的自动化响应剧本数量 自动化剧本闭环率 MTTR平均时间 确认高风险入侵事件数量 资产风险 展示上一个月最后一天最新的资产安全状况，包含以下信息： 受攻击资产数量以及较月报统计月的上一月的变化 未防护资产数以及较月报统计月的上一月的变化 脆弱性资产数以及较月报统计月的上一月的变化 上一个月的资产变化趋势 资产防护率 威胁态势 展示上一个月最后一天最新的资产的威胁态势情况，包含以下信息： DDoS攻击次数 网络攻击次数 应用攻击次数 主机攻击次数 DDoS巡检情况 网络攻击变化趋势 WAF巡检情况 TOP5网络攻击类型统计情况 TOP5应用攻击类型统计情况 TOP5主机攻击类型统计情况 TOP5应用攻击源分布情况 TOP5应用攻击目的分布情况 TOP主机告警分布情况 TOP5网络攻击源分布情况 主机安全巡检情况 日志分析 展示上一个月整月日志分析的情况，包含以下信息： 日志源数量 日志索引数量 日志接收总数 日志存储总量 日志存储量变化趋势 TOP5日志源接入量统计情况 TOP10模型检测告警统计数量 安全响应（详细信息） 展示上一个月整月安全响应的情况，包含以下信息： 已处理告警数量 已处理事件数量 已处理漏洞数量 已处理基线数量 威胁告警分布情况及数量 TOP5入侵事件分布情况及数量 TOP5应急响应统计情况 TOP20威胁告警处理情况 外部安全热点 展示外部安全热点的情况。

模板日报展示内容 表1 模板日报展示内容 参数模块 参数说明 统计周期 日报默认统计周期为前一天00:00:00~23:59:59。 安全评分 根据您的安全云脑的威胁检测能力，评估前一天00:00:00~23:59:59整体资产安全健康得分，可以快速了解资产的整体安全状况。 基线检查 展示最近一次基线检查的统计情况，包含以下信息： 当前基线检查项目总数量 最近一次基线检查不合规检查项目数量 安全漏洞 展示接入云服务前一天的漏洞统计情况，包含以下信息： 漏洞总数量 未修复漏洞数量 策略覆盖 展示当前安全产品覆盖情况，包含以下信息： 受安全产品保护的实例数量（=受保护ECS数量+受保护WAF实例数量） 主机安全覆盖率（=受保护ECS数量/全部ECS数量） 当前受保护云主机数量 当前受保护网站数量 资产安全 展示当前资产安全情况，包含以下信息： 当前资产总数量 当前存在风险的资产数量 安全分析 展示前一天安全分析统计情况，包含以下信息： 前一天安全日志总流量 安全日志模型数量 安全响应（总览） 展示前一天安全响应情况，包含以下信息： 前一天处置的安全告警数量 前一天确认的入侵事件数量 前一天运行的自动化响应剧本数量 前一天自动化剧本闭环率 前一天的MTTR平均时间 前一天确认高风险入侵事件数量 资产风险 展示前一天资产安全状况，包含以下信息： 前一天受攻击资产数量 前一天未防护资产数 前一天脆弱性资产数 截止昨天为止的近7天的资产变化趋势 前一天资产防护率 威胁态势 展示前一天资产的威胁态势情况，包含以下信息： 前一天DDoS攻击次数 前一天网络攻击次数 前一天应用攻击次数 前一天主机攻击次数 前一天DDoS巡检情况 前一天网络主机攻击变化趋势 前一天WAF巡检情况 前一天TOP5网络攻击类型统计情况 前一天TOP5应用攻击类型统计情况 前一天TOP5主机攻击类型统计情况 前一天TOP5应用攻击源分布情况 前一天TOP5应用攻击目的分布情况 前一天TOP5主机告警分布情况 前一天TOP5网络攻击源分布情况 前一天主机安全巡检情况 日志分析 展示前一天日志分析的情况，包含以下信息： 前一天日志源数量 前一天日志索引数量 前一天日志接收总数 前一天日志存储总量 截至昨天为止的近7天的日志变化趋势 截至昨天为止的近7天的TOP5日志源接入流量统计情况 前一天TOP10模型检测告警统计数量 安全响应（详细信息） 展示前一天安全响应的情况，包含以下信息： 前一天已处理告警数量 前一天已处理事件数量 前一天已处理漏洞数量 前一天已处理基线数量 前一天威胁告警分布情况及数量 前一天TOP5入侵事件分布情况及数量 前一天TOP5应急响应统计情况 前一天TOP20威胁告警处理情况 外部安全热点 展示前一天外部安全热点的情况。

模板周报展示内容 表2 模板周报展示内容 参数模块 参数说明 统计周期 周报默认统计周期为上周一00:00:00到上周日23:59:59。 安全评分 根据您的安全云脑的威胁检测能力，评估上周最后一天最新的整体资产安全健康得分，可以快速了解资产的整体安全状况。 基线检查 展示上周最后一次基线检查的统计情况，包含以下信息： 当前基线检查项目总数量 最后一次基线检查不合规检查项数量 安全漏洞 展示接入云服务上周日最新的漏洞统计情况，包含以下信息： 漏洞总数量 未修复漏洞数量 策略覆盖 展示上周最后一天最新的安全产品覆盖情况，包含以下信息： 受安全产品保护的实例数量（=受保护ECS数量+受保护WAF实例数量） 主机安全覆盖率（=受保护ECS数量/全部ECS数量） 当前受保护云主机数量 当前受保护网站数量 资产安全 展示上周最后一天最新的资产安全情况，包含以下信息： 资产总数量 存在风险的资产数量 安全分析 展示安全分析统计情况，包含以下信息： 上周一整周安全日志总流量 上周最后一天的安全日志模型数量 安全响应（总览） 展示上周一整周安全响应情况，包含以下信息： 上周一整周已处置的安全告警数量 上周一整周确认的入侵事件数量 运行的自动化响应剧本数量 自动化剧本闭环率 MTTR平均时间 确认高风险入侵事件数量 资产风险 展示上周最后一天最新的资产安全状况，包含以下信息： 受攻击资产数量以及较月报统计月的上周的变化 未防护资产数以及较月报统计月的上周的变化 脆弱性资产数以及较月报统计月的上周的变化 上周的资产变化趋势 资产防护率 威胁态势 展示上周最后一天最新的资产的威胁态势情况，包含以下信息： DDoS攻击次数 网络攻击次数 应用攻击次数 主机攻击次数 DDoS巡检情况 网络攻击变化趋势 WAF巡检情况 TOP5网络攻击类型统计情况 TOP5应用攻击类型统计情况 TOP5主机攻击类型统计情况 TOP5应用攻击源分布情况 TOP5应用攻击目的分布情况 TOP主机告警分布情况 TOP5网络攻击源分布情况 主机安全巡检情况 日志分析 展示上周一整周日志分析的情况，包含以下信息： 日志源数量 日志索引数量 日志接收总数 日志存储总量 日志存储量变化趋势 TOP5日志源接入量统计情况 TOP10模型检测告警统计数量 安全响应（详细信息） 展示上周一整周安全响应的情况，包含以下信息： 已处理告警数量 已处理事件数量 已处理漏洞数量 已处理基线数量 威胁告警分布情况及数量 TOP5入侵事件分布情况及数量 TOP5应急响应统计情况 TOP20威胁告警处理情况 外部安全热点 展示外部安全热点的情况。

使用流程 安全治理功能的使用流程如表1所示。 表1 使用流程 子流程 说明 服务授权 使用安全治理功能前，需要获取访问云服务资源的权限，授权后，才能通过策略扫描帮您快速识别云上资产的安全遵从情况。 订阅安全遵从包 安全云脑提供有不同的安全遵从包，您可以选择所需的安全遵从包。 自评估 订阅安全遵从包后，您可以遵从包的条款进行自评估，以便识别业务遵从情况。 查看结果 策略扫描或自评估后，您可以查看安全治理情况： 安全合规总览：查看法规、标准条款遵从概况、各安全遵从包状态、策略扫描概况。 查看治理结果：查看各个安全遵从包整体遵从情况和各条款的详细信息。 查看策略扫描结果：查看策略扫描结果及其详细信息。 父主题： 安全治理

隐私保护遵从包 当前可选择的隐私保护遵从包如表2所示，用户依据判定指引选择并订阅安全遵从包。 表2 隐私保护遵从包 遵从包名称 描述 适用区域 分类 领域 判定指引 中国-澳门隐私保护遵从包 该遵从包依据《澳门个人资料保护法》2005年（Personal Data Protection Act，2005，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 中国-澳门 法律法规 隐私保护 您或者您的企业是否涉及如下场景之一： 以全部或部分自动化方式进行个人资料（在本遵从包中也称作“个人数据”）处理活动； 以非自动化方式进行的，构成或拟构成人工存档系统的一部分的个人资料的处理活动； 使用监控录像或其它设备来捕捉、处理和传播可用以识别某一特定个人的声音和图像。 说明： 澳门个人资料保护法没有对适用的“地域范围”进行规定。是否适用澳门PDPA或者是否受澳门法律的管辖，在上述3个场景涉及的情况，建议考虑以下两点： 资料处理活动是否在澳门特区领土范围有关联，例如在澳门特区内进行的个人资料搜集、储存的行为； 资料处理活动是否与澳门居民（包括法人、自然人）有关联。 您是否期望对您在澳门的个人资料处理方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 中国-大陆隐私保护遵从包 该遵从包依据《中国个人信息安全规范》2020年的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，为企业提供开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的安全要求，并给出了隐私保护方面的改进建议，帮助您的企业提升个人信息保护水平。 中国大陆 法律法规 隐私保护 您是否涉及在中国大陆境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在中国个人信息安全规范下的个人信息安全风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 中国-香港隐私保护遵从包 该遵从包依据《香港个人资料（私隐）条例》1995年（Personal Data （Privacy ）Ordinance，1995，简称PDPO）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业如何收集、存储、传输、处理和使用收集到的个人数据，并给出了隐私保护方面的改进建议，帮助您的企业提升隐私保护及信息安全水平。 中国香港 法律法规 隐私保护 您是否涉及对一名在世人士有关及可确定个人身份的资料，以可供查阅及处理的方式记录下来？ 说明： 中国香港PDPO没有对适用的“地域范围”进行规定，是否适用中国香港PDPO，建议结合以下条件考虑：您是否涉及作为中国香港境内的资料使用者（在本遵从包中也称作“数据控制者”）收集、使用、或处理个人资料（在本遵从包中也称作“个人数据”）？ 您是否期望对您在中国香港PDPO下的个人资料处理相关风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 新加坡隐私保护遵从包 该遵从包依据《新加坡个人数据保护法》2012年（Personal Data Protection Act，2012，简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您的企业规范个人数据的收集、使用或披露，以及提升个人保护其个人信息数据各项权利的意识。 新加坡 法律法规 隐私保护 您是否涉及在新加坡境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在新加坡个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 泰国隐私保护遵从包 该遵从包依据《泰国个人数据保护法 B.E.2562》 2019年（Personal Data Protection Act B.E.2562 2019, 简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助企业全面管理数据保护以及个人数据的收集、保护、使用、存储、披露、传输。 泰国 法律法规 隐私保护 您是否涉及在泰国境内收集、保护、使用、披露、传输和其他处理个人数据的情形？ 您是否涉及对位于泰国境内的个人数据主体从事以下活动： 您向泰国境内的数据主体提供服务，无论是否由该数据主体支付费用 监控数据主体的行为，且该监控发生在泰国境内 您是否期望对您在泰国个人数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。

安全标准遵从包 当前可选择的安全标准遵从包如表1所示，用户依据判定指引选择并订阅安全遵从包。 表1 安全标准遵从包一览 遵从包名称 描述 适用区域 分类 领域 判定指引 PCI DSS安全遵从包 该遵从包依据广受国际认可的数据安全标准-支付卡行业数据安全标准 (PCI DSS 3.2.1版，2018 年 5 月)，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评数据安全管理情况，并结合PCI DSS给出了数据安全方面的改进建议，帮助企业提升数据安全水平。 全球 行业标准 数据安全 您是否作为参与支付卡处理的实体，包括商户、处理商、收单机构、发卡机构和服务提供商？ 您是否存储、处理或传输持卡人数据（主账户信息（PAN，一般为银行卡号）、持卡人姓名、银行卡有效期、业务码）或敏感验证数据（全磁道数据、信用卡安全码、PIN）？ 您是否期望对您在数据安全方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 ISO 27001安全遵从包 该遵从包依据国际上公认的ISO 27001信息安全管理体系要求（2013版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评信息安全管理情况，并给出了信息安全方面的改进建议，帮助企业提升信息安全水平。 全球 国际标准 信息安全 ISO 27001为组织建立、实施、运行、保持和持续改进信息安全管理体系规定了要求，是一项具有普适性的信息安全标准。 如您期望对您在信息安全方面的风险进行识别，并获知如何采取措施降低风险，建议您订阅该遵从包。 ISO 27701安全遵从包 该遵从包依据国际上公认的ISO 27701隐私信息管理要求和指南（2019版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评隐私信息管理情况，并给出了隐私保护方面的改进建议，帮助企业贯彻隐私保护的责任，提升隐私保护及信息安全水平。 全球 国际标准 隐私保护 您是否涉及处理（包括收集、使用、传输、存储、删除等）个人可识别信息（简称“PII”，如姓名、电话号码、电子邮箱、身份证件信息等，在本遵从包中也称作“个人数据”）？ 您是否作为PII控制者（决定PII处理目的和方法的隐私利益相关方，在本遵从包中也称作“数据控制者”）和/或PII处理者（代表PII控制者，并按照PII控制者的指示对PII进行处理的隐私利益相关方，在本遵从包中也称作“数据处理者”）的角色？ 您是否期望对您在隐私保护方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 等保2.0标准四级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中四级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、 云计算平台 、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 等保2.0标准三级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中三级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。

功能优势 全球合规治理经验服务化 安全治理以华为内部“云服务网络 安全与合规 标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放华为 云安全 治理模板，将法规条款、标准要求转化为业务语言、IT语言，帮助客户识别自身合规状态。 提升获得法规及行业标准认证的效率 安全治理开放PCI DSS、ISO27701、ISO27001等安全治理模板，内含合规策略和自评估检查项；合规策略将自动化、持续性扫描租户云上资产的合规状态，自评估检查项将帮助租户快速梳理业务情况；并且安全治理提供证据链管理功能，支持一键导出报表，可极大提升租户获得法规及行业标准认证的效率。 高效实施安全治理动作 安全治理通过数据看板将所有的合规情况集中展示，向用户显示当前的安全性与合规性状态。租户可以轻松发现识别潜在问题，并根据华为专家建议采取必要的安全治理动作。

什么是安全治理？ 安全治理是安全云脑中的一个自动化合规评估和安全治理功能，以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助用户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。 使用安全治理功能前，需先提交工单申请开通使用权限。

功能特性 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。

安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 表4 安全监控参数说明 参数名称 参数说明 威胁告警 呈现最近7天内当前工作空间中未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 如果列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“告警管理”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息，查看威胁告警详细操作请参见查看告警信息。 漏洞 展示当前工作空间中您资产中TOP5漏洞类型，以及近7天内还未修复的漏洞总数和不同漏洞风险等级对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 高危：即高危风险，表示资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 中危：即中危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏，系统将呈现TOP5（根据某个漏洞影响的主机数量进行排序）的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序，受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时，才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型，请将主机将Agent1.0升级至Agent2.0。 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏，系统将列表实时呈现近7天内TOP5的漏洞事件，可快速查看漏洞详情。 呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 如果列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“漏洞管理”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息，查看漏洞详细操作请参见查看漏洞详情。 合规检查 展示当前工作空间中您资产中存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看合规检查事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现TOP5的合规检查异常事件，可快速查看合规检查详情。 呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、受影响资产数量、发现时间。 如果列表显示内容为空，表示无合规异常事件。 单击“查看更多”，可跳转到“基线检查”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息，查看合规检查详细操作请参见查看检查结果。

安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新，也支持通过单击“重新检测”来进行实时更新。 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见安全分值和扣分项说明。 分值环形图不同颜色表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“告警管理”、“漏洞管理”、“基线检查”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤告警管理或漏洞管理页面的数据总数。 处理安全风险： 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 在“安全风险处理”页面中，单击“前往处理”，进入“告警管理”、“漏洞管理”或“基线检查”页面。 对风险告警、漏洞或基线检查项目进行处理。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

操作场景 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 在安全云脑的事件管理页面，可以通过查看事件列表了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 本章节主要介绍如何查看事件信息。

告警和事件关系说明 本部分介绍告警和事件的含义、区别，告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 表1 告警和事件的含义与区别 类别 描述 定义 告警： 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便他们能够迅速响应并采取措施解决问题。 事件： 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警： 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件： 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警： 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件： 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。 告警转事件或关联事件的原因 告警通常是在系统或服务出现异常或潜在故障时产生的通知。这些异常可能会直接影响业务的正常运行，因此告警需要被及时处理，以防止业务异常。告警通常需要采取相应的措施来清除故障，否则可能会因为这些异常或故障引起业务的异常。 事件则是在系统或服务在正常运行状态下产生的通知，它可能涉及到一些重要的状态变化，但不一定会引起业务异常。因此，事件一般不需要进行处理，主要用于帮助分析、定位问题。 表2 告警转事件或关联事件的原因 类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

操作场景 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便他们能够迅速响应并采取措施解决问题。 当安全云脑检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在安全云脑告警管理界面中。 在安全云脑的告警管理页面，可以通过查看告警列表了解近360天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 本章节主要介绍如何查看告警信息。

sec-mtd-alarm MTD告警日志字段含义如下所示： 表20 sec-mtd-alarm 字段 类型 字段含义 version String 事件对象的版本，该字段的值必须为服务确定的官方发布版本之一。 在当前版本中，事件对象格式的版本为1.2.0。 environment Object 事件产生的环境坐标信息。 environment type string 环境供应商。 domain_id string HWC special， 域名 ID。 region_id string HWC special，区域ID。 project_id string HWC special，项目ID。 data_source Object 数据源。 data_source type Int 数据源类型。取值范围如下： 1：华为产品 2：第三方产品 3：租户私有产品 domain_id String 数据源产品所属账号的ID，最大36个字符。 project_id String 数据源产品所属项目的ID，最大36个字符。 region_id String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。 company_name String 数据源产品所属公司的名称，最大16个字符。 product_name String 数据源产品的名称，最大24个字符。 product_feature String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性，最大24个字符。 first_observed_time Timestamp 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time Timestamp 最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time Timestamp 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time Timestamp 接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 event_id String 事件唯一标识，UUID格式，最大36个字符。 title String 事件标题，最大255字符。 title_en String 事件标题英文，最大255字符。 title_zh String 事件标题中文，最大255字符。 description String 事件描述信息，最大1024个字符。 source_url String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 count Int 事件发生次数。 confidence Int 事件的置信度，置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100。 severity Object 严重性。 severity label String 严重性等级，取值范围： TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 normalize_score Int 严重性评分，取值范围：0-100。与严重性等级的对应关系： TIPS：0 LOW：1-39 MEDIUM：40-69 HIGH：70-89 FATAL：90-100 original_score Int 严重性原始评分，指在数据源产品中的评分。 criticality Int 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 type Object 事件分类。 type business String 安全运营过程，弱点的分类维度 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 namespace String 安全运营过程，弱点的分类维度。 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 category String 类别，推荐使用预定义的类型分类。 classifier String 分类器，推荐使用预定义的分类器。如果指定了分类器，则必须指定类别。 tech_domain String 技术领域标签： OS：主机 APP：应用 NET：网络 CS：云服务 CSP：平台云服务 properties Object 见对象type.properties type.properties killchain String Kill chain事件分类，仅当 namespace为ATTACK有效。 ttps String Mitre Array 事件分类，仅当namespace为ATTACK有效。 effects String 影响，全部类型。 compliance Object 合规检查信息。 compliance checkitem_id String 检查项（检查规则）编号。 checkpoint_id String 检查点（检查结果）编号，检查项对同一个资源的检查结果。 spec_id String 检查规范编号，默认选第一个。 reason String 原因。 status String 合规检查结果，取值定义： QUALIFIED：没有失败的，也没有有风险的就是合格的。 RISK：没有失败的，但是只要有一个有风险的就是有风险的。 FAILED：只要有一个失败的就是失败。 properties Object 主机基线字段全量维持（不固定，包含主机基线和sa基线）。 network Object 网络信息。 network direction String 方向，取值范围：IN | OUT protocol String 协议。 src_ip String 源IP地址。 src_port int 源端口，0–65535。 src_domain String 源域名，最大128个字符。 src_geo Object 源IP的地理位置信息。 dest_ip String 目标IP地址。 dest_port int 目标端口，0–65535。 dest_domain String 目标域名，最大128个字符。 dest_geo Object 目标IP的地理位置信息。 geo latitude Float 纬度。 longitude Float 经度。 city_code String 城市编码。 country_code String 国家简码ISO。 vulnerability_patch Object 漏洞补丁信息。 vulnerability_patch patch_id String 补丁编号。 patch_name String 补丁名称。 type String 补丁类型。 0：linux 1：windows 2：web-cms major_level String 重要等级。 status String 补丁状态。 release_time Timestamp 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 repair_cmd String 修复命令。 repair_necessity Int 修复必要程度。 1：需立刻修复 2：可延后修复 3：暂可以不修复 vendor_name String 漏洞报告提供者信息（厂商）。 vulnerable_package String 受影响软件版本列表。 reference_url String 参考链接。 cve_ids String 漏洞列表。 malware Object 恶意软件。 malware name String 恶意软件名称，最大64个字符。 sha256 String 恶意软件sha256。 type String 恶意软件类型，遵循STIX规范： adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm path String 恶意软件在系统中的路径，最大512个字符（包含软件名称）。 state String 恶意软件状态，取值范围：OBSERVED | REMOVAL_FAILED | REMOVED。 properties Object 见对象malware.properties。 malware.properties pid String 进程ID。 user String 系统角色（例如：root，service）。 mod String 系统权限（例如：777，755）。 start_time String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 threat_intel Object 威胁情报。 threat_intel id String 情报ID。 indicator_type String 威胁情报类型。 labels String 标签。 confidence Int 置信度，不同来源目前置信度分值定义不一样（分数）。 information_source String 威胁情报源。 severity Int 严重程度，不同渠道定义值不一样（分数）。 value String 威胁情报指标值，最大512个字符，如：ip、url、domain等。 description_en string 威胁情报描述-英文。 description_zh String 威胁情报描述-中文。 description String 威胁情报描述。 modified Timestamp 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from String 有效期开始（可读字符串）。 valid_until String 有效期结束（可读字符串）。 properties Object 见对象threat_intel.properties。 threat_intel.properties file_md5 String 恶意软件Md5。 file_sha1 String 恶意软件Sha1。 file_sha256 String 恶意软件Sha256值。 file_name String 文件名称。 create_time Timestamp 编译时间。 file_class String 文件类别，TEXT、XCODE。 file_family String 家族，例如：wannacry（勒索软件）。 file_maltype String 类别，例如：trojan（特洛伊）。 ip_resolves_to_refs String mac地址。 belongs_to_refs String IP AS 自治系统 ip_location String 地区。格式：country/province/city/lngwgs/latwgs。 domain_family String 域名家族。 domain_resolves_to_refs String 解析的IP地址。 domain_dns_type String DNS类别。 url_host String URL地址。 url_resolves_to_refs String IP地址。 display_name String 显示名称。 url_belongs_to_ref String 邮箱账户，@之前部分。 resource Object 受影响资源。 resource id String 云服务资源ID。 name String 资源名称；最大长度255个字符。 type String 资源类型，引用 RMS type字段。 provider String 云服务名称，引用RMS provider字段。 region_id String 区域。 domain_id String 资源所属账号ID，UUID。 project_id String 资源所属项目ID，UUID。 ep_id String 企业项目id。 ep_name String 企业项目名称。 tags Object 资源标签。 最多50个key/values对。 values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ remediation Object 补救措施。 remediation recommendation_zh String 推荐处理方法-中文。 recommendation_en String 推荐处理方法-英文。 recommendation String 推荐处理方法。 url String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 data_source_fields Object 数据源自定义信息，最多支持50个key/value对，约束条件： 该对象不能包含冗余数据，并且不能与已定义的事件格式字段冲突。 字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state String 验证状态，标识事件的准确性。可选类型如下： Unknown：未知 True_Positive：确认 False_Positive：误报 默认填写Unknown。 handle_status String 事件处理状态，可选类型如下： New：未知 Ignored：忽略 Resolved：已解决 默认填写New。 phase String 阶段：Preparation|Detection and Analysis|Containment，Eradication& Recovery| Post-Incident-Activity sla Int 约束闭环时间，单位：天。设置风险接受持续时间。