态势感知 SA-上报安全产品数据(V1):请求参数

时间:2023-11-01 16:15:45

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

用户Token。 通过调用 IAM 服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。

最小长度:1

最大长度:2097152

X-Language

String

最小长度:2

最大长度:6

表3 请求Body参数

参数

是否必选

参数类型

描述

events

Array of Event objects

event 批量导入

表4 Event

参数

是否必选

参数类型

描述

version

String

SA数据对象版本号,数据接入时需携带版本号。版本号由SA服务团队负责更新,数据源只可填写SA给定的版本号。目前版本为1.0.0。

最小长度:5

最大长度:5

domain_id

String

租户账号ID,用来标识事件所属租户。

最小长度:32

最大长度:36

project_id

String

租户项目ID,用来标识事件所属项目区域。

最小长度:32

最大长度:36

data_source

DataSource object

提供数据来源相关信息,必选对象。

first_observed_time

String

首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

last_observed_time

String

最新发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

create_time

String

记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

arrive_time

String

数据接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 是指事件数据被SA侧接收的时间,由SA接收时填写,产品上报数据时不用填写。

event_id

String

事件唯一标识,UUID格式。

最小长度:32

最大长度:36

title

String

事件标题,最大255字符。

最小长度:1

最大长度:255

description

String

事件描述信息,最大1024个字符

最小长度:1

最大长度:1024

source_url

String

事件URL链接,指向数据源产品中有关当前事件说明的页面。

最小长度:1

最大长度:4096

count

Integer

事件发生次数,默认为1,必填。

最小值:1

最大值:9223372036854775807

confidence

Integer

事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围:0-100,0表示置信度为0%,100表示置信度为100%。

最小值:0

最大值:100

severity

Severity object

严重性对象。

criticality

Integer

关键性,是指事件涉及的资源的重要性级别。 取值范围:0-100,0表示资源不关键,100表示最关键资源。

最小值:0

最大值:100

business_code

String

业务类型。 attack:攻击;vulnerability:漏洞;compliance check:合规检查; risk:风险;public opinion:舆情;illegal&violation:违法违规;security bulletin:公告。

最小长度:1

最大长度:1024

types

Array of Type objects

事件分类,最多50个。

compliance

Compliance object

扩展信息,用来提供合规检查信息。合规检查相关的数据上报时,必须填充此对象。

network

Network object

扩展信息,用来提供网络信息。

process

Process object

扩展信息,用来提供进程信息。

vulnerabilities

Vulnerabilities object

扩展信息,用来提供漏洞信息。

malware

Array of Malware objects

恶意软件,最多5个。

threat_intel

Array of ThreatIntel objects

威胁情报,最多5个。

resources

Array of Resource objects

受影响资源,最多10个。

remediation

remediation object

补救措施。

related_events

Array of RelatedEvent objects

相关事件。

data_source_fields

Object

数据源自定义信息,最多支持50个key/value对,约束条件: 1、该对象不能包含冗余数据,并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @。 示例: "data_source_fields": { "key1": "value1", "key2", "value2", }

verification_state

String

事件验证状态,标识事件的准确性。 Unknown – 未知,默认 True_positive – 确认 False_positive – 误报。

最小长度:1

最大长度:512

handle_status

String

事件处理状态,New/Ignored/Resolved;默认New。

最小长度:1

最大长度:512

表5 DataSource

参数

是否必选

参数类型

描述

type

Integer

数据源类型,取值范围如下: 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品

最小值:1

最大值:3

domain_id

String

数据源产品所属管理账号的ID,最大36个字符。

最小长度:32

最大长度:36

project_id

String

数据源产品所属项目的ID,最大36个字符。

最小长度:32

最大长度:36

region

String

数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义。

最小长度:1

最大长度:512

company_name

String

数据源产品所属公司的名称。

最小长度:1

最大长度:512

product_name

String

数据源产品的名称。

最小长度:1

最大长度:512

product_feature

String

产品功能特性名称,用来指明检测到当前事件的产品的功能特性。

最小长度:1

最大长度:512

表6 Severity

参数

是否必选

参数类型

描述

label

String

严重性等级取值范围:TIPS、LOW、MEDIUM、HIGH、FATAL。 TIPS:未发现任何问题。 LOW:无需针对问题执行任何操作。 MEDIUM:问题需要处理,但不紧急。 HIGH:问题必须优先处理。 FATAL:问题必须立即处理,以防止产生进一步的损害。

最小长度:1

最大长度:512

normalize_score

Integer

严重性评分取值范围:0-100; 与严重性等级的对应关系: TIPS 0; LOW 1-39; MEDIUM 40-69; HIGH 70-89; FATAL 90-100。

最小值:0

最大值:100

original_score

Integer

严重性原始评分,指在数据源产品中的评分。

最小值:0

最大值:9223372036854775807

表7 Type

参数

是否必选

参数类型

描述

namespace

String

命名空间,只能使用预定义的命名空间值,有效取值如下: Compliance Checks、Vulnerabilities、Attack、Illegal and Violation、Risk、Public Opinion、TTPs、Killchain、Effects、Sensitive Data Identifications、Unusual Behaviors

最小长度:1

最大长度:512

category

String

类别,推荐使用预定义的类型分类。

最小长度:1

最大长度:512

classifier

String

分类器,推荐使用预定义的分类器。 如果指定了分类器,则必须指定类别。

最小长度:1

最大长度:512

表8 Compliance

参数

是否必选

参数类型

描述

status

String

合规检查结果,取值定义:PASSED、WARNING、FAILED、NOT_AVAILABLE。 说明: PASSED - 接受评估的所有资源都已通过安全检查。 WARNING - 某些信息缺失或配置不支持此检查。 FAILED - 至少有一个接受评估的资源未能通过安全检查。 NOT_AVAILABLE - 由于服务中断或 API 错误,无法执行检查。

最小长度:1

最大长度:512

related_requirements

Array of strings

与该合规检查相关的行业或监管要求,最多可以提供32个相关的要求。用规范要求的识别码来标识。

status_reasons

Array of strings

与该合规检查相关的原因。

表9 Network

参数

是否必选

参数类型

描述

direction

String

方向,取值范围:IN、OUT。

最小长度:2

最大长度:3

protocol

String

协议。

最小长度:0

最大长度:512

src_ip

String

源IP地址。

最小长度:7

最大长度:15

src_port

Integer

源端口,0–65535。

最小值:0

最大值:65535

src_domain

String

域名 ,最大128个字符。

最小长度:1

最大长度:128

src_geo

Geo object

源IP的地理位置信息。

destc_ip

String

目标IP地址。

最小长度:7

最大长度:15

dest_port

Integer

目标端口,0–65535。

最小值:0

最大值:65535

dest_domain

String

目标域名,最大128个字符。

最小长度:1

最大长度:128

dest_geo

Geo object

目标IP的地理位置信息。

表10 Geo

参数

是否必选

参数类型

描述

latitude

Number

纬度。

最小值:-180.0

最大值:180.0

longitude

Number

经度。

最小值:-180.0

最大值:180.0

city_code

String

城市编码。

最小长度:1

最大长度:128

country_code

String

国家简码ISO 3166-1 alpha-2,例如:CN、US、DE、IT、SG。

最小长度:1

最大长度:128

表11 Process

参数

是否必选

参数类型

描述

name

String

进程名,最大64个字符。

最小长度:1

最大长度:64

path

String

进程执行文件路径,最大512个字符。

最小长度:1

最大长度:512

pid

Integer

进程ID。

最小值:0

最大值:65535

parent_pid

Integer

父进程ID。

最小值:0

最大值:65535

launche_time

String

进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

terminate_time

String

进程结束时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

表12 Vulnerabilities

参数

是否必选

参数类型

描述

vulnerability_list

Array of Vulnerability objects

漏洞信息。

patch_list

Array of Patch objects

补丁信息。

reference_urls

Array of strings

参考链接,提供有关此漏洞更多信息的URL列表。

related_vulnerabilities

Array of strings

相关漏洞,提供与此漏洞相关的漏洞ID列表。

vendor_name

String

漏洞报告提供者信息。

最小长度:1

最大长度:32

vulnerable_packages

Array of strings

受影响软件及版本列表。

表13 Vulnerability

参数

是否必选

参数类型

描述

vul_id

String

漏洞编号。

最小长度:1

最大长度:256

type

String

漏洞类型。

最小长度:1

最大长度:32

threat_type

String

威胁类型。

最小长度:1

最大长度:32

severity

String

危害等级(超危、高危、中危、低危)。

最小长度:1

最大长度:32

score

Number

CVSS评分。

最小值:0.0

最大值:10.0

vector

String

评分向量。

最小长度:0

最大长度:512

version

String

CVSS版本。

最小长度:0

最大长度:512

description

String

漏洞描述。

最小长度:0

最大长度:512

created_at

String

漏洞报告的创建时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

updated_at

String

漏洞报告的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

表14 Patch

参数

是否必选

参数类型

描述

patch_id

String

补丁编号。

最小长度:1

最大长度:256

patch_name

String

补丁名称。

最小长度:1

最大长度:256

type

String

补丁类型(0:linux,1:windows,2:web-cms)。

最小长度:1

最大长度:32

major_level

String

重要等级。

最小长度:1

最大长度:32

status

String

补丁状态。

最小长度:1

最大长度:32

repair_cmd

String

修复命令。

最小长度:0

最大长度:512

repair_necessity

String

修复必要程度(1:需立刻修复,2:可延后修复,3:暂可以不修复)。

最小长度:0

最大长度:512

release_time

String

发布时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区,无法解析时区的时间,默认时区填东八区。

表15 Malware

参数

是否必选

参数类型

描述

name

String

恶意软件名称,最大64个字符。

最小长度:1

最大长度:64

type

String

恶意软件类型,遵循STIX规范: adware、backdoor、bot、bootkit、ddos、downloader、dropper、exploit-kit、keylogger、ransomware、remote-access-trojan、resource-exploitation、rogue-security-software、rootkit、screen-capture、spyware、trojan、unknown、virus、webshell、wiper、worm

最小长度:1

最大长度:512

path

String

恶意软件在系统中的路径,最大512个字符。

最小长度:0

最大长度:512

state

String

恶意软件状态,取值范围:OBSERVED、REMOVAL_FAILED、REMOVED。

最小长度:0

最大长度:512

表16 ThreatIntel

参数

是否必选

参数类型

描述

type

String

威胁情报类型,Domain、Email_Address、Hash_MD5、Hash_SHA1、Hash_SHA256、 Hash_SHA512、IPv4_Address、IPv6_Address、URL。

最小长度:0

最大长度:64

value

String

威胁情报指标值,最大512个字符。

最小长度:0

最大长度:512

source

String

威胁情报源,最大64个字符。

最小长度:0

最大长度:64

description

String

威胁情报描述。

最小长度:0

最大长度:4096

update_time

String

威胁情报的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

source_url

String

链接,提供有关威胁情报源的更多详细信息。

最小长度:0

最大长度:512

表17 Resource

参数

是否必选

参数类型

描述

id

String

资源ID。

最小长度:32

最大长度:36

name

String

资源名称;最大长度255个字符。

最小长度:1

最大长度:255

type

String

资源类型;cloud_servers、vpcs、security_groups、public_ips、volumes、containers、websites、hws_account、iam_user、firewall、security_group_rules、elb_loadbalancers、elb_listeners、cts、obs_buckets、rds_instances、dds_instances、dcs_instances、certificates、anti_ddos_eip、dns、other。

最小长度:1

最大长度:128

service

String

资源所属服务名称。

最小长度:1

最大长度:128

provider

String

资源提供商名称。

最小长度:1

最大长度:128

region

String

区域。

最小长度:1

最大长度:128

domain_id

String

资源所属租户账号ID。

最小长度:32

最大长度:36

project_id

String

资源所属项目ID。

最小长度:32

最大长度:36

idc_id

String

线下机房ID。

最小长度:32

最大长度:36

tags

Object

资源标签 1、最多50个key/values对。 2、values:最大255字符。 3、取值范围:字母数字、空格、“+”、“-”、“=”、“.”、“_”、“:”、“/”、“@”。

details

Detail object

资源详情。

表18 Detail

参数

是否必选

参数类型

描述

cloud_servers

CloudServers object

E CS 实例详情。

vpcs

Vpcs object

虚拟私有云。

public_ips

PublicIps object

弹性公网IP。

volumes

Volumes object

磁盘。

containers

Container object

容器。

websites

Websites object

网站。

表19 CloudServers

参数

是否必选

参数类型

描述

status

String

弹性云服务器状态。 取值范围: ACTIVE、BUILD、ERROR、HARD_REBOOT、MIGRATING、REBOOT、REBUILD、RESIZE、REVERT_RESIZE、SHUTOFF、VERIFY_RESIZE

最小长度:1

最大长度:128

addresses

Array of Addresses objects

弹性云服务器的网络属性。

flavor

Flavor object

云服务器规格。

security_groups

Array of SecurityGroups objects

弹性云服务器所属安全组列表。

metadata

Metadata object

元数据。

host_id

String

弹性云服务器所在主机的主机ID。

最小长度:1

最大长度:128

host_status

String

云服务器所在主机状态。 UP:服务正常; UNKNOWN:状态未知; DOWN:服务异常; MAINTENANCE:维护状态; 空字符串:弹性云服务器无主机信息。

最小长度:1

最大长度:128

volumes_attached

Array of VolumesAttached objects

挂载到弹性云服务器上的磁盘。

表20 Addresses

参数

是否必选

参数类型

描述

version

String

IP地址版本。“4”:代表IPv4。“6”:代表IPv6。

最小长度:1

最大长度:1

addr

String

IP地址。

最小长度:7

最大长度:15

ip_type

String

IP地址类型 fixed:代表私有IP地址。floating:代表浮动IP地址。

最小长度:1

最大长度:128

mac_addr

String

MAC地址。

最小长度:1

最大长度:128

表21 Flavor

参数

是否必选

参数类型

描述

id

String

云服务器规格ID。

最小长度:1

最大长度:128

name

String

云服务器规格名称。

最小长度:1

最大长度:128

disk

String

该云服务器规格对应要求系统盘大小,0为不限制。

最小长度:1

最大长度:128

vcpus

String

该云服务器规格对应的CPU核数。

最小长度:1

最大长度:10

ram

String

该云服务器规格对应的内存大小,单位为MB。

最小长度:1

最大长度:10

表22 SecurityGroups

参数

是否必选

参数类型

描述

id

String

安全组ID。

最小长度:1

最大长度:128

name

String

安全组名称。

最小长度:1

最大长度:128

表23 Metadata

参数

是否必选

参数类型

描述

vpc_id

String

云服务器所属的虚拟私有云ID。

最小长度:1

最大长度:128

image_id

String

云服务器操作系统对应的镜像ID。

最小长度:1

最大长度:128

image_name

String

云服务器操作系统对应的镜像名称。

最小长度:1

最大长度:128

image_type

String

镜像类型,目前支持: 公共镜像(gold)、 私有镜像(private)、 共享镜像(shared)。

最小长度:1

最大长度:128

os_bit

String

操作系统位数,一般取值为“32”或者“64”。

最小长度:1

最大长度:128

os_type

String

操作系统类型,取值为:Linux、Windows。

最小长度:1

最大长度:128

表24 VolumesAttached

参数

是否必选

参数类型

描述

id

String

磁盘ID。

最小长度:1

最大长度:128

boot_index

String

云硬盘启动顺序。0为系统盘,非0为数据盘。

最小长度:1

最大长度:128

device

String

云硬盘挂载盘符,即磁盘挂载点。

最小长度:1

最大长度:128

表25 Vpcs

参数

是否必选

参数类型

描述

cidr

String

虚拟私有云下可用子网的范围。 取值范围: 10.0.0.0/8~10.255.255.240/28、 172.16.0.0/12 ~ 172.31.255.240/28、 192.168.0.0/16 ~ 192.168.255.240/28。 约束:必须是cidr格式,例如:192.168.0.0/16。

最小长度:1

最大长度:128

status

String

功能说明:虚拟私有云的状态。 取值范围: CREATING:创建中; OK:创建成功。

最小长度:1

最大长度:128

表26 PublicIps

参数

是否必选

参数类型

描述

status

String

弹性公网IP的状态。 取值范围: FREEZED:冻结; BIND_ERROR:绑定失败; BINDING:绑定中; PENDING_DELETE:释放中; PENDING_CREATE:创建中; PENDING_UPDATE:更新中; DOWN:未绑定; ACTIVE:绑定; ELB:绑定ELB; ERROR:异常失败。

最小长度:1

最大长度:128

type

String

弹性公网IP的类型。 取值范围:5_telcom(电信)、5_union(联通)、5_bgp(全动态BGP)、5_sbgp(静态BGP)。

最小长度:1

最大长度:128

ip_version

Integer

IP版本信息,取值范围是4和6。 4:表示IPv4; 6:表示IPv6。

最小值:4

最大值:6

public_ipv6_address

String

IPv4时无此字段,IPv6时为申请到的弹性公网IP地址。

最小长度:1

最大长度:128

public_ip_address

String

IPv4时是申请到的弹性公网IP地址,IPv6时是IPv6地址对应的IPv4地址。

最小长度:1

最大长度:128

private_ip_address

String

绑定弹性公网IP的私有IP地址。

最小长度:1

最大长度:128

vpc_id

String

弹性公网IP所属虚拟私有云ID。

最小长度:1

最大长度:128

port_id

String

端口id。 约束:只有绑定了的弹性公网IP查询才会返回该参数。

最小长度:1

最大长度:128

device_id

String

端口所属设备ID。

最小长度:1

最大长度:128

bandwidth_id

String

弹性公网IP对应带宽ID。

最小长度:1

最大长度:128

bandwidth_name

String

带宽名称。

最小长度:1

最大长度:128

表27 Volumes

参数

是否必选

参数类型

描述

status

String

云硬盘状态,见EVS服务云硬盘状态描述。

最小长度:1

最大长度:128

availability_zone

String

云硬盘所属的AZ信息。

最小长度:1

最大长度:128

attachments

Array of Attachment objects

云硬盘的挂载信息。

size

String

云硬盘大小,单位为GB。

最小长度:1

最大长度:10

volume_type

String

云硬盘类型。 目前支持“SSD”,“SAS”和“SATA”三种。 “SSD”为超高IO云硬盘, “SAS”为高IO云硬盘, “SATA”为普通IO云硬盘。

最小长度:1

最大长度:10

encrypted

Boolean

是否加密。

multiattach

Boolean

是否为共享云硬盘。 true:表示为共享云硬盘。 false:表示为非共享云硬盘。

表28 Attachment

参数

是否必选

参数类型

描述

server_id

String

云硬盘挂载到的云服务器的ID。

最小长度:1

最大长度:128

attachment_id

String

挂载信息对应的ID。

最小长度:1

最大长度:128

attached_at

String

挂载时间。

device

String

挂载点。

最小长度:1

最大长度:128

表29 Container

参数

是否必选

参数类型

描述

image_id

String

镜像ID。

最小长度:1

最大长度:128

image_name

String

镜像名称。

最小长度:1

最大长度:128

node_id

String

容器所在节点ID。

最小长度:1

最大长度:128

node_name

String

容器所在节点名称。

最小长度:1

最大长度:128

launched_time

String

容器启动时间。

表30 Websites

参数

是否必选

参数类型

描述

url

String

网站地址,最长128个字符。

最小长度:1

最大长度:128

port

String

端口号。

最小长度:1

最大长度:12

表31 remediation

参数

是否必选

参数类型

描述

recommendation

Recommendation object

补救措施。

表32 Recommendation

参数

是否必选

参数类型

描述

text

String

处理建议,最长512个字符。

最小长度:1

最大长度:512

url

String

链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证。

最小长度:1

最大长度:128

表33 RelatedEvent

参数

是否必选

参数类型

描述

id

String

与当前事件相关的事件的ID,最大36个字符。

最小长度:1

最大长度:36

company_name

String

生成相关事件的产品所属公司名称,最大16个字符。

最小长度:1

最大长度:16

product_name

String

生成相关事件的产品名称,最大24个字符。

最小长度:1

最大长度:24

support.huaweicloud.com/api-sa/ImportEvents_0.html