安全云脑 SECMASTER-日志字段含义:sec-mtd-alarm

时间:2024-11-19 19:07:19

sec-mtd-alarm

MTD告警日志字段含义如下所示:

表20 sec-mtd-alarm

字段

类型

字段含义

version

String

事件对象的版本,该字段的值必须为服务确定的官方发布版本之一。

在当前版本中,事件对象格式的版本为1.2.0。

environment

Object

事件产生的环境坐标信息。

environment

type

string

环境供应商。

domain_id

string

HWC special, 域名 ID。

region_id

string

HWC special,区域ID。

project_id

string

HWC special,项目ID。

data_source

Object

数据源。

data_source

type

Int

数据源类型。取值范围如下:

  • 1:华为产品
  • 2:第三方产品
  • 3:租户私有产品

domain_id

String

数据源产品所属账号的ID,最大36个字符。

project_id

String

数据源产品所属项目的ID,最大36个字符。

region_id

String

数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义,例如cn-north-4a。

company_name

String

数据源产品所属公司的名称,最大16个字符。

product_name

String

数据源产品的名称,最大24个字符。

product_feature

String

产品功能特性名称,用来指明检测到当前事件的产品的功能特性,最大24个字符。

first_observed_time

Timestamp

首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

last_observed_time

Timestamp

最近发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

create_time

Timestamp

记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

arrive_time

Timestamp

接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

event_id

String

事件唯一标识,UUID格式,最大36个字符。

title

String

事件标题,最大255字符。

title_en

String

事件标题英文,最大255字符。

title_zh

String

事件标题中文,最大255字符。

description

String

事件描述信息,最大1024个字符。

source_url

String

事件URL链接,指向数据源产品中有关当前事件说明的页面。

count

Int

事件发生次数。

confidence

Int

事件的置信度,置信度的定义旨在说明识别的行为或问题的可能性。

取值范围:0-100。

severity

Object

严重性。

severity

label

String

严重性等级,取值范围:

  • TIPS:未发现任何问题。
  • LOW:无需针对问题执行任何操作。
  • MEDIUM:问题需要处理,但不紧急。
  • HIGH:问题必须优先处理。
  • FATAL:问题必须立即处理,以防止产生进一步的损害。

normalize_score

Int

严重性评分,取值范围:0-100。与严重性等级的对应关系:

  • TIPS:0
  • LOW:1-39
  • MEDIUM:40-69
  • HIGH:70-89
  • FATAL:90-100

original_score

Int

严重性原始评分,指在数据源产品中的评分。

criticality

Int

关键性,是指事件涉及的资源的重要性级别。

取值范围:0-100,0表示资源不关键,100表示最关键资源。

type

Object

事件分类。

type

business

String

安全运营过程,弱点的分类维度

事件所属业务领域标签,可选类别如下:

  • attack:攻击
  • vulnerability:漏洞
  • compliance check:合规检查
  • risk:风险
  • public opinion:舆情
  • illegal&violation:违法违规
  • security bulletin:公告

namespace

String

安全运营过程,弱点的分类维度。

事件所属业务领域标签,可选类别如下:

  • attack:攻击
  • vulnerability:漏洞
  • compliance check:合规检查
  • risk:风险
  • public opinion:舆情
  • illegal&violation:违法违规
  • security bulletin:公告

category

String

类别,推荐使用预定义的类型分类。

classifier

String

分类器,推荐使用预定义的分类器。如果指定了分类器,则必须指定类别。

tech_domain

String

技术领域标签:

  • OS:主机
  • APP:应用
  • NET:网络
  • CS :云服务
  • CSP:平台云服务

properties

Object

见对象type.properties

type.properties

killchain

String

Kill chain事件分类,仅当 namespace为ATTACK有效。

ttps

String

Mitre Array 事件分类,仅当namespace为ATTACK有效。

effects

String

影响,全部类型。

compliance

Object

合规检查信息。

compliance

checkitem_id

String

检查项(检查规则)编号。

checkpoint_id

String

检查点(检查结果)编号,检查项对同一个资源的检查结果。

spec_id

String

检查规范编号,默认选第一个。

reason

String

原因。

status

String

合规检查结果,取值定义:

  • QUALIFIED:没有失败的,也没有有风险的就是合格的。
  • RISK:没有失败的,但是只要有一个有风险的就是有风险的。
  • FAILED:只要有一个失败的就是失败。

properties

Object

主机基线字段全量维持(不固定,包含主机基线和sa基线)。

network

Object

网络信息。

network

direction

String

方向,取值范围:IN | OUT

protocol

String

协议。

src_ip

String

源IP地址。

src_port

int

源端口,0–65535。

src_domain

String

源域名,最大128个字符。

src_geo

Object

源IP的地理位置信息。

dest_ip

String

目标IP地址。

dest_port

int

目标端口,0–65535。

dest_domain

String

目标域名,最大128个字符。

dest_geo

Object

目标IP的地理位置信息。

geo

latitude

Float

纬度。

longitude

Float

经度。

city_code

String

城市编码。

country_code

String

国家简码ISO。

vulnerability_patch

Object

漏洞补丁信息。

vulnerability_patch

patch_id

String

补丁编号。

patch_name

String

补丁名称。

type

String

补丁类型。

  • 0:linux
  • 1:windows
  • 2:web-cms

major_level

String

重要等级。

status

String

补丁状态。

release_time

Timestamp

发布时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息

为事件发生时区,无法解析时区的时间,默认时区填东八区。

repair_cmd

String

修复命令。

repair_necessity

Int

修复必要程度。

  • 1:需立刻修复
  • 2:可延后修复
  • 3:暂可以不修复

vendor_name

String

漏洞报告提供者信息(厂商)。

vulnerable_package

String

受影响软件版本列表。

reference_url

String

参考链接。

cve_ids

String

漏洞列表。

malware

Object

恶意软件。

malware

name

String

恶意软件名称,最大64个字符。

sha256

String

恶意软件sha256。

type

String

恶意软件类型,遵循STIX规范:

adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm

path

String

恶意软件在系统中的路径,最大512个字符(包含软件名称)。

state

String

恶意软件状态,取值范围:OBSERVED | REMOVAL_FAILED | REMOVED。

properties

Object

见对象malware.properties。

malware.properties

pid

String

进程ID。

user

String

系统角色(例如:root,service)。

mod

String

系统权限(例如:777,755)。

start_time

String

进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。

时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

threat_intel

Object

威胁情报。

threat_intel

id

String

情报ID。

indicator_type

String

威胁情报类型。

labels

String

标签。

confidence

Int

置信度,不同来源目前置信度分值定义不一样(分数)。

information_source

String

威胁情报源。

severity

Int

严重程度,不同渠道定义值不一样(分数)。

value

String

威胁情报指标值,最大512个字符,如:ip、url、domain等。

description_en

string

威胁情报描述-英文。

description_zh

String

威胁情报描述-中文。

description

String

威胁情报描述。

modified

Timestamp

威胁情报的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。

valid_from

String

有效期开始(可读字符串)。

valid_until

String

有效期结束(可读字符串)。

properties

Object

见对象threat_intel.properties。

threat_intel.properties

file_md5

String

恶意软件Md5。

file_sha1

String

恶意软件Sha1。

file_sha256

String

恶意软件Sha256值。

file_name

String

文件名称。

create_time

Timestamp

编译时间。

file_class

String

文件类别,TEXT、XCODE。

file_family

String

家族,例如:wannacry(勒索软件)。

file_maltype

String

类别,例如:trojan(特洛伊)。

ip_resolves_to_refs

String

mac地址。

belongs_to_refs

String

IP AS 自治系统

ip_location

String

地区。格式:country/province/city/lngwgs/latwgs。

domain_family

String

域名家族。

domain_resolves_to_refs

String

解析的IP地址。

domain_dns_type

String

DNS类别。

url_host

String

URL地址。

url_resolves_to_refs

String

IP地址。

display_name

String

显示名称。

url_belongs_to_ref

String

邮箱账户,@之前部分。

resource

Object

受影响资源。

resource

id

String

云服务资源ID。

name

String

资源名称;最大长度255个字符。

type

String

资源类型,引用 RMS type字段。

provider

String

云服务名称,引用RMS provider字段。

region_id

String

区域。

domain_id

String

资源所属账号ID,UUID。

project_id

String

资源所属项目ID,UUID。

ep_id

String

企业项目id。

ep_name

String

企业项目名称。

tags

Object

资源标签。

  • 最多50个key/values对。
  • values:最大255字符,取值范围:字母数字,空格,+, -, =, ., _, :, /,@

remediation

Object

补救措施。

remediation

recommendation_zh

String

推荐处理方法-中文。

recommendation_en

String

推荐处理方法-英文。

recommendation

String

推荐处理方法。

url

String

链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证。

data_source_fields

Object

数据源自定义信息,最多支持50个key/value对,约束条件:

  • 该对象不能包含冗余数据,并且不能与已定义的事件格式字段冲突。
  • 字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @。

示例:

"data_source_fields": {

"key1": "value1",

"key2", "value2",

}

verification_state

String

验证状态,标识事件的准确性。可选类型如下:

  • Unknown:未知
  • True_Positive:确认
  • False_Positive:误报

默认填写Unknown。

handle_status

String

事件处理状态,可选类型如下:

  • New:未知
  • Ignored:忽略
  • Resolved:已解决

默认填写New。

phase

String

阶段:Preparation|Detection and Analysis|Containment,Eradication& Recovery| Post-Incident-Activity

sla

Int

约束闭环时间,单位:天。设置风险接受持续时间。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0140.html