安全云脑 SECMASTER-日志字段含义:sec-mtd-alarm
下载安全云脑 SECMASTER用户手册完整版
sec-mtd-alarm
MTD告警日志字段含义如下所示:
|
字段 |
类型 |
字段含义 |
|
|---|---|---|---|
|
version |
String |
事件对象的版本,该字段的值必须为服务确定的官方发布版本之一。 在当前版本中,事件对象格式的版本为1.2.0。 |
|
|
environment |
Object |
事件产生的环境坐标信息。 |
|
|
environment |
type |
string |
环境供应商。 |
|
domain_id |
string |
HWC special, 域名 ID。 |
|
|
region_id |
string |
HWC special,区域ID。 |
|
|
project_id |
string |
HWC special,项目ID。 |
|
|
data_source |
Object |
数据源。 |
|
|
data_source |
type |
Int |
数据源类型。取值范围如下:
|
|
domain_id |
String |
数据源产品所属账号的ID,最大36个字符。 |
|
|
project_id |
String |
数据源产品所属项目的ID,最大36个字符。 |
|
|
region_id |
String |
数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义,例如cn-north-4a。 |
|
|
company_name |
String |
数据源产品所属公司的名称,最大16个字符。 |
|
|
product_name |
String |
数据源产品的名称,最大24个字符。 |
|
|
product_feature |
String |
产品功能特性名称,用来指明检测到当前事件的产品的功能特性,最大24个字符。 |
|
|
first_observed_time |
Timestamp |
首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
last_observed_time |
Timestamp |
最近发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
create_time |
Timestamp |
记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
arrive_time |
Timestamp |
接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
event_id |
String |
事件唯一标识,UUID格式,最大36个字符。 |
|
|
title |
String |
事件标题,最大255字符。 |
|
|
title_en |
String |
事件标题英文,最大255字符。 |
|
|
title_zh |
String |
事件标题中文,最大255字符。 |
|
|
description |
String |
事件描述信息,最大1024个字符。 |
|
|
source_url |
String |
事件URL链接,指向数据源产品中有关当前事件说明的页面。 |
|
|
count |
Int |
事件发生次数。 |
|
|
confidence |
Int |
事件的置信度,置信度的定义旨在说明识别的行为或问题的可能性。 取值范围:0-100。 |
|
|
severity |
Object |
严重性。 |
|
|
severity |
label |
String |
严重性等级,取值范围:
|
|
normalize_score |
Int |
严重性评分,取值范围:0-100。与严重性等级的对应关系:
|
|
|
original_score |
Int |
严重性原始评分,指在数据源产品中的评分。 |
|
|
criticality |
Int |
关键性,是指事件涉及的资源的重要性级别。 取值范围:0-100,0表示资源不关键,100表示最关键资源。 |
|
|
type |
Object |
事件分类。 |
|
|
type |
business |
String |
安全运营过程,弱点的分类维度 事件所属业务领域标签,可选类别如下:
|
|
namespace |
String |
安全运营过程,弱点的分类维度。 事件所属业务领域标签,可选类别如下:
|
|
|
category |
String |
类别,推荐使用预定义的类型分类。 |
|
|
classifier |
String |
分类器,推荐使用预定义的分类器。如果指定了分类器,则必须指定类别。 |
|
|
tech_domain |
String |
技术领域标签:
|
|
|
properties |
Object |
见对象type.properties |
|
|
type.properties |
killchain |
String |
Kill chain事件分类,仅当 namespace为ATTACK有效。 |
|
ttps |
String |
Mitre Array 事件分类,仅当namespace为ATTACK有效。 |
|
|
effects |
String |
影响,全部类型。 |
|
|
compliance |
Object |
合规检查信息。 |
|
|
compliance |
checkitem_id |
String |
检查项(检查规则)编号。 |
|
checkpoint_id |
String |
检查点(检查结果)编号,检查项对同一个资源的检查结果。 |
|
|
spec_id |
String |
检查规范编号,默认选第一个。 |
|
|
reason |
String |
原因。 |
|
|
status |
String |
合规检查结果,取值定义:
|
|
|
properties |
Object |
主机基线字段全量维持(不固定,包含主机基线和sa基线)。 |
|
|
network |
Object |
网络信息。 |
|
|
network |
direction |
String |
方向,取值范围:IN | OUT |
|
protocol |
String |
协议。 |
|
|
src_ip |
String |
源IP地址。 |
|
|
src_port |
int |
源端口,0–65535。 |
|
|
src_domain |
String |
源域名,最大128个字符。 |
|
|
src_geo |
Object |
源IP的地理位置信息。 |
|
|
dest_ip |
String |
目标IP地址。 |
|
|
dest_port |
int |
目标端口,0–65535。 |
|
|
dest_domain |
String |
目标域名,最大128个字符。 |
|
|
dest_geo |
Object |
目标IP的地理位置信息。 |
|
|
geo |
latitude |
Float |
纬度。 |
|
longitude |
Float |
经度。 |
|
|
city_code |
String |
城市编码。 |
|
|
country_code |
String |
国家简码ISO。 |
|
|
vulnerability_patch |
Object |
漏洞补丁信息。 |
|
|
vulnerability_patch |
patch_id |
String |
补丁编号。 |
|
patch_name |
String |
补丁名称。 |
|
|
type |
String |
补丁类型。
|
|
|
major_level |
String |
重要等级。 |
|
|
status |
String |
补丁状态。 |
|
|
release_time |
Timestamp |
发布时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
repair_cmd |
String |
修复命令。 |
|
|
repair_necessity |
Int |
修复必要程度。
|
|
|
vendor_name |
String |
漏洞报告提供者信息(厂商)。 |
|
|
vulnerable_package |
String |
受影响软件版本列表。 |
|
|
reference_url |
String |
参考链接。 |
|
|
cve_ids |
String |
漏洞列表。 |
|
|
malware |
Object |
恶意软件。 |
|
|
malware |
name |
String |
恶意软件名称,最大64个字符。 |
|
sha256 |
String |
恶意软件sha256。 |
|
|
type |
String |
恶意软件类型,遵循STIX规范: adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm |
|
|
path |
String |
恶意软件在系统中的路径,最大512个字符(包含软件名称)。 |
|
|
state |
String |
恶意软件状态,取值范围:OBSERVED | REMOVAL_FAILED | REMOVED。 |
|
|
properties |
Object |
见对象malware.properties。 |
|
|
malware.properties |
pid |
String |
进程ID。 |
|
user |
String |
系统角色(例如:root,service)。 |
|
|
mod |
String |
系统权限(例如:777,755)。 |
|
|
start_time |
String |
进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。 时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
threat_intel |
Object |
威胁情报。 |
|
|
threat_intel |
id |
String |
情报ID。 |
|
indicator_type |
String |
威胁情报类型。 |
|
|
labels |
String |
标签。 |
|
|
confidence |
Int |
置信度,不同来源目前置信度分值定义不一样(分数)。 |
|
|
information_source |
String |
威胁情报源。 |
|
|
severity |
Int |
严重程度,不同渠道定义值不一样(分数)。 |
|
|
value |
String |
威胁情报指标值,最大512个字符,如:ip、url、domain等。 |
|
|
description_en |
string |
威胁情报描述-英文。 |
|
|
description_zh |
String |
威胁情报描述-中文。 |
|
|
description |
String |
威胁情报描述。 |
|
|
modified |
Timestamp |
威胁情报的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
|
valid_from |
String |
有效期开始(可读字符串)。 |
|
|
valid_until |
String |
有效期结束(可读字符串)。 |
|
|
properties |
Object |
见对象threat_intel.properties。 |
|
|
threat_intel.properties |
file_md5 |
String |
恶意软件Md5。 |
|
file_sha1 |
String |
恶意软件Sha1。 |
|
|
file_sha256 |
String |
恶意软件Sha256值。 |
|
|
file_name |
String |
文件名称。 |
|
|
create_time |
Timestamp |
编译时间。 |
|
|
file_class |
String |
文件类别,TEXT、XCODE。 |
|
|
file_family |
String |
家族,例如:wannacry(勒索软件)。 |
|
|
file_maltype |
String |
类别,例如:trojan(特洛伊)。 |
|
|
ip_resolves_to_refs |
String |
mac地址。 |
|
|
belongs_to_refs |
String |
IP AS 自治系统 |
|
|
ip_location |
String |
地区。格式:country/province/city/lngwgs/latwgs。 |
|
|
domain_family |
String |
域名家族。 |
|
|
domain_resolves_to_refs |
String |
解析的IP地址。 |
|
|
domain_dns_type |
String |
DNS类别。 |
|
|
url_host |
String |
URL地址。 |
|
|
url_resolves_to_refs |
String |
IP地址。 |
|
|
display_name |
String |
显示名称。 |
|
|
url_belongs_to_ref |
String |
邮箱账户,@之前部分。 |
|
|
resource |
Object |
受影响资源。 |
|
|
resource |
id |
String |
云服务资源ID。 |
|
name |
String |
资源名称;最大长度255个字符。 |
|
|
type |
String |
资源类型,引用 RMS type字段。 |
|
|
provider |
String |
云服务名称,引用RMS provider字段。 |
|
|
region_id |
String |
区域。 |
|
|
domain_id |
String |
资源所属账号ID,UUID。 |
|
|
project_id |
String |
资源所属项目ID,UUID。 |
|
|
ep_id |
String |
企业项目id。 |
|
|
ep_name |
String |
企业项目名称。 |
|
|
tags |
Object |
资源标签。
|
|
|
remediation |
Object |
补救措施。 |
|
|
remediation |
recommendation_zh |
String |
推荐处理方法-中文。 |
|
recommendation_en |
String |
推荐处理方法-英文。 |
|
|
recommendation |
String |
推荐处理方法。 |
|
|
url |
String |
链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证。 |
|
|
data_source_fields |
Object |
数据源自定义信息,最多支持50个key/value对,约束条件:
示例: "data_source_fields": { "key1": "value1", "key2", "value2", } |
|
|
verification_state |
String |
验证状态,标识事件的准确性。可选类型如下:
默认填写Unknown。 |
|
|
handle_status |
String |
事件处理状态,可选类型如下:
默认填写New。 |
|
|
phase |
String |
阶段:Preparation|Detection and Analysis|Containment,Eradication& Recovery| Post-Incident-Activity |
|
|
sla |
Int |
约束闭环时间,单位:天。设置风险接受持续时间。 |
|
