X-Auth-Token

是

String

用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）

最小长度：0

最大长度：2097152

content-type

是

String

内容类型

缺省值：application/json;charset=UTF-8

最小长度：0

最大长度：64

batch_ids

否

Array of strings

更新告警的ID列表

最小长度：0

最大长度：100

数组长度：0 - 999

data_object

否

Alert object

告警实体信息

version

否

String

告警对象的版本，该字段的值必须为华为云SSA服务确定的官方发布版本之一

最小长度：0

最大长度：64

id

否

String

事件唯一标识，UUID格式，最大36个字符

最小长度：0

最大长度：36

domain_id

否

String

数据投递后，被委托用户的domain_id

最小长度：0

最大长度：36

region_id

否

String

数据投递后，被委托用户的region_id

最小长度：0

最大长度：36

workspace_id

否

String

当前的工作空间id

最小长度：0

最大长度：36

labels

否

String

标签，仅展示

最小长度：0

最大长度：1024

environment

否

environment object

告警产生的环境坐标信息

data_source

否

data_source object

首次上报数据源

first_observed_time

否

String

首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

last_observed_time

否

String

最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

create_time

否

String

记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

arrive_time

否

String

接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

title

否

String

告警标题

最小长度：0

最大长度：255

description

否

String

告警描述信息

最小长度：0

最大长度：1024

source_url

否

String

告警URL链接，指向数据源产品中有关当前事件说明的页面

最小长度：0

最大长度：1024

count

否

Integer

事件发生次数

最小值：0

最大值：999

confidence

否

Integer

事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100%

最小值：0

最大值：100

severity

否

String

严重性等级，取值范围：Tips | Low | Medium | High | Fatal 说明： 0: Tips – 未发现任何问题。 1: Low – 无需针对问题执行任何操作。 2: Medium – 问题需要处理，但不紧急。 3: High – 问题必须优先处理。 4: Fatal – 问题必须立即处理，以防止产生进一步的损害

最小长度：3

最大长度：6

枚举值：

• Tips

• Low

• Medium

• High

• Fatal

criticality

否

Integer

关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源

最小值：0

最大值：100

alert_type

否

alert_type object

告警分类，详细定义参考《告警类型定义》

network_list

否

Array of network_list objects

网络信息

数组长度：0 - 999

resource_list

否

Array of resource_list objects

受影响资源

数组长度：0 - 999

remediation

否

remediation object

补救措施

verification_state

否

String

验证状态，标识事件的准确性。可选类型如下： Unknown – 未知 True_Positive – 确认 False_Positive – 误报 默认填写Unknown

最小长度：32

最大长度：64

枚举值：

• Unknown

• True_Positive

• False_Positive

handle_status

否

String

事件处理状态，可选类型如下： Open – 打开，默认 Block – 阻塞 Closed – 关闭 默认填写Open

最小长度：4

最大长度：5

枚举值：

• Open

• Block

• Closed

sla

否

Integer

约束闭环时间：设置风险接受持续时间。单位：小时

最小值：0

最大值：999

update_time

否

String

更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

close_time

否

String

关闭时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

ipdrr_phase

否

String

周期/处置阶段编号 Prepartion|Detection and Analysis|Containm，Eradication& Recovery|Post-Incident-Activity

最小长度：0

最大长度：64

枚举值：

• Prepartion

• Detection and Analysis

• Containm，Eradication& Recovery

• Post-Incident-Activity

simulation

否

String

调试字段

最小长度：0

最大长度：64

actor

否

String

告警调查员

最小长度：0

最大长度：64

owner

否

String

责任人、服务责任人

最小长度：0

最大长度：64

creator

否

String

创建人

最小长度：0

最大长度：64

close_reason

否

String

关闭原因: 误检 - False detection 已解决 - Resolved 重复 - Repeated 其他 - Other

最小长度：0

最大长度：64

枚举值：

• False detection

• Resolved

• Repeated

• Other

close_comment

否

String

关闭评论

最小长度：0

最大长度：1024

malware

否

malware object

恶意软件

system_info

否

Object

系统信息

process

否

Array of process objects

进程信息

数组长度：0 - 999

user_info

否

Array of user_info objects

用户信息

数组长度：0 - 999

file_info

否

Array of file_info objects

文件信息

数组长度：0 - 999

system_alert_table

否

Object

告警管理列表的布局字段

vendor_type

否

String

环境供应商：HWCP/HWC/AWS/Azure/GCP

最小长度：0

最大长度：64

domain_id

否

String

租户id

最小长度：0

最大长度：64

region_id

否

String

区域od，全局服务global

最小长度：0

最大长度：64

cross_workspace_id

否

String

数据投递前的源工作空间id，在源空间下值为null，投递后为被委托用户的id

最小长度：0

最大长度：64

project_id

否

String

项目id， 全局服务默认null

最小长度：0

最大长度：64

source_type

否

Integer

数据源类型，取值范围如下： 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品

最小值：1

最大值：3

枚举值：

• 1

• 2

• 3

domain_id

否

String

数据源产品所属账号的id

最小长度：0

最大长度：36

project_id

否

String

数据源产品所属项目的id

最小长度：0

最大长度：64

region_id

否

String

数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-1

最小长度：0

最大长度：64

company_name

否

String

数据源产品所属公司的名称

最小长度：0

最大长度：16

product_name

否

String

数据源产品的名称

最小长度：0

最大长度：24

product_feature

否

String

产品功能特性名称，用来指明检测到当前事件的产品的功能特性

最小长度：0

最大长度：24

product_module

否

String

检测模块列表

最小长度：0

最大长度：1024

category

否

String

类别

最小长度：0

最大长度：1024

alert_type

否

String

告警类型

最小长度：0

最大长度：1024

direction

否

String

方向，取值范围：IN | OUT

最小长度：0

最大长度：3

枚举值：

• IN

• OUT

protocol

否

String

协议，包含7层和4层的协议 参考：IANA registered name https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

最小长度：0

最大长度：64

src_ip

否

String

源IP地址

最小长度：0

最大长度：64

src_port

否

Integer

源端口，0–65535

最小值：0

最大值：65535

src_domain

否

String

源 域名

最小长度：0

最大长度：128

src_geo

否

src_geo object

源IP的地理位置信息

dest_ip

否

String

目的IP地址

最小长度：32

最大长度：64

dest_port

否

String

目的端口，0–65535

最小长度：0

最大长度：65535

dest_domain

否

String

目的域名

最小长度：0

最大长度：128

dest_geo

否

dest_geo object

目标IP的地理位置信息

latitude

否

Number

纬度

最小值：0

最大值：90

longitude

否

Number

经度

最小值：0

最大值：180

city_code

否

String

城市编码，Beijing | Shanghai

最小长度：0

最大长度：64

country_code

否

String

国家简码，参考ISO 3166-1 alpha-2，例如：CN | US | DE | IT | SG

最小长度：0

最大长度：64

latitude

否

Number

纬度

最小值：0

最大值：90

longitude

否

Number

经度

最小值：0

最大值：180

city_code

否

String

城市编码，Beijing | Shanghai

最小长度：0

最大长度：64

country_code

否

String

国家简码，参考ISO 3166-1 alpha-2，例如：CN | US | DE | IT | SG

最小长度：0

最大长度：64

id

否

String

云服务资源id

最小长度：0

最大长度：36

name

否

String

资源名称

最小长度：0

最大长度：255

type

否

String

资源类型；引用华为云 RMS type字段

最小长度：0

最大长度：64

provider

否

String

云服务名称；引用华为云RMS provider字段

最小长度：0

最大长度：64

region_id

否

String

区域；按照华为云regionId填写，如cn-north-1等

最小长度：0

最大长度：36

domain_id

否

String

资源所属账号ID，UUID格式

最小长度：0

最大长度：36

project_id

否

String

资源所属项目ID，UUID格式

最小长度：0

最大长度：36

ep_id

否

String

企业项目id

最小长度：0

最大长度：128

ep_name

否

String

企业项目名称

最小长度：0

最大长度：128

tags

否

String

资源标签 1、最多50个key/values对 2、values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@

最小长度：0

最大长度：2048

recommendation

否

String

推荐处理方法

最小长度：0

最大长度：128

url

否

String

链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证

最小长度：0

最大长度：2048

malware_family

否

String

恶意家族

最小长度：0

最大长度：64

malware_class

否

String

恶意软件分类

最小长度：0

最大长度：64

process_name

否

String

进程名

最小长度：0

最大长度：64

process_path

否

String

进程执行文件路径

最小长度：0

最大长度：512

process_pid

否

Integer

进程id

最小值：0

最大值：65535

process_uid

否

Integer

进程用户id

最小值：0

最大值：655350

process_cmdline

否

String

进程命令行

最小长度：0

最大长度：128

process_parent_name

否

String

父进程名称

最小长度：0

最大长度：64

process_parent_path

否

String

父进程执行文件路径

最小长度：0

最大长度：512

process_parent_pid

否

Integer

父进程id

最小值：0

最大值：65535

process_parent_uid

否

Integer

父进程用户id

最小值：0

最大值：655350

process_parent_cmdline

否

String

父进程命令行

最小长度：0

最大长度：128

process_child_name

否

String

子进程名称

最小长度：0

最大长度：64

process_child_path

否

String

子进程执行文件路径

最小长度：0

最大长度：512

process_child_pid

否

Integer

子进程id

最小值：0

最大值：65535

process_child_uid

否

Integer

子进程用户id

最小值：0

最大值：655350

process_child_cmdline

否

String

子进程命令行

最小长度：0

最大长度：128

process_launche_time

否

String

进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

process_terminate_time

否

String

进程结束时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区

最小长度：0

最大长度：30

user_id

否

String

用户uid

最小长度：0

最大长度：36

user_name

否

String

用户名称

最小长度：32

最大长度：64

file_path

否

String

文件路径/名称

最小长度：0

最大长度：128

file_content

否

String

文件内容

最小长度：0

最大长度：1024

file_new_path

否

String

文件新路径/名称

最小长度：32

最大长度：64

file_hash

否

String

文件hash

最小长度：0

最大长度：128

file_md5

否

String

文件md5

最小长度：0

最大长度：128

file_sha256

否

String

文件sha256

最小长度：0

最大长度：128

file_attr

否

String

文件属性

最小长度：0

最大长度：1024