安全云脑 SECMASTER-创建事件:响应参数
响应参数
状态码: 200
参数 |
参数类型 |
描述 |
---|---|---|
X-request-id |
String |
请求ID,格式为:request_uuid-timestamp-hostname |
参数 |
参数类型 |
描述 |
---|---|---|
code |
String |
错误码 |
message |
String |
错误信息 |
data |
IncidentDetail object |
事件详情对象 |
参数 |
参数类型 |
描述 |
---|---|---|
create_time |
String |
记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
data_object |
Incident object |
事件实体信息 |
dataclass_ref |
dataclass_ref object |
数据类对象 |
format_version |
Integer |
格式版本 |
id |
String |
事件唯一标识,UUID格式,最大36个字符 |
project_id |
String |
当前项目的id |
update_time |
String |
更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为告警发生时区,无法解析时区的时间,默认时区填东八区 |
version |
Integer |
版本 |
workspace_id |
String |
当前的工作空间id |
参数 |
参数类型 |
描述 |
---|---|---|
version |
String |
事件对象的版本,该字段的值必须为云SSA服务确定的官方发布版本之一 |
id |
String |
事件唯一标识,UUID格式,最大36个字符 |
domain_id |
String |
数据投递后,被委托用户的domain_id |
region_id |
String |
数据投递后,被委托用户的region_id |
workspace_id |
String |
当前的工作空间id |
labels |
String |
标签,仅展示 |
environment |
environment object |
事件产生的环境坐标信息 |
data_source |
data_source object |
首次上报数据源 |
first_observed_time |
String |
首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
last_observed_time |
String |
最近发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
create_time |
String |
记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
arrive_time |
String |
接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
title |
String |
事件标题 |
description |
String |
事件描述信息 |
source_url |
String |
事件URL链接,指向数据源产品中有关当前事件说明的页面 |
count |
Integer |
事件发生次数 |
confidence |
Integer |
事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围:0-100,0表示置信度为0%,100表示置信度为100% |
severity |
String |
严重性等级,取值范围:Tips | Low | Medium | High | Fatal 说明: 0: Tips – 未发现任何问题。 1: Low – 无需针对问题执行任何操作。 2: Medium – 问题需要处理,但不紧急。 3: High – 问题必须优先处理。 4: Fatal – 问题必须立即处理,以防止产生进一步的损害 |
criticality |
Integer |
关键性,是指事件涉及的资源的重要性级别。 取值范围:0-100,0表示资源不关键,100表示最关键资源 |
incident_type |
incident_type object |
事件分类,详细定义参考《告警事件类型定义》 |
network_list |
Array of network_list objects |
网络信息 |
resource_list |
Array of resource_list objects |
受影响资源 |
remediation |
remediation object |
补救措施 |
verification_state |
String |
验证状态,标识事件的准确性。可选类型如下: Unknown – 未知 True_Positive – 确认 False_Positive – 误报 默认填写Unknown |
handle_status |
String |
事件处理状态,可选类型如下: Open – 打开,默认 Block – 阻塞 Closed – 关闭 默认填写Open |
sla |
Integer |
约束闭环时间:设置风险接受持续时间。单位:小时 |
update_time |
String |
更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
close_time |
String |
关闭时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
ipdrr_phase |
String |
周期/处置阶段编号 Prepartion|Detection and Analysis|Containm,Eradication& Recovery|Post-Incident-Activity |
simulation |
String |
调试字段 |
actor |
String |
事件调查员 |
owner |
String |
责任人、服务责任人 |
creator |
String |
创建人 |
close_reason |
String |
关闭原因: 误检 - False detection 已解决 - Resolved 重复 - Repeated 其他 - Other |
close_comment |
String |
关闭评论 |
malware |
malware object |
恶意软件 |
system_info |
Object |
系统信息 |
process |
Array of process objects |
进程信息 |
user_info |
Array of user_info objects |
用户信息 |
file_info |
Array of file_info objects |
文件信息 |
system_alert_table |
Object |
事件管理列表的布局字段 |
参数 |
参数类型 |
描述 |
---|---|---|
vendor_type |
String |
环境供应商 |
domain_id |
String |
租户id |
region_id |
String |
区域id,全局服务global |
cross_workspace_id |
String |
数据投递前的源工作空间id,在源空间下值为null,投递后为被委托用户的id |
project_id |
String |
项目id, 全局服务默认null |
参数 |
参数类型 |
描述 |
---|---|---|
source_type |
Integer |
数据源类型,取值范围如下: 1 - 云上产品 2 - 第三方产品 3 - 租户私有产品 |
domain_id |
String |
数据源产品所属账号的id |
project_id |
String |
数据源产品所属项目的id |
region_id |
String |
数据源产品所在区域,具体取值范围查看云地区和终端节点定义,例如cn-north-1 |
company_name |
String |
数据源产品所属公司的名称 |
product_name |
String |
数据源产品的名称 |
product_feature |
String |
产品功能特性名称,用来指明检测到当前事件的产品的功能特性 |
product_module |
String |
检测模块列表 |
参数 |
参数类型 |
描述 |
---|---|---|
direction |
String |
方向,取值范围:IN | OUT |
protocol |
String |
协议,包含7层和4层的协议 参考:IANA registered name https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml |
src_ip |
String |
源IP地址 |
src_port |
Integer |
源端口,0–65535 |
src_domain |
String |
源 域名 |
src_geo |
src_geo object |
源IP的地理位置信息 |
dest_ip |
String |
目的IP地址 |
dest_port |
String |
目的端口,0–65535 |
dest_domain |
String |
目的域名 |
dest_geo |
dest_geo object |
目标IP的地理位置信息 |
参数 |
参数类型 |
描述 |
---|---|---|
latitude |
Number |
纬度 |
longitude |
Number |
经度 |
city_code |
String |
城市编码,Beijing | Shanghai |
country_code |
String |
国家简码,参考ISO 3166-1 alpha-2,例如:CN | US | DE | IT | SG |
参数 |
参数类型 |
描述 |
---|---|---|
latitude |
Number |
纬度 |
longitude |
Number |
经度 |
city_code |
String |
城市编码,Beijing | Shanghai |
country_code |
String |
国家简码,参考ISO 3166-1 alpha-2,例如:CN | US | DE | IT | SG |
参数 |
参数类型 |
描述 |
---|---|---|
id |
String |
云服务资源id |
name |
String |
资源名称 |
type |
String |
资源类型;引用云 RMS type字段 |
provider |
String |
云服务名称;引用云RMS provider字段 |
region_id |
String |
区域;按照云regionId填写,如cn-north-1等 |
domain_id |
String |
资源所属账号ID,UUID格式 |
project_id |
String |
资源所属项目ID,UUID格式 |
ep_id |
String |
企业项目id |
ep_name |
String |
企业项目名称 |
tags |
String |
资源标签 1、最多50个key/values对 2、values:最大255字符,取值范围:字母数字,空格,+, -, =, ., _, :, /,@ |
参数 |
参数类型 |
描述 |
---|---|---|
recommendation |
String |
推荐处理方法 |
url |
String |
链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证 |
参数 |
参数类型 |
描述 |
---|---|---|
process_name |
String |
进程名 |
process_path |
String |
进程执行文件路径 |
process_pid |
Integer |
进程id |
process_uid |
Integer |
进程用户id |
process_cmdline |
String |
进程命令行 |
process_parent_name |
String |
父进程名称 |
process_parent_path |
String |
父进程执行文件路径 |
process_parent_pid |
Integer |
父进程id |
process_parent_uid |
Integer |
父进程用户id |
process_parent_cmdline |
String |
父进程命令行 |
process_child_name |
String |
子进程名称 |
process_child_path |
String |
子进程执行文件路径 |
process_child_pid |
Integer |
子进程id |
process_child_uid |
Integer |
子进程用户id |
process_child_cmdline |
String |
子进程命令行 |
process_launche_time |
String |
进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
process_terminate_time |
String |
进程结束时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区 |
参数 |
参数类型 |
描述 |
---|---|---|
file_path |
String |
文件路径/名称 |
file_content |
String |
文件内容 |
file_new_path |
String |
文件新路径/名称 |
file_hash |
String |
文件hash |
file_md5 |
String |
文件md5 |
file_sha256 |
String |
文件sha256 |
file_attr |
String |
文件属性 |
状态码: 400
参数 |
参数类型 |
描述 |
---|---|---|
X-request-id |
String |
请求ID,格式为:request_uuid-timestamp-hostname |
参数 |
参数类型 |
描述 |
---|---|---|
code |
String |
错误码 |
message |
String |
错误描述 |