X-Auth-Token

是

String

用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。

最小长度：1

最大长度：2097152

X-Language

否

String

语言。

最小长度：2

最大长度：6

events

是

Array of Event objects

event 批量导入

version

是

String

SA数据对象版本号，数据接入时需携带版本号。版本号由SA服务团队负责更新，数据源只可填写SA给定的版本号。目前版本为1.0.0。

最小长度：5

最大长度：5

environment

是

Environment object

环境坐标，DRP。

data_source

是

DataSource object

提供数据来源相关信息，必选对象。

first_observed_time

是

String

首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。

last_observed_time

否

String

最新发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。

create_time

是

String

记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。

arrive_time

否

String

数据接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 是指事件数据被SA侧接收的时间，由SA接收时填写，产品上报数据时不用填写。

event_id

是

String

事件唯一标识，UUID格式。

最小长度：32

最大长度：36

title

是

String

事件标题，最大255字符。

最小长度：1

最大长度：255

description

是

String

事件描述信息，最大1024个字符

最小长度：1

最大长度：1024

source_url

否

String

事件URL链接，指向数据源产品中有关当前事件说明的页面。

最小长度：1

最大长度：4096

count

是

Integer

事件发生次数，默认为1，必填。

最小值：1

最大值：9223372036854775807

confidence

否

Integer

事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100%。

最小值：0

最大值：100

severity

是

Severity object

严重性对象。

criticality

否

Integer

关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。

最小值：0

最大值：100

type

是

Type object

事件分类。

compliance

否

Compliance object

扩展信息，用来提供合规检查信息。合规检查相关的数据上报时，必须填充此对象。

network

否

Network object

扩展信息，用来提供网络信息。

vulnerability_patch

否

VulnerabilityPatch object

扩展信息，用来提供漏洞信息。

malware

否

Malware object

恶意软件。

threat_intel

否

ThreatIntel object

威胁情报。

resource

是

Resource object

受影响资源。

remediation

否

Remediation object

补救措施。

data_source_fields

否

Object

数据源自定义信息，最多支持50个key/value对，约束条件： 1、该对象不能包含冗余数据，并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", }

verification_state

否

String

事件验证状态，标识事件的准确性。 Unknown – 未知，默认 True_positive – 确认 False_positive – 误报。

最小长度：1

最大长度：512

handle_status

是

String

事件处理状态，New/Ignored/Resolved；默认New。

最小长度：1

最大长度：512

phase

否

String

阶段：Prepartion|Detection and Analysis|Containm，Eradication& Recovery| Post-Incident-Activity。

最小长度：1

最大长度：32

sla

否

Integer

约束闭环时间：单位：天。

最小值：1

最大值：90

type

是

String

环境供应商，HWCP/HWC/AWS/Azure/GCP等。

最小长度：1

最大长度：36

domain_id

是

String

租户账号ID，用来标识事件所属租户。

最小长度：32

最大长度：36

project_id

否

String

租户项目ID，用来标识事件所属项目区域。

最小长度：32

最大长度：36

region_id

否

String

数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。

最小长度：1

最大长度：512

type

否

Integer

数据源类型，取值范围如下： 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品

最小值：1

最大值：3

domain_id

否

String

数据源产品所属管理账号的ID，最大36个字符。

最小长度：32

最大长度：36

project_id

否

String

数据源产品所属项目的ID，最大36个字符。

最小长度：32

最大长度：36

region_id

否

String

数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。

最小长度：1

最大长度：512

company_name

是

String

数据源产品所属公司的名称。

最小长度：1

最大长度：512

product_name

是

String

数据源产品的名称。

最小长度：1

最大长度：512

product_feature

否

String

产品功能特性名称，用来指明检测到当前事件的产品的功能特性。

最小长度：1

最大长度：512

label

是

String

严重性等级取值范围：TIPS、LOW、MEDIUM、HIGH、FATAL。 TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。

最小长度：1

最大长度：512

normalize_score

否

Integer

严重性评分取值范围：0-100； 与严重性等级的对应关系： TIPS 0； LOW 1-39； MEDIUM 40-69； HIGH 70-89； FATAL 90-100。

最小值：0

最大值：100

original_score

否

Integer

严重性原始评分，指在数据源产品中的评分。

最小值：0

最大值：9223372036854775807

business

是

String

事件所属业务领域标签，可选类别如下： attack – 攻击 vulnerability – 漏洞 compliance check – 合规检查 risk - 风险 public opinion - 舆情 illegal&violation - 违法违规 security bulletin - 公告

最小长度：1

最大长度：512

category

否

String

类别，推荐使用预定义的类型分类。

最小长度：1

最大长度：512

classifier

否

String

分类器，推荐使用预定义的分类器。 如果指定了分类器，则必须指定类别。

最小长度：1

最大长度：512

tech_domain

否

String

技术领域标签： OS：主机 APP：应用 NET：网络 OPS：运维 CS ：云服务 CSP：平台云服务

最小长度：1

最大长度：512

properties

否

TypeProperties object

属性信息。

killchain

否

String

Kill chain事件分类，仅当business为attack有效

最小长度：1

最大长度：512

ttps

否

String

Mitre Array 事件分类，仅当business为attack有效

最小长度：1

最大长度：512

effects

否

String

影响，适用全部类型

最小长度：1

最大长度：512

checkitem_id

是

String

检查项（检查规则）编号

最小长度：1

最大长度：512

checkpoint_id

是

String

检查点（检查结果）编号，检查项对同一个资源的检查结果

最小长度：1

最大长度：512

spec_id

是

String

检查规范编号，默认选第一个

最小长度：1

最大长度：512

status

是

String

合规检查结果，取值定义：PASSED、WARNING、FAILED、NOT_AVAILABLE。 说明： PASSED - 接受评估的所有资源都已通过安全检查。 WARNING - 某些信息缺失或配置不支持此检查。 FAILED - 至少有一个接受评估的资源未能通过安全检查。 NOT_AVAILABLE - 由于服务中断或 API 错误，无法执行检查。

最小长度：1

最大长度：512

properties

否

String

属性信息

最小长度：1

最大长度：512

direction

否

String

方向，取值范围：IN、OUT。

最小长度：2

最大长度：3

protocol

否

String

协议。

最小长度：0

最大长度：512

src_ip

否

String

源IP地址。

最小长度：7

最大长度：15

src_port

否

Integer

源端口，0–65535。

最小值：0

最大值：65535

src_domain

否

String

源 域名 ，最大128个字符。

最小长度：1

最大长度：128

src_geo

否

Geo object

源IP的地理位置信息。

dest_ip

否

String

目标IP地址。

最小长度：7

最大长度：15

dest_port

否

Integer

目标端口，0–65535。

最小值：0

最大值：65535

dest_domain

否

String

目标域名，最大128个字符。

最小长度：1

最大长度：128

dest_geo

否

Geo object

目标IP的地理位置信息。

latitude

否

Number

纬度。

最小值：-90.0

最大值：90.0

longitude

否

Number

经度。

最小值：-180.0

最大值：180.0

city_code

否

String

城市编码。

最小长度：1

最大长度：128

country_code

否

String

国家简码ISO 3166-1 alpha-2，例如：CN、US、DE、IT、SG。

最小长度：1

最大长度：128

patch_id

是

String

补丁编号。

最小长度：1

最大长度：256

patch_name

否

String

补丁名称。

最小长度：1

最大长度：256

type

否

String

补丁类型（0：linux，1：windows，2：web-cms）。

最小长度：1

最大长度：32

major_level

否

String

重要等级。

最小长度：1

最大长度：32

status

否

String

补丁状态。

最小长度：1

最大长度：32

repair_cmd

否

String

修复命令。

最小长度：0

最大长度：512

repair_necessity

否

String

修复必要程度（1：需立刻修复，2：可延后修复，3：暂可以不修复）。

最小长度：0

最大长度：512

release_time

否

String

发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。

reference_url

否

String

参考链接。

最小长度：0

最大长度：512

vendor_name

否

String

漏洞报告提供者信息。

最小长度：1

最大长度：32

vulnerable_package

否

String

受影响软件版本。

最小长度：1

最大长度：32

cve_ids

否

String

CVE编号列表。

最小长度：1

最大长度：256

name

是

String

恶意软件名称，最大64个字符。

最小长度：1

最大长度：64

sha256

否

String

恶意软件sha256

最小长度：1

最大长度：1024

type

是

String

恶意软件类型，遵循STIX规范： adware、backdoor、bot、bootkit、ddos、downloader、dropper、exploit-kit、keylogger、ransomware、remote-access-trojan、resource-exploitation、rogue-security-software、rootkit、screen-capture、spyware、trojan、unknown、virus、webshell、wiper、worm

最小长度：1

最大长度：512

path

否

String

恶意软件在系统中的路径，最大512个字符。

最小长度：0

最大长度：512

state

否

String

恶意软件状态，取值范围：OBSERVED、REMOVAL_FAILED、REMOVED。

最小长度：0

最大长度：512

properties

否

MalwareProperties object

属性信息。

pid

否

String

进程ID。

最小长度：1

最大长度：64

user

否

String

系统角色（例如:root，service）。

最小长度：1

最大长度：64

mod

否

String

系统权限（例如：777，755）。

最小长度：1

最大长度：64

start_time

否

String

进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。

id

是

String

情报Id。

最小长度：0

最大长度：32

indicator_type

否

String

威胁情报类型，Domain、Email_Address、Hash_MD5、Hash_SHA1、Hash_SHA256、 Hash_SHA512、IPv4_Address、IPv6_Address、URL。

最小长度：0

最大长度：64

labels

否

String

标签，如'矿池','外联'等，"Directory Scan|Directory Traversal"。

最小长度：0

最大长度：512

confidence

否

Integer

置信度，不同来源目前置信度分值定义不一样（分数）。

最小值：0

最大值：9223372036854775807

information_source

是

String

威胁情报源，最大64个字符。

最小长度：0

最大长度：64

severity

否

Integer

严重程度，不同渠道定义值不一样（分数）。

最小值：0

最大值：9223372036854775807

description

是

String

威胁情报描述。

最小长度：0

最大长度：4096

modified

否

String

威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。

valid_from

否

String

有效期开始（可读字符串）。

最小长度：0

最大长度：32

valid_until

否

String

有效期结束（可读字符串）。

最小长度：0

最大长度：32

properties

否

ThreatIntelProperties object

威胁情报属性信息。

file_md5

否

String

恶意软件Md5。

最小长度：1

最大长度：64

file_sha1

否

String

恶意软件Sha1。

最小长度：1

最大长度：255

file_sha256

否

String

恶意软件Sha256值。

最小长度：1

最大长度：255

file_name

否

String

文件名称。

最小长度：1

最大长度：255

create_time

否

String

编译时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。

file_class

否

String

文件类别，TEXT|XCODE。

最小长度：1

最大长度：255

file_family

否

String

家族，例如：wannacry（勒索软件）。

最小长度：1

最大长度：255

file_maltype

否

String

类别，例如：trojan（特洛伊）。

最小长度：1

最大长度：255

ip_resolves_to_refs

否

String

mac地址。

最小长度：1

最大长度：255

belongs_to_refs

否

String

IP AS 自治系统。

最小长度：1

最大长度：255

ip_location

否

String

地区 格式：country/provice/city/lngwgs/latwgs。

最小长度：1

最大长度：255

domain_family

否

String

例如：banjori|iodine。

最小长度：1

最大长度：255

domain_resolves_to_refs

否

String

解析的IP地址。

最小长度：1

最大长度：255

domain_dns_type

否

String

DNS类别。A|NS|CNAME|TXT。

最小长度：1

最大长度：255

url_host

否

String

例：3ms.huawei.com。

最小长度：1

最大长度：255

url_resolves_to_refs

否

String

IP地址。

最小长度：1

最大长度：255

display_name

否

String

显示名称。

最小长度：1

最大长度：128

url_belongs_to_ref

否

String

邮箱账户，@之前部分。

最小长度：1

最大长度：128

id

是

String

资源ID。

最小长度：32

最大长度：36

name

是

String

资源名称；最大长度255个字符。

最小长度：1

最大长度：255

type

是

String

资源类型。

最小长度：1

最大长度：128

provider

是

String

云服务名称。

最小长度：1

最大长度：128

region_id

否

String

区域。

最小长度：1

最大长度：128

domain_id

是

String

资源所属租户账号ID。

最小长度：32

最大长度：36

project_id

否

String

资源所属项目ID。

最小长度：32

最大长度：36

ep_id

否

String

企业项目ID。

最小长度：32

最大长度：36

ep_name

否

String

企业项目名称。

最小长度：32

最大长度：36

tags

否

Object

资源标签 1、最多50个key/values对。 2、values：最大255字符。 3、取值范围：字母数字、空格、“+”、“-”、“=”、“.”、“_”、“:”、“/”、“@”。

recommendation

是

String

处理建议，最长512个字符。

最小长度：1

最大长度：512

url

否

String

链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。

最小长度：1

最大长度：128