第三方平台通过对安全告警的研判确认形成安全事件,并通过安全事件上报接口向本级平台进行通过安全事件上报接口向本级平台进行上报。
安全事件上报内容包括事件ID、事件名称、威胁等级、事件等级、受害者、攻击者、事件类型、事件标签、举证信息、描述信息、单位名称、事件相关域名、事件相关IPV4、事件相关IPV6、事件相关Mac地址、事件起始时间、事件结束时间、发现厂商、事件来源、验证状态、处置状态、原始事件、目的端口、事件上报时间、事件影响评估、事件上报人员、报告人员联系方式、威胁资产等。
请求地址:/open/api/v1/retrieval/addSecurityEvent
接口类型:HTTP
请求方式:POST
请求参数:
| 序号 | 字段名称 | 中文名称 | 字段说明 | 字段长度 | 必填/可选 | 说明 |
|---|---|---|---|---|---|---|
| 1 | user | 第三方系统用户名 | 文本 | 10 | 必填 | |
| 2 | timestamp | 请求发起时间戳 | 整数 | 64 | 必填 | |
| 3 | sign | md5(timestamp+user+token) | 字符 | 32 | 必填 | |
| 4 | dataValues | 对象数组 | 对象 | 必填 |
请求示例:
[{incidentID:"", / /风险唯一ID (用uuid) 这个字段一定有并且唯一【string, 必填】incidentName:" 江苏迈克化工机械有限公司www.jsmkhj.com存在网页篡改hidelink", //安全事件名称; 【string, 必填】threatSeverity:"Low",//攻击威胁严重程度,分为高、中、低三级 【enum, 必填】eventsThreatSeverity:"", //事件等级 四选一【enum, 必填】victim:["xxxx"], //受害者,发生事件的主体,IP或者域名 【array, 必填】attacker:["xxxx"], 攻击者 //攻击IP或者域名 【array, 选填】eventsType:["拒绝服务攻击"], //事件类型【array, 必填】incidentTag:["色情","学生妹"], //事件标签,自定义,数据内多个事件标签 【array, 选填】evidence: "xx", //举证信息; 【string, 选填】describe: "xxx", //描述信息;【string,选填】unitName:"安恒电子商务有限公司" //单位名称,事件关联单位名称【string, 必填】assetDomain:[] //事件关联的域名数组,【array, 选填】assetIpv4: [], //事件关联的IPV4数组,【array, 选填】assetIpv6: [], //事件关联的IPV6数组,【array, 选填】assetMac: [], //事件关联的Mac地址数组,【array, 选填】startTime:xxx, //事件起始时间 【timestamp YYYY-MM-dd HH:mm:ss格式 必填】endTime:xxx //事件结束时间 【timestamp YYYY-MM-dd HH:mm:ss格式必填】discoverFactory:"" //发现厂商 【string, 选填】eventFrom: "" //事件来源【string, 选填】dataFrom: "调用接口单位名称" , //数据来源 【string, 必填】judgeState:"",//验证状态 四选一【enum, 必填】传对应的英文noticeState:"",//处置状态 三选一【enum, 必填】传对应的英文rawEvent:"xxxx" //原始事件,其他字段等,填入原始漏洞整个json串【string, 必填】},{... ...},{... ...}]
dataValues包含的字段:
| 序号 | 字段名称 | 中文名称 | 字段说明 | 字段长度 | 必填/可选 | 说明 |
|---|---|---|---|---|---|---|
| 1 | incidentID | 事件ID | 字符 | 50 | 必填 | 事件ID(且唯一) |
| 2 | incidentName | 事件名称 | 字符 | 100 | 必填 | 事件名称 |
| 3 | threatSeverity | 威胁等级 | 枚举 | 必填 | 威胁等级(低:Low, 中:Medium, 高:High) | |
| 4 | eventsThreatSeverity | 事件等级 | 枚举 | 必填 | 威胁等级(specialEvent,bigEvent,largerEvent,commonEvent分别对应特别重大事件、重大事件、较大事件和一般事件) | |
| 5 | victim | 受害者 | 字符 | 20 | 必填 | 受害者IP或域名 |
| 6 | attacker | 攻击IP | 字符 | 20 | 必填 | 攻击者IP或域名 |
| 7 | eventsType | eventOther | 枚举 | 必填 | 事件类型,枚举值传对应字段ID,字段ID见下方补充(拒绝服务攻击、扫描探测、隐患利用、有害程序、可用性、信息篡改、黑页、暗链、反共、博彩、色情、非法广告、高级威胁、信息假冒、信息泄露、信息窃取、信息丢失、DNS污染、Wifi劫持、BGP劫持、广播欺诈、配置错误、合规缺陷、访问异常、流量异常、漏洞、其他) | |
| 8 | incidentTag | 事件标签 | 数组 | 1000 | 可选 | 事件标签,自定义,数据内多个事件标签 |
| 9 | evidence | 举证信息 | 字符 | 1000 | 可选 | 举证信息描述 |
| 10 | describe | 事件描述 | 字符 | 1000 | 必填 | 事件描述 |
| 11 | unitName | 单位名称 | 字符 | 100 | 必填 | 事件关联单位名称 |
| 12 | assetDomain | 事件相关的域名 | 数组 | 100 | 可选 | 事件关联的域名数组 |
| 13 | assetIpv4 | 事件相关IPV4 | 数组 | 100 | 可选 | 事件关联的IPV4数组 |
| 14 | assetIpv6 | 事件相关IPV6 | 数组 | 100 | 可选 | 事件关联的IPV6数组 |
| 15 | assetMac | 事件相关Mac地址 | 数组 | 100 | 可选 | 事件关联的Mac地址数组 |
| 16 | startTime | 事件起始时间 | 字符 | 20 | 必填 | 事件产生时间(格式:”yyyy-MM-dd HH:mm:ss”) |
| 17 | endTime | 事件结束时间 | 字符 | 20 | 必填 | 事件结束时间(格式:”yyyy-MM-dd HH:mm:ss”) |
| 18 | discoverFactory | 发现厂商 | 字符 | 20 | 可选 | 列举发现厂商 |
| 19 | eventFrom | 事件来源 | 字符 | 20 | 必填 | 列举事件来源 |
| 20 | dataFrom | 数据来源 | 字符 | 50 | 必填 | 调用接口单位名称 |
| 21 | judgeState | 验证状态 | 枚举 | 必填 | 枚举传英文(未验证:judgeStateNone、验证通过:judgeStateTrue、误报:judgeStateFalse、忽略:judgeStatePass ) |
|
| 22 | noticeState | 处置状态 | 枚举 | 必填 | 枚举英文名(处置状态未工单noticeStateNone,已工单 noticeStateDone,已完成 noticeStateFinished) | |
| 23 | rawEvent | 原始事件 | 字符 | 必填 | 原始事件,其他字段等,填入原始漏洞整个json串 |
返回参数:
| 序号 | 字段名称 | 中文名称 | 字段说明 | 说明 |
|---|---|---|---|---|
| 1 | errorCode | 接口状态码 | 字符 | |
| 2 | errorMessage | 接口消息 | 字符 | |
| 3 | data | 接口数据 | 对象 | |
| 4 | success | 是否成功 | 布尔 | true:成功,false:错误 |
返回示例:
{"data": {},"errorCode": "","errorMessage": "","success": true}
安全事件补充说明
事件类型枚举值27种选一,填ID,映射不上的,传默认值”其他”对应的ID”eventOther”
若有收获,就点个赞吧
0 人点赞
