7、数据接口 - 安全情报上报接口 - 《安恒-AiLPHA 大数据态势感知数据接口文档》

第三方平台应将收集或分析产生的情报信息通过接口向本级平台进行上报。
安全情报上报内容包括情报ID、情报名称、IOC类型、置信度、情报类型、运营商、组织名称、标签、md5、cveID、情报关联厂商、数据来源、原始事件等。

请求地址：/open/api/v1/retrieval/addThread
接口类型： HTTP
请求方式：POST
请求参数:

序号	字段名称	中文名称	字段说明	字段长度	必填/可选	说明
1	id	情报ID	字符	50	必填	情报唯一ID
2	subject	情报指示器IOC	字符	100	必填	情报指示器IOC，对应的IP 域名等
3	subjectType	IOC类型	字符	50	必填	IOC类型，IP,域名,URL,文件HASH,邮箱
4	score	分值	对象			对象，对象属性包括confidenceLevel，详见下表
5	enable	是否生效	布尔	10	必填	是否生效 true生效，false不生效
6	threatIntelligenceType	情报类型	枚举	100	必填	情报类型”恶意，正常，黑客组织，监管单位”
7	operator	运营商	枚举	10	可选	运营商 “中国移动,中国联通,中国电信,其他”
8	organization	组织名称	字符	100	可选	组织名称
9	geo	区域	对象			对象，对象属性包括city、countryName、province，详见下表
10	tags	标签	对象数组			对象数组，对象属性包括description、intelligenceAlarmName、mclass、origin、sclass、tagType，详见下表
11	iocMd5	文件情报md5值	字符	100	可选	文件情报md5值
12	cveID	cveID	字符		可选	cve ID
13	iocManufacturer	情报关联厂商	字符	50	可选	情报关联厂商
14	dataFrom	数据来源	字符	50	必填	调用接口数据来源
15	rawIOCData	原始情报	字符		必填	原始情报,其他字段等，填入原始漏洞整个json串

score包含的字段:

序号	字段名称	中文名称	字段说明	字段长度	必填/可选	说明
1	confidenceLevel	置信度	枚举	10	必填	枚举值：{“高置信”:0.8,”中置信”:0.6,”低置信”:0}

geo包含的字段:

序号	字段名称	中文名称	字段说明	字段长度	必填/可选	说明
1	city	地区	字符	30	可选	地区城市
2	countryName	国家	字符	30	可选	国家
3	province	省份	字符	30	可选	xx省对应的代码

tags包含的字段:

序号	字段名称	中文名称	字段说明	字段长度	必填/可选	说明
1	description	情报标签描述	字符	1000	可选	tags: 情报标签描述
2	intelligenceAlarmName	情报告警名称	字符	100	必填	tags: 情报告警名称
3	mclass	自定义类别	字符	50	必填	tags: 自定义类别
4	origin	数据来源	字符	20	可选	tags: 数据来源
5	sclass	自定义类别对应的值	字符	50	可选	tags: 自定义类别对应的值
6	tagType	标签类型	字符	100	必填	tags: 枚举值多选一

请求示例：

[{
id:"唯一id值",
subject:"1.1.1.1",         //情报指示器IOC，对应的IP 域名等 【string, 必填】
subjectType："IP"，     //IOC类型，IP,域名,URL,文件HASH,邮箱【string, 必填】
score: {               
confidenceLevel: 0.8 //置信度【enum, 必填】{"高置信":0.8,"中置信":0.6,"低置信":0} 
}
enable: true,               //是否生效  true生效，false不生效【布尔值，必填】
threatIntelligenceType:"恶意", //情报类型"恶意，正常，黑客组织，监管单位"【enum, 必填】
operator:"中国移动",  //运营商 "中国移动,中国联通,中国电信,其他"【enum, 选填】
organization:"", //组织名称 【string, 选填】
geo: {
        city: "地区",          //地区城市【string, 选填】
        countryName: "国家",  //国家【string, 选填】
        province: "省份"      //xx省对应的代码【string, 选填】
    },
tags: [    // 标签是数组对象
        {
            description: "描述",\\情报标签描述【string, 选填】
            intelligenceAlarmName: "分类:1",  \\情报告警名称【string, 必填】
            mclass: "分类",  \\自定义类别【string, 必填】
            origin: "来源",   \\数据来源【string, 选填】
            sclass: "1",      \\自定义类别对应的值【string, 选填】
            tagType: "SECURITYEVENT" \\枚举值多选一【string, 必填】
        }
    ],
iocMd5:"",\\文件情报md5值【string, 选填】
cveID:"",\\cve ID
iocManufacturer:"", \\情报关联厂商【string, 选填】
dataFrom:"调用接口上传情报的单位名称" ,     //数据来源 【string, 必填】
rawIOCData:"",//原始情报,其他字段等，填入原始漏洞整个json串【string, 必填】
},{... ...},{... ...}]

dataValues包含的字段:

序号	字段名称	中文名称	字段说明	字段长度	必填/可选
1	user	第三方系统用户名	文本	10	必填
2	timestamp	请求发起时间戳	整数	64	必填
3	sign	md5(timestamp+user+token)	字符	32	必填
4	dataValues	对象数组	对象		必填

返回参数:

序号	字段名称	中文名称	字段说明	说明
1	errorCode	接口状态码	字符
2	errorMessage	接口消息	字符
3	data	接口数据	对象
4	success	是否成功	布尔	true：成功，false：错误

返回示例:

{
    "data": {},
    "errorCode": "",
    "errorMessage": "",
    "success": true
}

情报数据补充:

1）IOC类型 subjectType
上传对应的英文
“domain”:”域名”,
“file”:”文件HASH”,
“ip”:”ip”,
“email”:”邮箱”

2）标签类别 tagType
上传对应的英文单词
“OBSERVEDDATA”:”观测数据”,”ATTACKINDEX”:”攻击指标”,
“SECURITYEVENT”:”安全事件”,”ATTACKACTIVITY”:”攻击活动”,
“THREATSUBJECT”:”威胁主体”,”ATTACKTARGET”:”攻击目标”,
“ATTACKMETHOD”:”攻击方法”,”COUNTERMEASURE”:”应对措施”,
“OTHER”:”其他”,”BEHAVIOUR”:”行为”,”ORGANIZATION”:”组织”,
“FAMILY”:”家族”,”DOUBTABLE”:”可疑的”,”EVENT”:”事件”,
“DEFAULT”:”default”}

3）标签分类 mclass
mclass情报可疑加多个标签，标签有类别，自定义字符串
比如：授权问题，跨站请求伪造，跨站脚本，注入，代码问题等

特别说明：关于dataFrom的传值约定
dataFrom指的应是哪个第三方业主单位向本平台提供了相应数据，这个业主单位不应该是厂商（当对接方确实是一个厂商时，他一定服务于某一个业主单位），因为发现厂商和关联厂商（discoverFactory、iocManufacturer）已有独立字段。
举例说明：A厂商在XX省网信办项目上会调用接口发送事件、隐患、情报至态势平台，A厂商是替XX省网信办发送结果至态势平台，因此datafrom应该填”XX省网信办”，discoverFactory 下填写A厂商.