API Explorer

产品类型

计算

存储

网络

数据库

人工智能

大数据

容器

安全与合规

运营

应用中间件

管理与监管

CDN与智能边缘

软件开发生产线

企业应用

迁移

区块链

视频

IoT物联网

专属云

开天aPaaS

工业软件

开发者工具

支持与服务

计算

弹性云服务器

GPU加速云服务器

FPGA加速云服务器

裸金属服务器

专属主机

弹性伸缩

镜像服务

函数工作流

云手机

容量管理服务

存储

对象存储服务

云硬盘

存储容灾服务

弹性文件服务(SFS Turbo)

云备份

专属分布式存储服务

数据工坊

地图数据服务

键值存储服务

网络

虚拟私有云

弹性负载均衡

NAT网关

弹性公网IP

云专线

虚拟专用网络

VPC终端节点

云连接

企业路由器

全球加速

企业连接

全域弹性公网IP

数据库

云数据库

文档数据库服务

分布式数据库中间件

数据复制服务

数据管理服务

云数据库TaurusDB

云数据库 GeminiDB

GeminiDB Cassandra 接口

GeminiDB Mongo 接口

GeminiDB Redis接口

GeminiDB Influx 接口

云数据库 GaussDB

数据库和应用迁移 UGO

人工智能

自然语言处理

语言理解

语言生成

定制自然语言处理

机器翻译

知识图谱

对话机器人服务

智能问答机器人

智能话务机器人

智能对话质检

智能语音助手

人脸识别服务

内容审核

内容审核-文本

内容审核-图像

文字识别

文字识别-通用类

文字识别-证件类

文字识别-票据类

文字识别-行业类

文字识别-定制模板

图像识别

名人识别

图像标签

图引擎服务

图像搜索

推荐系统

AI开发平台

Huawei HiLens

视频指纹

视频编辑

视频标签

视频分析服务

语音交互服务

录音文件识别

语音合成

实时语音识别

一句话识别

人证核身服务

园区智能体

视频内容审核

医疗智能体

运筹优化算法服务

盘古大模型

天筹求解器服务

八爪鱼自动驾驶云服务

视频智能分析服务

大模型开发平台

数智融合计算服务

大数据

数据接入服务

数据仓库服务

云搜索服务

数据湖工厂

实时流计算服务

MapReduce服务

数据湖探索

数据湖治理中心

表格存储服务

数据治理中心

湖仓构建

可信智能计算服务

智能数据洞察

容器

云容器引擎

云容器实例

容器镜像服务

应用编排服务

应用服务网格

安全与合规

Web应用防火墙

DDoS高防

Anti-DDoS流量清洗

企业主机安全

数据加密服务-密钥管理

数据加密服务-凭据管理

数据加密服务-密钥对管理

数据库安全服务

态势感知

SSL证书管理

云堡垒机

容器安全服务

数据安全中心

云证书管理服务

云防火墙

安全云脑

运营

运营能力开放

应用中间件

微服务引擎

API网关

分布式消息服务 Kafka

分布式消息服务 RocketMQ

分布式消息服务 RabbitMQ

分布式缓存服务

分布式缓存服务Redis

分布式缓存服务Memcached

事件网格

多活高可用服务

管理与监管

云监控服务

云日志服务

统一身份认证服务

云审计服务

标签管理服务

企业项目管理服务

资源管理服务

消息通知服务

应用性能管理

应用运维管理

组织

资源访问管理

配置审计

IAM 身份中心

优化顾问

资源治理中心

访问分析

IAM 身份中心身份源

IAM 身份中心 SCIM

IAM 身份中心 OIDC

安全令牌服务

云运维中心

消息通知服务Global

CDN与智能边缘

内容分发网络

智能边缘平台

智能边缘小站

智能边缘云

智能边缘小站

软件开发生产线

需求管理

代码托管

流水线

代码检查

测试计划

Classroom

CloudIDE

大赛服务

研发安全服务

应用管理与运维平台

云性能测试服务

云应用引擎

制品仓库

编译构建

代码检查

部署

漏洞管理服务

流水线

企业应用

云解析服务

华为云会议

消息&短信

应用与数据集成平台

云桌面

云应用

消息&短信(业务API)

迁移

对象存储迁移服务

云数据迁移

数据复制服务

主机迁移服务

区块链

区块链服务

视频

媒体转码

视频点播

视频直播

华为云实时音视频

视频接入服务

数字内容生产线

IoT物联网

智能边缘平台

车路协同平台

设备接入

物联网数据分析

路网数字化服务

IoT边缘

全球SIM联接

设备接入管理

专属云

裸金属服务器

开天aPaaS

云消息服务

云地图服务

交换数据空间

开天集成工作台

云手机服务

组织成员账号

工业软件

工业数字主线云服务

工业数字模型驱动引擎

工业数字模型驱动引擎(典型API体验)

硬件开发工具链平台云服务

开发者工具

DevStar

开源平台

APIExplorer

支持与服务

工单管理

ImportEvents

上报安全产品数据(仅支持华北-北京四使用)

POST

https://secmaster.cn-east-3.myhuaweicloud.com/v2/{project_id}/events/import

Region

Headers

Authorization

X-Language

Parameters

project_id

Body

events

: [

* {

version

environment

: {

type

domain_id

project_id

region_id

data_source

: {

type

domain_id

project_id

region_id

company_name

product_name

product_feature

first_observed_time

last_observed_time

create_time

arrive_time

event_id

title

description

source_url

count

confidence

severity

: {

label

normalize_score

original_score

criticality

type

: {

business

tags

remediation

: {

recommendation

url

data_source_fields

verification_state

handle_status

phase

sla

+Add

}

接口说明

批量数据上报,每批次最多不超过50条。

URL

POST https://secmaster.cn-east-3.myhuaweicloud.com/v2/{project_id}/events/import

请求参数

名称	类型	IN	必选	描述
X-Language	string	header	否	语言。
X-Auth-Token	string	header	是	用户Token。通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。
project_id	string	path	是	租户项目ID。

Body参数

名称	类型	必选	描述
events	Array of Event objects	是	event 批量导入

参数：

events

名称	类型	必选	描述
version	string	是	SA数据对象版本号,数据接入时需携带版本号。版本号由SA服务团队负责更新,数据源只可填写SA给定的版本号。目前版本为1.0.0。
environment	Environment object	是	环境坐标,DRP。
data_source	DataSource object	是	提供数据来源相关信息,必选对象。
first_observed_time	string	是	首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。
last_observed_time	string	否	最新发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。
create_time	string	是	记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。
arrive_time	string	否	数据接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。是指事件数据被SA侧接收的时间,由SA接收时填写,产品上报数据时不用填写。
event_id	string	是	事件唯一标识,UUID格式。
title	string	是	事件标题,最大255字符。
description	string	是	事件描述信息,最大1024个字符
source_url	string	否	事件URL链接,指向数据源产品中有关当前事件说明的页面。
count	integer	是	事件发生次数,默认为1,必填。
confidence	integer	否	事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。取值范围:0-100,0表示置信度为0%,100表示置信度为100%。
severity	Severity object	是	严重性对象。
criticality	integer	否	关键性,是指事件涉及的资源的重要性级别。取值范围:0-100,0表示资源不关键,100表示最关键资源。
type	Type object	是	事件分类。
compliance	Compliance object	否	扩展信息,用来提供合规检查信息。合规检查相关的数据上报时,必须填充此对象。
network	Network object	否	扩展信息,用来提供网络信息。
vulnerability_patch	VulnerabilityPatch object	否	扩展信息,用来提供漏洞信息。
malware	Malware object	否	恶意软件。
threat_intel	ThreatIntel object	否	威胁情报。
resource	Resource object	是	受影响资源。
remediation	Remediation object	否	补救措施。
data_source_fields	data_source_fields object	否	数据源自定义信息,最多支持50个key/value对,约束条件: 1、该对象不能包含冗余数据,并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @。示例: "data_source_fields": { "key1": "value1", "key2", "value2", }
verification_state	string	否	事件验证状态,标识事件的准确性。 Unknown – 未知,默认 True_positive – 确认 False_positive – 误报。
handle_status	string	是	事件处理状态,New/Ignored/Resolved;默认New。
phase	string	否	阶段:Prepartion\|Detection and Analysis\|Containm,Eradication& Recovery\| Post-Incident-Activity。
sla	integer	否	约束闭环时间:单位:天。

参数：

events.environment

名称	类型	必选	描述
type	string	是	环境供应商,HWCP/HWC/AWS/Azure/GCP等。
domain_id	string	是	租户账号ID,用来标识事件所属租户。
project_id	string	否	租户项目ID,用来标识事件所属项目区域。
region_id	string	否	数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义。

参数：

events.data_source

名称	类型	必选	描述
type	integer	否	数据源类型,取值范围如下: 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品
domain_id	string	否	数据源产品所属管理账号的ID,最大36个字符。
project_id	string	否	数据源产品所属项目的ID,最大36个字符。
region_id	string	否	数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义。
company_name	string	是	数据源产品所属公司的名称。
product_name	string	是	数据源产品的名称。
product_feature	string	否	产品功能特性名称,用来指明检测到当前事件的产品的功能特性。

参数：

events.severity

名称	类型	必选	描述
label	string	是	严重性等级取值范围:TIPS、LOW、MEDIUM、HIGH、FATAL。 TIPS:未发现任何问题。 LOW:无需针对问题执行任何操作。 MEDIUM:问题需要处理,但不紧急。 HIGH:问题必须优先处理。 FATAL:问题必须立即处理,以防止产生进一步的损害。
normalize_score	integer	否	严重性评分取值范围:0-100; 与严重性等级的对应关系: TIPS 0; LOW 1-39; MEDIUM 40-69; HIGH 70-89; FATAL 90-100。
original_score	integer	否	严重性原始评分,指在数据源产品中的评分。

参数：

events.type

名称	类型	必选	描述
business	string	是	事件所属业务领域标签,可选类别如下: attack – 攻击 vulnerability – 漏洞 compliance check – 合规检查 risk - 风险 public opinion - 舆情 illegal&violation - 违法违规 security bulletin - 公告
category	string	否	类别,推荐使用预定义的类型分类。
classifier	string	否	分类器,推荐使用预定义的分类器。如果指定了分类器,则必须指定类别。
tech_domain	string	否	技术领域标签: OS:主机 APP:应用 NET:网络 OPS:运维 CS:云服务 CSP:平台云服务
properties	TypeProperties object	否	属性信息。

参数：

events.type.properties

名称	类型	必选	描述
killchain	string	否	Kill chain事件分类,仅当business为attack有效
ttps	string	否	Mitre Array 事件分类,仅当business为attack有效
effects	string	否	影响,适用全部类型

参数：

events.compliance

名称	类型	必选	描述
checkitem_id	string	是	检查项(检查规则)编号
checkpoint_id	string	是	检查点(检查结果)编号,检查项对同一个资源的检查结果
spec_id	string	是	检查规范编号,默认选第一个
status	string	是	合规检查结果,取值定义:PASSED、WARNING、FAILED、NOT_AVAILABLE。说明: PASSED - 接受评估的所有资源都已通过安全检查。 WARNING - 某些信息缺失或配置不支持此检查。 FAILED - 至少有一个接受评估的资源未能通过安全检查。 NOT_AVAILABLE - 由于服务中断或 API 错误,无法执行检查。
properties	string	否	属性信息

参数：

events.network

名称	类型	必选	描述
direction	string	否	方向,取值范围:IN、OUT。
protocol	string	否	协议。
src_ip	string	否	源IP地址。
src_port	integer	否	源端口,0–65535。
src_domain	string	否	源域名,最大128个字符。
src_geo	Geo object	否	源IP的地理位置信息。
dest_ip	string	否	目标IP地址。
dest_port	integer	否	目标端口,0–65535。
dest_domain	string	否	目标域名,最大128个字符。
dest_geo	Geo object	否	目标IP的地理位置信息。

参数：

events.network.src_geo

名称	类型	必选	描述
latitude	number	否	纬度。
longitude	number	否	经度。
city_code	string	否	城市编码。
country_code	string	否	国家简码ISO 3166-1 alpha-2,例如:CN、US、DE、IT、SG。

参数：

events.network.dest_geo

名称	类型	必选	描述
latitude	number	否	纬度。
longitude	number	否	经度。
city_code	string	否	城市编码。
country_code	string	否	国家简码ISO 3166-1 alpha-2,例如:CN、US、DE、IT、SG。

参数：

events.vulnerability_patch

名称	类型	必选	描述
patch_id	string	是	补丁编号。
patch_name	string	否	补丁名称。
type	string	否	补丁类型(0:linux,1:windows,2:web-cms)。
major_level	string	否	重要等级。
status	string	否	补丁状态。
repair_cmd	string	否	修复命令。
repair_necessity	string	否	修复必要程度(1:需立刻修复,2:可延后修复,3:暂可以不修复)。
release_time	string	否	发布时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。
reference_url	string	否	参考链接。
vendor_name	string	否	漏洞报告提供者信息。
vulnerable_package	string	否	受影响软件版本。
cve_ids	string	否	CVE编号列表。

参数：

events.malware

名称	类型	必选	描述
name	string	是	恶意软件名称,最大64个字符。
sha256	string	否	恶意软件sha256
type	string	是	恶意软件类型,遵循STIX规范: adware、backdoor、bot、bootkit、ddos、downloader、dropper、exploit-kit、keylogger、ransomware、remote-access-trojan、resource-exploitation、rogue-security-software、rootkit、screen-capture、spyware、trojan、unknown、virus、webshell、wiper、worm
path	string	否	恶意软件在系统中的路径,最大512个字符。
state	string	否	恶意软件状态,取值范围:OBSERVED、REMOVAL_FAILED、REMOVED。
properties	MalwareProperties object	否	属性信息。

参数：

events.malware.properties

名称	类型	必选	描述
pid	string	否	进程ID。
user	string	否	系统角色(例如:root,service)。
mod	string	否	系统权限(例如:777,755)。
start_time	string	否	进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。

参数：

events.threat_intel

名称	类型	必选	描述
id	string	是	情报Id。
indicator_type	string	否	威胁情报类型,Domain、Email_Address、Hash_MD5、Hash_SHA1、Hash_SHA256、 Hash_SHA512、IPv4_Address、IPv6_Address、URL。
labels	string	否	标签,如'矿池','外联'等,"Directory Scan\|Directory Traversal"。
confidence	integer	否	置信度,不同来源目前置信度分值定义不一样(分数)。
information_source	string	是	威胁情报源,最大64个字符。
severity	integer	否	严重程度,不同渠道定义值不一样(分数)。
description	string	是	威胁情报描述。
modified	string	否	威胁情报的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。
valid_from	string	否	有效期开始(可读字符串)。
valid_until	string	否	有效期结束(可读字符串)。
properties	ThreatIntelProperties object	否	威胁情报属性信息。

参数：

events.threat_intel.properties

名称	类型	必选	描述
file_md5	string	否	恶意软件Md5。
file_sha1	string	否	恶意软件Sha1。
file_sha256	string	否	恶意软件Sha256值。
file_name	string	否	文件名称。
create_time	string	否	编译时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。
file_class	string	否	文件类别,TEXT\|XCODE。
file_family	string	否	家族,例如:wannacry(勒索软件)。
file_maltype	string	否	类别,例如:trojan(特洛伊)。
ip_resolves_to_refs	string	否	mac地址。
belongs_to_refs	string	否	IP AS 自治系统。
ip_location	string	否	地区格式:country/provice/city/lngwgs/latwgs。
domain_family	string	否	例如:banjori\|iodine。
domain_resolves_to_refs	string	否	解析的IP地址。
domain_dns_type	string	否	DNS类别。A\|NS\|CNAME\|TXT。
url_host	string	否	例:3ms.huawei.com。
url_resolves_to_refs	string	否	IP地址。
display_name	string	否	显示名称。
url_belongs_to_ref	string	否	邮箱账户,@之前部分。

参数：

events.resource

名称	类型	必选	描述
id	string	是	资源ID。
name	string	是	资源名称;最大长度255个字符。
type	string	是	资源类型。
provider	string	是	云服务名称。
region_id	string	否	区域。
domain_id	string	是	资源所属租户账号ID。
project_id	string	否	资源所属项目ID。
ep_id	string	否	企业项目ID。
ep_name	string	否	企业项目名称。
tags	tags object	否	资源标签 1、最多50个key/values对。 2、values:最大255字符。 3、取值范围:字母数字、空格、“+”、“-”、“=”、“.”、“_”、“:”、“/”、“@”。

参数：

events.remediation

名称	类型	必选	描述
recommendation	string	是	处理建议,最长512个字符。
url	string	否	链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证。

返回参数

返回码: 201

Succeeded

返回码: 400

Bad Request

名称	类型	描述
error_msg	string	无效数据的描述信息。
error_code	string	错误码。

返回码: 401

Unauthorized

名称	类型	描述
error_msg	string	token认证错误。
error_code	string	错误码。

返回码: 403

Forbidden

返回码: 500

Internal Server Error

名称	类型	描述
error_msg	string	系统内部错误。
error_code	string	错误码。

请求示例

示例 1


"POST https://{endpoint}/v2/{project_id}/events/import"


{
    "events": [
        {
            "version": "1.1.0",
            "environment": {
                "type": "HWC",
                "region_id": "xx-xx-1",
                "domain_id": "dfaf9864b95c448797b5dc0f00709a55",
                "project_id": "2b31ed520xxxxxxebedb6e57xxxxxxxx"
            },
            "data_source": {
                "type": 1,
                "domain_id": "39d29606d49b483a9914c581ce190d54",
                "project_id": "86670b7b5c6b41e0a5716c0ed77dfc32",
                "region_id": "xx-xx-1",
                "company_name": "Huawei",
                "product_name": "Anti-DDOS",
                "product_feature": "Anti-DDOS"
            },
            "first_observed_time": "2020-10-10T13:10:40.436+0800",
            "last_observed_time": "2020-10-10T13:10:40.436+0800",
            "create_time": "2020-10-10T13:10:40.436+0800",
            "arrive_time": "2020-10-21T01:20:31.343+0800",
            "event_id": "1683fbf6-01fd-49f4-8222-0fe33d3f2d2e",
            "title": "TCP Malformed",
            "description": "TCP Malformed",
            "severity": {
                "original_score": 1,
                "label": "TIPS"
            },
            "type": [
                {
                    "business": "attack",
                    "category": "DDoS",
                    "classifier": "TCP Malformed"
                }
            ],
            "network": {
                "direction": "IN",
                "dest_ip": "119.8.124.133",
                "dest_port": 0,
                "dest_geo": {
                    "latitude": 1.352083,
                    "longitude": 103.81984
                }
            },
            "resource": [
                {
                    "id": "f1f4076a-9d12-497f-aac4-a9dcb5462fcc",
                    "name": "ecs-s3_large_2_win-20200828214727",
                    "type": "cloudservers",
                    "provider": "ecs",
                    "region_id": "xx-xx-1",
                    "domain_id": "dfaf9864b95c448797b5dc0f0xxxxxxx",
                    "project_id": "2b31ed520xxxxxxebedb6e57xxxxxxxx",
                    "ep_id": "7e998f85-xxxx-xxxx-xxxx-xxxxxxxx",
                    "ep_name": "test001"
                }
            ],
            "verification_state": "Unknown",
            "handle_status": "New"
        }
    ]
}

SDK

点击态势感知 (SA) SDK, 下载SDK或查看SDK文档。SDK的安装、认证方式等在SDK文档中对应语言类型的【使用】目录下。

错误码

请参考错误码说明。

本文导读

接口说明

URL

请求参数

返回参数

请求示例

SDK

错误码