[{"data":1,"prerenderedAt":5817},["ShallowReactive",2],{"markdown-dictionary-zh":3,"valid-types-zh":4,"dictionaries-zh":36},"# OSIM 数据字典  > OSIM Schema 完整字段定义与枚举值说明  ## 机器码 (`machineCode`)  - **字段名称**: 机器码 - **字段ID**: `machineCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 机器码是日志来源设备的唯一标识符（设备ID），主要用于设备级联追踪。该字段值应保持全局唯一性，若无现成的设备ID，可参考硬件编码或基于许可证（license）信息生成。格式上，它必须为字符串，允许使用的字符包括大写字母（A-Z）、小写字母（a-z）和数字（0-9）。长度无固定限制，但应保证其唯一性和可管理性。  ---  ## 设备名称 (`deviceName`)  - **字段名称**: 设备名称 - **字段ID**: `deviceName` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备名称，用于标识日志生成设备的名称，可添加资产属性（如总部、下级等）。  ---  ## 事件ID (`eventId`)  - **字段名称**: 事件ID - **字段ID**: `eventId` - **数据类型**: string - **校验类型**: string_t - **描述**: 事件ID是日志事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成。格式应为标准的UUID字符串，例如：550e8400-e29b-41d4-a716-446655440000。要求全局唯一，不可重复。  ---  ## 概要名称 (`name`)  - **字段名称**: 概要名称 - **字段ID**: `name` - **数据类型**: string - **校验类型**: string_t - **描述**: 概要名称是日志或告警的简要标题或标识，用于快速识别事件内容。该字段为字符串类型，需保持简洁明了。  ---  ## 开始时间 (`startTime`)  - **字段名称**: 开始时间 - **字段ID**: `startTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 该字段记录事件活动开始的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。  ---  ## 结束时间 (`endTime`)  - **字段名称**: 结束时间 - **字段ID**: `endTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 记录事件活动结束的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。  ---  ## 设备接收时间 (`deviceReceiptTime`)  - **字段名称**: 设备接收时间 - **字段ID**: `deviceReceiptTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 该字段记录设备采集器本地接收并生成日志事件的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。  ---  ## 采集器接收时间 (`collectorReceiptTime`)  - **字段名称**: 采集器接收时间 - **字段ID**: `collectorReceiptTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 采集器接收日志事件的精确时间，时间格式必须为标准的日期时间字符串，格式要求为yyyy-mm-dd HH:mm:ss。  ---  ## 安全威胁等级 (`severity`)  - **字段名称**: 安全威胁等级 - **字段ID**: `severity` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 标识日志或告警的安全威胁严重程度等级。该字段为整型数值，取值范围为0至10，每个数值对应特定的威胁级别：0表示无风险，1-3表示低危，4-6表示中危，7-9表示高危，10表示危急。  ---  ## 日志类型 (`logType`)  - **字段名称**: 日志类型 - **字段ID**: `logType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段标识日志事件的功能或对象实体分类。其值为预定义的枚举字符串，例如：alert（告警类日志）、traffic（网络通信类日志）、process（进程操作类日志）、command（命令执行类日志）、file（文件操作类日志）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `alert` | 告警类日志 | 安全告警事件日志，包含威胁检测、异常行为和安全风险告警 | | `traffic` | 网络通信类日志 | 网络流量和通信会话日志，记录网络连接、数据传输和协议通信 | | `process` | 进程操作类日志 | 进程生命周期管理日志，记录进程创建、终止、注入等操作 | | `command` | 命令执行类日志 | 命令行和脚本执行日志，记录系统命令、PowerShell和Shell命令执行 | | `file` | 文件操作类日志 | 文件系统操作日志，记录文件创建、修改、删除、访问等操作 | | `account` | 账号操作类日志 | 用户账户管理日志，记录用户登录、注销、权限变更和账户管理操作 | | `config` | 配置操作类日志 | 系统配置变更日志，记录安全策略、系统设置和配置修改操作 | | `status` | 系统状态类日志 | 系统运行状态日志，记录系统启动、关机、重启和运行状态变更 | | `system_operation` | 系统操作类日志 | 系统级管理操作日志，记录系统维护、管理和控制操作 | | `system_resource` | 系统资源类日志 | 系统资源使用日志，记录CPU、内存、磁盘和网络资源使用情况 | | `domain` | 域名操作类日志 | 域名解析和查询日志，记录DNS查询、域名解析和网络定位操作 | | `registry` | 注册表操作类日志 | Windows注册表操作日志，记录注册表键值创建、修改和删除操作 | | `app` | 应用程序类日志 | 应用程序运行日志，记录应用程序启动、运行、错误和业务操作 | | `service` | 服务操作类日志 | 系统服务管理日志，记录Windows/Linux服务的创建、启动、停止和配置变更 | | `task` | 任务操作类日志 | 计划任务和作业日志，记录定时任务创建、执行、修改和删除操作 | | `thread` | 线程操作类日志 | 线程管理日志，记录线程创建、终止、挂起和优先级变更操作 | | `module` | 模块操作类日志 | 程序模块管理日志，记录DLL、SO等模块的加载、卸载和内存映射 | | `driver` | 驱动操作类日志 | 设备驱动程序日志，记录内核驱动加载、卸载和运行状态 | | `pipe` | 管道操作类日志 | 进程间通信日志，记录命名管道创建、连接、数据传输操作 | | `wmi` | WMI操作类日志 | Windows管理规范操作日志，记录WMI查询、事件订阅和代码执行 | | `winrm` | WinRM操作类日志 | Windows远程管理日志，记录远程PowerShell命令执行和系统管理操作 | | `others` | 其他类型日志 | 未分类的其他日志类型，包含无法归入上述分类的日志事件 |  ---  ## 操作类型 (`opType`)  - **字段名称**: 操作类型 - **字段ID**: `opType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 操作类型，标识事件中对目标对象执行的具体操作行为。本字段为枚举类型，其值必须为预定义的操作类型字符串，例如：read（读取）、write（写入）、create（创建）、delete（删除）、modify（修改）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `read` | 读取 | 读取数据操作，包括文件读取、注册表查询、内存读取等 | | `write` | 写入 | 写入数据操作，包括文件写入、注册表修改、配置变更等 | | `create` | 创建 | 创建新对象操作，包括文件创建、进程创建、用户账户创建等 | | `delete` | 删除 | 删除对象操作，包括文件删除、注册表项删除、用户账户删除等 | | `modify` | 修改 | 修改对象属性操作，包括文件属性修改、权限变更、配置调整等 | | `login` | 登录 | 身份认证成功操作，包括系统登录、应用登录、远程访问登录等 | | `logout` | 登出 | 会话终止操作，包括用户登出、会话超时、强制注销等 | | `execute` | 执行 | 程序执行操作，包括进程启动、命令执行、脚本运行等 | | `start` | 启动 | 服务启动操作，包括系统服务启动、计划任务触发、守护进程启动等 | | `stop` | 停止 | 服务停止操作，包括系统服务停止、进程终止、任务结束等 | | `access` | 访问 | 资源访问操作，包括进程访问、内存访问、共享资源访问等 | | `connect` | 连接 | 网络连接操作，包括网络连接建立、会话创建、远程连接等 | | `load` | 加载 | 模块加载操作，包括驱动加载、DLL加载、插件加载等 | | `send` | 发送 | 数据发送操作，包括网络数据发送、邮件发送、消息发送等 | | `receive` | 接收 | 数据接收操作，包括网络数据接收、邮件接收、消息接收等 | | `combine` | 组合操作 | 复合操作类型，表示多个操作的组合执行 | | `others` | 其他操作 | 未分类的其他操作类型 | | `query` | 查询 | 数据查询操作，包括数据库查询、目录查询、信息检索等 | | `rename` | 重命名 | 对象重命名操作，包括文件重命名、账户重命名、服务重命名等 | | `listen` | 监听 | 网络监听操作，包括端口监听、会话监听、事件监听等 | | `setValue` | 设置键值 | 键值设置操作，包括注册表键值设置、配置参数设置、环境变量设置等 | | `addedGroup` | 添加至组 | 组成员添加操作，包括用户添加到组、计算机加入域等 | | `removedGroup` | 组中移除 | 组成员移除操作，包括用户从组中移除、计算机脱离域等 | | `changePassword` | 修改密码 | 密码修改操作，包括用户密码修改、服务账户密码变更等 | | `resetPassword` | 重置密码 | 密码重置操作，包括管理员重置用户密码、密码恢复等 | | `disable` | 禁用 | 对象禁用操作，包括用户账户禁用、服务禁用、策略禁用等 | | `enable` | 启用 | 对象启用操作，包括用户账户启用、服务启用、策略启用等 | | `lock` | 锁定 | 对象锁定操作，包括用户账户锁定、会话锁定、资源锁定等 | | `unlock` | 解锁 | 对象解锁操作，包括用户账户解锁、会话解锁、资源解锁等 |  ---  ## 源端口 (`srcPort`)  - **字段名称**: 源端口 - **字段ID**: `srcPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 源端口是指网络连接发起方的端口号，用于标识发起通信的应用程序或服务。端口号必须是整数，取值范围为0到65535，其中0通常保留，1到1023为知名端口，1024到49151为注册端口，49152到65535为动态或私有端口。  ---  ## 目的端口 (`destPort`)  - **字段名称**: 目的端口 - **字段ID**: `destPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 目的端口是网络连接接收方的端口号，用于标识接收方应用程序或服务。该字段为整数类型，取值范围为0-65535，其中0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。  ---  ## 来源国家 (`srcGeoCountry`)  - **字段名称**: 来源国家 - **字段ID**: `srcGeoCountry` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接发起方IP地址所对应的国家或地区信息。  ---  ## 来源地区 (`srcGeoRegion`)  - **字段名称**: 来源地区 - **字段ID**: `srcGeoRegion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接发起方IP地址所对应的省级行政区域名称，用于标识流量的地理来源。其值应为中国省级行政区划的名称，例如“北京市”、“浙江省”、“新疆维吾尔自治区”等，或国际公认的国家及地区名称。格式为字符串，无固定长度限制，建议使用标准、完整的官方名称以确保一致性和准确性。  ---  ## 来源城市 (`srcGeoCity`)  - **字段名称**: 来源城市 - **字段ID**: `srcGeoCity` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接发起方IP地址所对应的城市级别行政区域名称。其值为字符串类型，该信息通常由IP地址归属地查询服务提供，无特定的格式或字符集强制要求，但建议保持名称的一致性。  ---  ## 来源详细地址 (`srcGeoAddress`)  - **字段名称**: 来源详细地址 - **字段ID**: `srcGeoAddress` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接发起方IP地址所对应的详细地址描述，用于定位来源的具体物理或行政位置。其值为字符串类型，通常包含国家、省份、城市、区县、街道及门牌号等层级信息。  ---  ## 来源纬度 (`srcGeoLatitude`)  - **字段名称**: 来源纬度 - **字段ID**: `srcGeoLatitude` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接发起方IP地址所对应的地理纬度坐标，以字符串格式存储。纬度坐标应遵循十进制表示法，取值范围为-90.000000到90.000000，其中北纬为正，南纬为负。  ---  ## 来源经度 (`srcGeoLongitude`)  - **字段名称**: 来源经度 - **字段ID**: `srcGeoLongitude` - **数据类型**: string - **校验类型**: string_t - **描述**: 来源经度表示网络连接发起方IP地址所对应的地理经度坐标。格式为十进制浮点数字符串，取值范围为-180.000000到180.000000，保留小数点后六位，使用点号（.）作为小数点分隔符，负值表示西经，正值表示东经。  ---  ## 目的国家 (`destGeoCountry`)  - **字段名称**: 目的国家 - **字段ID**: `destGeoCountry` - **数据类型**: string - **校验类型**: string_t - **描述**: 目的国家，指网络连接接收方IP地址所对应的国家名称。该字段值为国家或地区的完整中文名称，例如“中国”、“美国”等。  ---  ## 目的地区 (`destGeoRegion`)  - **字段名称**: 目的地区 - **字段ID**: `destGeoRegion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接接收方IP地址所对应的中国省级行政区域名称，用于标识网络流量的地理目的地。其值应为中国省级行政区划的规范名称，例如“浙江省”、“北京市”或“新疆维吾尔自治区”等，不包含“省”、“市”、“自治区”等后缀的简称（如“浙江”、“北京”、“新疆”）也可接受。该字段为字符串类型，无特定字符集或长度限制，但应确保名称的准确性和一致性。  ---  ## 目的城市 (`destGeoCity`)  - **字段名称**: 目的城市 - **字段ID**: `destGeoCity` - **数据类型**: string - **校验类型**: string_t - **描述**: 目的城市是指网络连接接收方IP地址所对应的城市级别行政区域名称。该字段为字符串类型，需使用标准城市名称。  ---  ## 目的详细地址 (`destGeoAddress`)  - **字段名称**: 目的详细地址 - **字段ID**: `destGeoAddress` - **数据类型**: string - **校验类型**: string_t - **描述**: 目的详细地址，描述网络连接接收方IP地址所对应的详细地址信息。格式为字符串，应包含国家、省/州、城市、街道等层级的详细信息，以构成一个完整的物理位置描述。  ---  ## 目的纬度 (`destGeoLatitude`)  - **字段名称**: 目的纬度 - **字段ID**: `destGeoLatitude` - **数据类型**: string - **校验类型**: string_t - **描述**: 目的纬度表示网络连接接收方IP地址所对应的地理纬度坐标。该值为字符串类型，通常以十进制小数形式表示，取值范围为-90.000000到90.000000。  ---  ## 目的经度 (`destGeoLongitude`)  - **字段名称**: 目的经度 - **字段ID**: `destGeoLongitude` - **数据类型**: string - **校验类型**: string_t - **描述**: 目的经度是指网络连接接收方IP地址所对应的地理经度坐标。格式为十进制小数形式的字符串，取值范围为-180.000000至180.000000。  ---  ## 规则ID (`ruleId`)  - **字段名称**: 规则ID - **字段ID**: `ruleId` - **数据类型**: string - **校验类型**: string_t - **描述**: 规则ID是触发策略的安全规则唯一标识符。其值应为字符串类型，通常由字母、数字或特定符号组成，用于在系统中唯一标识一条安全规则。  ---  ## 规则名称 (`ruleName`)  - **字段名称**: 规则名称 - **字段ID**: `ruleName` - **数据类型**: string - **校验类型**: string_t - **描述**: 规则名称是安全规则的描述性标识。该字段为字符串类型，建议使用简洁、明确且能概括规则内容的名称。名称中可包含漏洞编号、攻击类型或防护对象等关键信息，以提高可读性和识别度。  ---  ## ATT&CK战术ID (`tacticId`)  - **字段名称**: ATT&CK战术ID - **字段ID**: `tacticId` - **数据类型**: string - **校验类型**: string_t - **描述**: 攻击行为在MITRE ATT&CK框架中对应的战术阶段唯一标识符。格式必须符合ATT&CK官方定义的战术ID规范，通常以“TA”为前缀，后跟四位或五位数字，例如“TA0001”。  ---  ## ATT&CK战术名称 (`tacticName`)  - **字段名称**: ATT&CK战术名称 - **字段ID**: `tacticName` - **数据类型**: string - **校验类型**: string_t - **描述**: 攻击行为在MITRE ATT&CK框架中对应的战术阶段名称，用于标识攻击在杀伤链中所处的阶段。此字段为字符串类型，取值应为MITRE ATT&CK框架中定义的官方战术名称，例如：Initial Access, Execution, Persistence, Privilege Escalation等。  ---  ## 状态 (`status`)  - **字段名称**: 状态 - **字段ID**: `status` - **数据类型**: string - **校验类型**: string_t - **描述**: 标识操作、请求或系统组件的当前执行状态。该字段为字符串类型，通常用于表示事务或流程的结果。  ---  ## Windows事件编号 (`eventNum`)  - **字段名称**: Windows事件编号 - **字段ID**: `eventNum` - **数据类型**: string - **校验类型**: string_t - **描述**: Windows事件编号，用于标识Windows终端操作系统事件的唯一数字编号，格式为字符串类型，通常由微软定义的事件ID组成，例如登录成功事件编号为4624。  ---  ## 安全帐户管理器帐户名 (`samAccountName`)  - **字段名称**: 安全帐户管理器帐户名 - **字段ID**: `samAccountName` - **数据类型**: string - **校验类型**: string_t - **描述**: 安全帐户管理器(SAM)中的用户登录名，用于在Windows域或本地系统中标识用户身份。该字段为字符串类型，通常遵循以下格式要求：长度一般不超过20个字符，允许使用的字符包括字母、数字以及部分特殊符号（如连字符、下划线、点号）。  ---  ## 进程ID (`processId`)  - **字段名称**: 进程ID - **字段ID**: `processId` - **数据类型**: string - **校验类型**: string_t - **描述**: 进程ID是操作系统分配给进程的唯一数字标识符，用于在操作系统中唯一标识一个正在运行的进程。该字段为字符串类型，通常由数字组成，长度和具体值取决于操作系统和进程状态。  ---  ## 共享名称 (`shareName`)  - **字段名称**: 共享名称 - **字段ID**: `shareName` - **数据类型**: string - **校验类型**: string_t - **描述**: 共享资源的名称，用于标识可通过网络访问的共享资源（例如文件共享、打印机）。该字段为字符串类型，其格式通常遵循Windows网络共享的通用命名约定（UNC）。  ---  ## 响应码 (`responseCode`)  - **字段名称**: 响应码 - **字段ID**: `responseCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 响应码是网络请求后服务器返回的状态码，用于表示请求的处理结果。  ---  ## 请求URL (`requestUrl`)  - **字段名称**: 请求URL - **字段ID**: `requestUrl` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示HTTP请求URL中从根路径'/'开始到查询字符串'?'之前的部分，用于标识请求的资源路径。其值必须是一个合法的URL路径字符串，通常以'/'开头，不应包含协议、域名、端口或查询参数（即'?'及之后的内容）。字符串内容应符合URL路径的通用规范，可以包含字母、数字以及特定的安全字符（如-._~!$&'()*+,;=:@%）。  ---  ## 请求域名 (`requestDomain`)  - **字段名称**: 请求域名 - **字段ID**: `requestDomain` - **数据类型**: string - **校验类型**: string_t - **描述**: 标识网络请求目标的域名信息，格式要求为有效的域名格式，如\"www.example.com\"，需符合RFC 1035标准，由字母、数字和连字符组成，以点号分隔各级标签。  ---  ## 请求内容类型 (`requestContentType`)  - **字段名称**: 请求内容类型 - **字段ID**: `requestContentType` - **数据类型**: string - **校验类型**: string_t - **描述**: 请求内容类型，对应网络请求头中的Content-Type字段，用于描述请求数据的格式和字符编码。其值通常为标准MIME类型字符串，格式规范为“主类型/子类型”，并可附加参数（如字符集）。常见示例包括“application/json”、“text/html; charset=utf-8”等。  ---  ## 峰值字节速率 (`peakBytesRate`)  - **字段名称**: 峰值字节速率 - **字段ID**: `peakBytesRate` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 峰值字节速率，表示网络接口或系统在特定时间段内传输的最大字节速率，单位为Bps（字节每秒）。该字段为整型数值，其值应大于等于0，用于量化网络流量或数据传输的最高瞬时速度。  ---  ## 峰值流量速率 (`peakFlowsRate`)  - **字段名称**: 峰值流量速率 - **字段ID**: `peakFlowsRate` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 峰值流量速率，指网络流量的峰值传输速率，基于RFC 2215流量规范标准，单位为Mbps（兆比特每秒）。该字段为整型数值，表示具体的速率值。  ---  ## 响应内容类型 (`responseContentType`)  - **字段名称**: 响应内容类型 - **字段ID**: `responseContentType` - **数据类型**: string - **校验类型**: string_t - **描述**: 响应内容类型标识网络请求响应头中的内容类型，用于描述返回数据的媒体类型格式和字符编码。格式应符合HTTP标准的内容类型规范，通常由主类型和子类型组成，可选参数包括字符编码等，例如\"application/json; charset=utf-8\"。取值应为有效的MIME类型字符串。  ---  ## 进程MD5 (`processMd5`)  - **字段名称**: 进程MD5 - **字段ID**: `processMd5` - **数据类型**: string - **校验类型**: string_t - **描述**: 进程可执行文件的MD5哈希值，用于唯一标识和校验文件。该值为32个字符的十六进制字符串，由数字0-9和小写字母a-f组成，格式必须符合标准的MD5摘要算法输出格式。  ---  ## 管道名称 (`pipeName`)  - **字段名称**: 管道名称 - **字段ID**: `pipeName` - **数据类型**: string - **校验类型**: string_t - **描述**: 字段用于标识Windows命名管道或SMB共享管道的完整路径名称。其格式为UNC路径，通常以双反斜杠`\\\\`开头，后跟主机名或IP地址以及共享资源路径，例如`\\\\server\\pipe\\pipename`或`\\\\192.168.56.20\\IPC$`。该字段为字符串类型，需符合Windows命名管道或SMB共享的标准命名规范。  ---  ## 载荷内容 (`payload`)  - **字段名称**: 载荷内容 - **字段ID**: `payload` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示攻击活动中传输的恶意载荷内容，例如注入的代码或恶意数据。  ---  ## 响应时间 (`responseTime`)  - **字段名称**: 响应时间 - **字段ID**: `responseTime` - **数据类型**: long - **校验类型**: long_t - **描述**: 该字段记录网络请求从客户端发送到完整接收服务器响应的时间间隔，单位为毫秒。其值为长整型数字，表示一个非负的时间长度。  ---  ## DNS操作类型 (`dnsType`)  - **字段名称**: DNS操作类型 - **字段ID**: `dnsType` - **数据类型**: enum - **校验类型**: string_t - **描述**: DNS操作类型，标识DNS协议消息的操作方向类型。该字段为枚举类型，可选值包括：query (查询) 和 response (响应)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `query` | 查询 | DNS查询请求 | | `response` | 响应 | DNS响应结果 |  ---  ## NTLMSSP域名 (`ntlmsspDomain`)  - **字段名称**: NTLMSSP域名 - **字段ID**: `ntlmsspDomain` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示NTLM安全支持程序（NTLMSSP）协议中用于身份验证的域名。值为字符串类型，通常为NetBIOS名称或DNS域名，需符合操作系统及域环境的命名规范。  ---  ## 网络接口名称 (`interfaceName`)  - **字段名称**: 网络接口名称 - **字段ID**: `interfaceName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识网络流量经过的物理或逻辑接口名称，用于在系统中唯一标识一个网络接口。格式为字符串，通常遵循操作系统或网络设备的命名规范，例如以太网接口可能命名为 “eth0”、“enp8s0”，无线接口可能命名为 “wlan0”。  ---  ## SMB服务器版本 (`smbServerVersion`)  - **字段名称**: SMB服务器版本 - **字段ID**: `smbServerVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 服务器消息块(SMB)协议版本标识，用于识别远程SMB服务器的具体协议版本。  ---  ## SMB客户端版本 (`smbClientVersion`)  - **字段名称**: SMB客户端版本 - **字段ID**: `smbClientVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示客户端使用的SMB协议版本标识。其值为字符串类型，通常由客户端在建立SMB会话时协商或声明，用于标识其支持的SMB协议版本。  ---  ## 请求Referer (`httpReferer`)  - **字段名称**: 请求Referer - **字段ID**: `httpReferer` - **数据类型**: string - **校验类型**: string_t - **描述**: HTTP请求的来源页面URL，即浏览器在发送当前请求时所来自的页面的完整地址。格式必须符合URL规范，通常以协议（如http://或https://）开头，包含域名和可选的路径、查询参数等组成部分。  ---  ## 票据哈希 (`ticketHash`)  - **字段名称**: 票据哈希 - **字段ID**: `ticketHash` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段存储Kerberos认证协议中经过哈希算法处理后的凭证特征值，用于唯一标识认证票据。其值为一个固定长度的字符串，通常由特定哈希算法（如SHA-256）生成，表现为一个十六进制编码的哈希值。  ---  ## 文件类型 (`fileType`)  - **字段名称**: 文件类型 - **字段ID**: `fileType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 文件类型，基于文件格式和扩展名进行分类。其值为预定义的枚举字符串，包括但不限于：Executable（可执行文件）、Script（脚本文件）、Document（文档文件）、Archive（压缩归档）、Configuration（配置文件）等共10个可选值。取值必须严格匹配预定义的枚举值。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Executable` | 可执行文件 | 可直接执行的程序文件，如EXE、DLL、BAT等 | | `Script` | 脚本文件 | 需要解释器执行的脚本文件，如PS1、JS、PY等 | | `Document` | 文档文件 | 办公文档和文本文件，如PDF、DOC、XLS等 | | `Archive` | 压缩归档 | 压缩和归档文件，如ZIP、RAR、TAR等 | | `Configuration` | 配置文件 | 系统和应用配置文件，如XML、JSON、CONF等 | | `Log` | 日志文件 | 系统和应用程序日志文件，如LOG、EVTX、AUDIT等 | | `Media` | 媒体文件 | 图像、音频、视频文件，如JPG、MP4、MP3等 | | `System` | 系统文件 | 操作系统核心文件，如SYS、DRV、BIN等 | | `Database` | 数据库文件 | 数据库相关文件，如MDF、DB、SQL等 | | `Other` | 其他类型 | 未分类的其他文件类型 |  ---  ## 文件大小 (`fileSize`)  - **字段名称**: 文件大小 - **字段ID**: `fileSize` - **数据类型**: long - **校验类型**: long_t - **描述**: 文件内容的字节大小，表示文件的存储空间占用情况，单位是字节。  ---  ## HTTP协议版本 (`httpVersion`)  - **字段名称**: HTTP协议版本 - **字段ID**: `httpVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识HTTP网络请求中使用的协议版本。格式为字符串，必须符合HTTP协议版本的标准表示格式，例如\"HTTP/1.0\"、\"HTTP/1.1\"或\"HTTP/2\"。  ---  ## 服务名称 (`serviceName`)  - **字段名称**: 服务名称 - **字段ID**: `serviceName` - **数据类型**: string - **校验类型**: string_t - **描述**: 服务名称，指在系统或应用程序中运行的服务标识。  ---  ## 进程名称 (`processName`)  - **字段名称**: 进程名称 - **字段ID**: `processName` - **数据类型**: string - **校验类型**: string_t - **描述**: 进程可执行文件的基本名称，不包含路径信息。  ---  ## 文件MD5 (`md5`)  - **字段名称**: 文件MD5 - **字段ID**: `md5` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件MD5值，表示使用MD5算法计算的文件内容哈希值。该值必须为32位十六进制字符串，不区分大小写，用于唯一标识文件内容。  ---  ## 父进程名称 (`parentProcessName`)  - **字段名称**: 父进程名称 - **字段ID**: `parentProcessName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示创建当前进程的父进程的可执行文件名称。此字段但应避免包含路径信息，仅保留纯名称。  ---  ## 父进程ID (`parentProcessId`)  - **字段名称**: 父进程ID - **字段ID**: `parentProcessId` - **数据类型**: string - **校验类型**: string_t - **描述**: 父进程ID是操作系统分配给父进程的唯一数字标识符，通常为非负整数。  ---  ## 父进程MD5 (`parentProcessMd5`)  - **字段名称**: 父进程MD5 - **字段ID**: `parentProcessMd5` - **数据类型**: string - **校验类型**: string_t - **描述**: 父进程可执行文件的MD5哈希值，用于唯一标识该文件。格式要求：必须是一个32位的十六进制字符串，由数字0-9及大写字母A-F组成，不包含连字符或其他分隔符。  ---  ## 进程链 (`processChain`)  - **字段名称**: 进程链 - **字段ID**: `processChain` - **数据类型**: string - **校验类型**: string_t - **描述**: 进程链表示从系统初始化到当前进程的完整进程派生序列，用于追溯进程的创建来源。格式为由箭头符号“→”连接的进程名称与进程ID对，每个进程对格式为“进程名称(进程ID)”，例如：systemd(1) → sshd(4326) → bash(14617)。  ---  ## 事件数量 (`eventCount`)  - **字段名称**: 事件数量 - **字段ID**: `eventCount` - **数据类型**: long - **校验类型**: long_t - **描述**: 事件数量字段用于统计相同类型或相关事件的发生次数。通常为非负整数。  ---  ## 访问标识 (`grantedAccess`)  - **字段名称**: 访问标识 - **字段ID**: `grantedAccess` - **数据类型**: string - **校验类型**: string_t - **描述**: 访问标识表示进程或线程被授予的系统资源访问权限掩码，通常以十六进制数表示，通常以\"0x\"前缀开头，后跟十六进制数字（0-9， a-f）  ---  ## 新线程ID (`newThreadId`)  - **字段名称**: 新线程ID - **字段ID**: `newThreadId` - **数据类型**: string - **校验类型**: string_t - **描述**: 新创建线程的系统分配的唯一数字标识符。内容应为有效的数字序列，通常表示操作系统为线程分配的非负整数值。  ---  ## 操作对象 (`targetObject`)  - **字段名称**: 操作对象 - **字段ID**: `targetObject` - **数据类型**: string - **校验类型**: string_t - **描述**: 标识事件操作直接作用的目标系统对象，通常用于记录被操作的系统资源路径、注册表键值、文件路径等。内容应明确标识目标对象，如Windows注册表路径示例：HKLM\\\\SOFTWARE\\\\WOW6432Node\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\新项 #1。  ---  ## 对象类型 (`objectType`)  - **字段名称**: 对象类型 - **字段ID**: `objectType` - **数据类型**: string - **校验类型**: string_t - **描述**: 标识系统对象的分类类型，例如Directory（目录）、File（文件）、User（用户）等。该字段为字符串类型，用于明确区分系统中不同种类的资源对象。  ---  ## 任务名称 (`taskName`)  - **字段名称**: 任务名称 - **字段ID**: `taskName` - **数据类型**: string - **校验类型**: string_t - **描述**: 任务名称或标题，用于标识和识别特定任务。  ---  ## 任务内容 (`taskContent`)  - **字段名称**: 任务内容 - **字段ID**: `taskContent` - **数据类型**: string - **校验类型**: string_t - **描述**: 任务内容字段用于描述计划任务的具体内容或配置信息，通常包含命令、脚本路径及参数。  ---  ## 即插即用设备名 (`pnpDeviceName`)  - **字段名称**: 即插即用设备名 - **字段ID**: `pnpDeviceName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识Windows系统中即插即用设备的完整名称和路径信息。其值为字符串类型，通常包含设备在操作系统中的逻辑驱动器盘符、设备制造商名称、设备型号及序列号等详细信息，各组成部分之间以特定分隔符（如空格或反斜杠）连接。  ---  ## 数据流方向 (`direction`)  - **字段名称**: 数据流方向 - **字段ID**: `direction` - **数据类型**: enum - **校验类型**: string_t - **描述**: 基于源和目标IP地址的网络位置分类数据流方向。该字段为枚举类型，表示数据流在内外网之间的流向，具体取值及含义如下：11 表示外网访问外网；10 表示外网访问内网；01 表示内网访问外网；00 表示内网访问内网。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `11` | 外访问外 | 来源IP为外部IP，目的IP为外部IP，数据方向：外访问外 | | `10` | 外访问内 | 来源IP为外部IP，目的IP为内部IP，数据方向：外访问内 | | `01` | 内访问外 | 来源IP为内部IP，目的IP为外部IP，数据方向：内访问外 | | `00` | 内访问内 | 来源IP为内部IP，目的IP为内部IP，数据方向：内访问内 |  ---  ## 目标进程ID (`destProcessId`)  - **字段名称**: 目标进程ID - **字段ID**: `destProcessId` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标进程ID，指跨进程操作或注入操作中目标进程的PID。其值为进程标识符，通常为非负整数形式的字符串。  ---  ## 登录用户 (`loginUser`)  - **字段名称**: 登录用户 - **字段ID**: `loginUser` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示成功登录系统的用户账号标识。格式要求：用户账号应为字符串类型，通常由字母、数字、下划线等常见字符组成。  ---  ## 签名状态 (`signatureStatus`)  - **字段名称**: 签名状态 - **字段ID**: `signatureStatus` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示数字签名验证的结果状态。取值必须为以下枚举值之一：Valid（有效）、Invalid（无效）、Unsigned（未签名）或Unknown（未知）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Valid` | 有效 | 数字签名验证通过 | | `Invalid` | 无效 | 数字签名验证失败 | | `Unsigned` | 未签名 | 文件或代码未包含数字签名 | | `Unknown` | 未知 | 签名状态无法确定 |  ---  ## 源线程ID (`srcThreadId`)  - **字段名称**: 源线程ID - **字段ID**: `srcThreadId` - **数据类型**: string - **校验类型**: string_t - **描述**: 源线程ID指创建新线程的父线程TID，用于分析线程间关系和检测线程注入等安全场景。其值为操作系统分配的数字标识符，通常为十进制数字字符串，需确保为有效非负整数格式。  ---  ## 应用协议 (`appProtocol`)  - **字段名称**: 应用协议 - **字段ID**: `appProtocol` - **数据类型**: enum - **校验类型**: string_t - **描述**: 应用协议字段表示OSI模型中应用层使用的协议类型。该字段为枚举类型，取值范围应在预定义的协议标识符列表中。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `http` | http | http | | `https` | https | https | | `dns` | dns | dns | | `ssh` | ssh | ssh | | `telnet` | telnet | telnet | | `telnets` | telnets | telnets | | `rsync` | rsync | rsync | | `tftp` | tftp | tftp | | `ftp` | ftp | ftp | | `sftp` | sftp | sftp | | `smb` | smb | smb | | `ntp` | ntp | ntp | | `mysql` | mysql | mysql | | `ms-sql-s` | ms-sql-s | ms-sql-s | | `ms-sql-m` | ms-sql-m | ms-sql-m | | `oracle` | oracle | oracle | | `nfs` | nfs | nfs | | `pop2` | pop2 | pop2 | | `pop3` | pop3 | pop3 | | `pop3s` | pop3s | pop3s | | `smtp` | smtp | smtp | | `imap` | imap | imap | | `imaps` | imaps | imaps | | `chargen` | chargen | chargen | | `qotd` | qotd | qotd | | `x11` | x11 | x11 | | `uucp` | uucp | uucp | | `rcp` | rcp | rcp | | `postgres` | postgres | postgres | | `bootps` | bootps | bootps | | `bootpc` | bootpc | bootpc | | `squid` | squid | squid | | `ftps` | ftps | ftps | | `ircs` | ircs | ircs | | `echo` | echo | echo | | `sunrpc` | sunrpc | sunrpc | | `auth` | auth | auth | | `tacacs` | tacacs | tacacs | | `nntp` | nntp | nntp | | `radius` | radius | radius | | `netbios-ns` | netbios-ns | netbios-ns | | `netbios-dgm` | netbios-dgm | netbios-dgm | | `netbios-ssn` | netbios-ssn | netbios-ssn | | `wins` | wins | wins | | `snmp` | snmp | snmp | | `snmptrap` | snmptrap | snmptrap | | `bgp` | bgp | bgp | | `irc` | irc | irc | | `ldap` | ldap | ldap | | `ldaps` | ldaps | ldaps | | `timbuktu` | timbuktu | timbuktu | | `nnsp` | nnsp | nnsp | | `daytime` | daytime | daytime | | `ircd` | ircd | ircd | | `isakmp` | isakmp | isakmp | | `printer` | printer | printer | | `dhcpv6-client` | dhcpv6-client | dhcpv6-client | | `dhcpv6-server` | dhcpv6-server | dhcpv6-server | | `rtsp` | rtsp | rtsp | | `nntps` | nntps | nntps | | `discard` | discard | discard | | `ipx` | ipx | ipx | | `finger` | finger | finger | | `rdp` | rdp | rdp |  ---  ## 软件名称 (`softwareName`)  - **字段名称**: 软件名称 - **字段ID**: `softwareName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识在系统或设备上安装的软件产品的官方名称。  ---  ## 登录GUID (`loginGuid`)  - **字段名称**: 登录GUID - **字段ID**: `loginGuid` - **数据类型**: string - **校验类型**: string_t - **描述**: 登录会话的全局唯一标识符，用于唯一标识一次登录会话。格式为标准的GUID格式，通常为32位十六进制数字，以连字符分隔为5组，形式如：xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx，其中每个x为0-9或a-f的十六进制字符。  ---  ## 最小密码长度 (`minPasswordLength`)  - **字段名称**: 最小密码长度 - **字段ID**: `minPasswordLength` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 最小密码长度，表示密码策略要求的最小密码字符数，非负整数。  ---  ## LDAP操作码 (`ldapOpCode`)  - **字段名称**: LDAP操作码 - **字段ID**: `ldapOpCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 轻量级目录访问协议(LDAP)请求的操作类型代码，通常为十六进制字符串形式。  ---  ## LDAP操作类型 (`ldapOpType`)  - **字段名称**: LDAP操作类型 - **字段ID**: `ldapOpType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示轻量级目录访问协议(LDAP)请求的具体操作类型。其值必须为预定义的枚举字符串，有效值包括但不限于：bind (绑定操作)、unbind (解绑操作)、search (搜索操作)、compare (比较操作)、add (添加操作)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Bind` | Bind Operation | LDAP authentication and session establishment | | `Unbind` | Unbind Operation | LDAP session termination | | `Search` | Search Operation | Directory entry search query | | `Compare` | Comparison Operation | Attribute value comparison | | `Add` | Add Operation | Add new directory entry | | `Delete` | Delete Operation | Delete directory entry | | `Modify` | Modify Operation | Modify directory entry attributes | | `ModifyDn` | Modify DN | Modify entry identifier | | `Extended` | Extended Operation | LDAP extended operation |  ---  ## 来源NT域 (`srcNtDomain`)  - **字段名称**: 来源NT域 - **字段ID**: `srcNtDomain` - **数据类型**: string - **校验类型**: string_t - **描述**: 来源设备所属的Windows NT域名，用于标识源设备在Windows网络中的域成员身份。该字段为字符串类型，通常由字母、数字、连字符(-)和点号(.)组成。  ---  ## 源登录ID (`srcLoginId`)  - **字段名称**: 源登录ID - **字段ID**: `srcLoginId` - **数据类型**: string - **校验类型**: string_t - **描述**: 源登录ID是指在网络通信中发起操作或请求时使用的用户登录标识符，用于唯一标识发起方用户。  ---  ## 源用户ID (`srcUserId`)  - **字段名称**: 源用户ID - **字段ID**: `srcUserId` - **数据类型**: string - **校验类型**: string_t - **描述**: 源用户ID是发起网络连接或操作的用户唯一标识符，通常用于标识操作主体。该字段为字符串类型，格式因系统或协议而异，常见格式包括Windows安全标识符（SID，如示例“S-1-5-18”）、用户名、用户全局唯一标识符（GUID）或数字ID等。  ---  ## 锁定阈值 (`lockoutThreshold`)  - **字段名称**: 锁定阈值 - **字段ID**: `lockoutThreshold` - **数据类型**: string - **校验类型**: string_t - **描述**: 锁定阈值表示账号被锁定前允许的无效登录尝试次数。格式为字符串类型，应使用整数表示。取值应为大于或等于0的整数，其中0通常表示不启用锁定功能。  ---  ## 锁定持续时间 (`lockoutDuration`)  - **字段名称**: 锁定持续时间 - **字段ID**: `lockoutDuration` - **数据类型**: string - **校验类型**: string_t - **描述**: 锁定持续时间表示由于超出锁定阈值而锁定帐户的时间量，单位为分钟。该字段应为正整数，表示锁定时长（单位：分钟）。  ---  ## 密码属性 (`passwordProperties`)  - **字段名称**: 密码属性 - **字段ID**: `passwordProperties` - **数据类型**: string - **校验类型**: string_t - **描述**: Windows用户账户密码策略的密码属性配置。  ---  ## 机器帐户配额 (`machineAccountQuota`)  - **字段名称**: 机器帐户配额 - **字段ID**: `machineAccountQuota` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示Active Directory中允许创建的最大计算机账号数量，格式为字符串类型，通常为数字字符串，表示配额数值。  ---  ## 密码历史记录大小 (`passwordHistoryLength`)  - **字段名称**: 密码历史记录大小 - **字段ID**: `passwordHistoryLength` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段指定密码策略中保存的历史密码数量，用于防止用户重复使用旧密码。取值应为非负整数，表示系统保留的最近密码记录条数。  ---  ## 域行为版本 (`domainBehaviorVersion`)  - **字段名称**: 域行为版本 - **字段ID**: `domainBehaviorVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 域功能级别版本号，用于标识Active Directory域的功能级别，格式为整数形式的版本号。该字段为字符串类型，存储对应的版本数字。  ---  ## 混合域模式 (`mixedDomainMode`)  - **字段名称**: 混合域模式 - **字段ID**: `mixedDomainMode` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段表示Active Directory是否启用混合身份验证模式。字段值为布尔类型，仅接受 true 或 false 两种取值，分别代表启用和未启用状态。  ---  ## 监听端口 (`listenPort`)  - **字段名称**: 监听端口 - **字段ID**: `listenPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 监听端口是服务进程监听的网络端口号，用于接收和处理网络连接请求。端口号必须是整数类型，取值范围为0到65535。  ---  ## 账号类型 (`accountType`)  - **字段名称**: 账号类型 - **字段ID**: `accountType` - **数据类型**: string - **校验类型**: string_t - **描述**: 账号类型，指用户账号基于功能、权限和使用场景的分类。本字段为字符串类型，通常取值为描述账号类型的文本，如“VPN账号”、“系统管理员账号”、“普通用户账号”等。根据实际业务场景填写具体类型名称。  ---  ## 文件名称 (`fileName`)  - **字段名称**: 文件名称 - **字段ID**: `fileName` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件的基本名称，不包含路径信息。格式要求：字符串类型，长度不超过255个字符，支持常见操作系统允许的文件名字符集（如字母、数字、下划线、点、连字符等），应避免使用系统保留字符和路径分隔符。  ---  ## Web框架 (`webFramework`)  - **字段名称**: Web框架 - **字段ID**: `webFramework` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识网站服务所使用的后端开发框架名称。格式为字符串，应使用框架的标准或通用名称，例如 Django, Flask, Spring Boot 等。  ---  ## SSL证书信息 (`sslCertificate`)  - **字段名称**: SSL证书信息 - **字段ID**: `sslCertificate` - **数据类型**: string - **校验类型**: string_t - **描述**: SSL/TLS加密连接中使用的X.509数字证书的主体标识信息，通常包含颁发者、使用者通用名、组织及国家等字段。格式为符合X.509标准的证书主题专有名称（Subject Distinguished Name）字符串，例如“C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3”。其中常见属性键包括C（国家）、ST（州/省）、L（地区）、O（组织）、OU（组织单位）、CN（通用名称）等。  ---  ## 网站标题 (`webTitle`)  - **字段名称**: 网站标题 - **字段ID**: `webTitle` - **数据类型**: string - **校验类型**: string_t - **描述**: 网站标题，指网页的标题文本内容。字段类型为字符串，内容通常来源于HTML文档的\u003Ctitle>标签。  ---  ## whios信息 (`whois`)  - **字段名称**: whios信息 - **字段ID**: `whois` - **数据类型**: string - **校验类型**: string_t - **描述**: whois字段用于存储基于WHOIS协议查询得到的完整域名注册信息。该字段内容需包含域名注册人、注册商、创建日期、名称服务器等关键信息。  ---  ## 开发者 (`developer`)  - **字段名称**: 开发者 - **字段ID**: `developer` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识移动应用、软件产品或系统组件等的开发实体名称，通常指公司、组织或个人的正式名称。  ---  ## 操作系统 (`osName`)  - **字段名称**: 操作系统 - **字段ID**: `osName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示目标设备或系统所使用的操作系统具体发行版名称和版本标识信息。格式为字符串，通常包含操作系统名称和版本号。  ---  ## 微信号 (`wechatId`)  - **字段名称**: 微信号 - **字段ID**: `wechatId` - **数据类型**: string - **校验类型**: string_t - **描述**: 微信公众号的唯一标识符，用于确认公众号的唯一性。该字段为字符串类型，格式为英文字母、数字及部分特殊字符的组合，需符合微信官方对公众号ID的定义规则。  ---  ## 小程序名称 (`appletName`)  - **字段名称**: 小程序名称 - **字段ID**: `appletName` - **数据类型**: string - **校验类型**: string_t - **描述**: 小程序产品的名称标识，用于区分不同的小程序产品。  ---  ## 小程序ID (`appletId`)  - **字段名称**: 小程序ID - **字段ID**: `appletId` - **数据类型**: string - **校验类型**: string_t - **描述**: 小程序ID是用于唯一标识一个小程序的字符串标识符。  ---  ## 操作系统类型 (`osType`)  - **字段名称**: 操作系统类型 - **字段ID**: `osType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 操作系统所属的类别。枚举字段，取值范围必须为以下预设值之一：Windows（表示Windows系统）、Linux（表示Linux系统）、Unix（表示Unix系统）、MacOS（表示macOS系统）、Android（表示Android系统）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Windows` | Windows系统 | Microsoft Windows操作系统家族 | | `Linux` | Linux系统 | Linux内核操作系统发行版 | | `Unix` | Unix系统 | Unix及类Unix操作系统 | | `MacOS` | macOS系统 | Apple macOS操作系统 | | `Android` | Android系统 | Google Android移动操作系统 | | `iOS` | iOS系统 | Apple iOS移动操作系统 |  ---  ## 操作系统版本 (`osVersion`)  - **字段名称**: 操作系统版本 - **字段ID**: `osVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 操作系统版本号，描述设备运行的操作系统的具体版本信息。通常由主版本号、次版本号、修订号等部分组成。  ---  ## 内核版本 (`kernelVersion`)  - **字段名称**: 内核版本 - **字段ID**: `kernelVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 内核版本信息，表示操作系统内核的具体版本号。通常遵循主版本号.次版本号.修订号-发布版本的格式。  ---  ## 设备型号 (`deviceModel`)  - **字段名称**: 设备型号 - **字段ID**: `deviceModel` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备型号用于标识设备制造商定义的产品型号代码，精确区分不同硬件规格、功能和配置。其值为字符串，通常由字母、数字及特定符号（如连字符、下划线）组成。  ---  ## 设备版本 (`deviceVersion`)  - **字段名称**: 设备版本 - **字段ID**: `deviceVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备版本标识设备固件、操作系统或嵌入式软件的完整版本信息。版本号通常采用多段数字格式，如主版本号.次版本号.修订号.构建号等。  ---  ## 管理端口 (`managementPort`)  - **字段名称**: 管理端口 - **字段ID**: `managementPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段表示用于设备带外管理、远程访问和系统维护的网络端口号。端口号必须是整数，取值范围为0到65535。其中，0到1023为公认端口，1024到49151为注册端口，49152到65535为动态或私有端口。  ---  ## 机器类型 (`machineType`)  - **字段名称**: 机器类型 - **字段ID**: `machineType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 标识设备的物理形态特征、部署架构和运行环境类型。本字段为枚举类型，有效值包括但不限于：physicalServer（物理服务器）、virtualMachine（虚拟机）、container（容器）、cloudInstance（云实例）、workstation（工作站）等预定义选项，需从中选择其一。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `physicalServer` | 物理服务器 | 独立物理硬件设备，部署在本地数据中心 | | `virtualMachine` | 虚拟机 | 在虚拟化平台上运行的虚拟化实例 | | `container` | 容器 | 容器化运行环境实例 | | `cloudInstance` | 云实例 | 云服务商提供的计算实例 | | `workstation` | 工作站 | 桌面工作站设备 | | `laptop` | 笔记本电脑 | 便携式移动计算设备 | | `networkDevice` | 网络设备 | 交换机、路由器等网络基础设施设备 | | `securityDevice` | 安全设备 | 防火墙、IDS/IPS等专用安全设备 | | `storageDevice` | 存储设备 | NAS、SAN等专用存储设备 | | `iotDevice` | 物联网设备 | 物联网终端和边缘计算设备 | | `mobileDevice` | 移动设备 | 智能手机、平板等移动终端 | | `other` | 其他类型 | 未分类的其他设备类型 |  ---  ## 虚拟机名称 (`vmName`)  - **字段名称**: 虚拟机名称 - **字段ID**: `vmName` - **数据类型**: string - **校验类型**: string_t - **描述**: 虚拟机在虚拟化环境中的可读标识名称，用于唯一区分不同的虚拟机实例。格式为字符串类型，通常由字母、数字、连字符（-）或下划线（_）组成。  ---  ## 虚拟化管理程序 (`hypervisor`)  - **字段名称**: 虚拟化管理程序 - **字段ID**: `hypervisor` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识虚拟化平台中管理和运行虚拟机实例的底层软件系统。其值为描述虚拟化管理程序名称及版本号的字符串，通常由厂商名称、产品名称和版本号组成。  ---  ## 存储信息 (`storageInfo`)  - **字段名称**: 存储信息 - **字段ID**: `storageInfo` - **数据类型**: string - **校验类型**: string_t - **描述**: 存储设备配置、容量和状态信息的文本描述。内容应包含设备类型、总容量、已用容量、剩余容量及文件系统等关键信息。  ---  ## 容器实例名称 (`containerName`)  - **字段名称**: 容器实例名称 - **字段ID**: `containerName` - **数据类型**: string - **校验类型**: string_t - **描述**: 容器运行时实例的自定义标识名称，用于唯一标识容器实例。命名应遵循容器运行时命名规范，通常支持字母、数字、连字符(-)和下划线(_)的组合。  ---  ## 挂载卷 (`volumeMounts`)  - **字段名称**: 挂载卷 - **字段ID**: `volumeMounts` - **数据类型**: string - **校验类型**: string_t - **描述**: 挂载卷字段用于配置容器与宿主机之间的持久化存储挂载，其值为一个字符串，描述挂载的详细信息。通常格式为：主机路径：\u003C宿主机路径>，容器路径：\u003C容器内路径>。其中宿主机路径和容器内路径应为有效的文件系统绝对路径。  ---  ## 许可密钥 (`licenseKey`)  - **字段名称**: 许可密钥 - **字段ID**: `licenseKey` - **数据类型**: string - **校验类型**: string_t - **描述**: 许可密钥是用于验证用户合法使用软件或硬件产品的唯一识别码。其格式通常为一系列由连字符分隔的字母数字组合，示例格式如：XXXXX-XXXXX-XXXXX-XXXXX-XXXXX。  ---  ## 已安装组件 (`installedComponents`)  - **字段名称**: 已安装组件 - **字段ID**: `installedComponents` - **数据类型**: array - **校验类型**: string_t - **描述**: 已安装组件清单，描述软件产品中已安装的功能组件、插件和依赖模块的完整信息。每个数组元素应为字符串类型，建议包含组件名称和版本号等关键标识信息。  ---  ## 许可类型 (`licenseType`)  - **字段名称**: 许可类型 - **字段ID**: `licenseType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 许可类型标识软件许可证的法律授权类型，该字段为枚举类型，必须从以下预定义值中选择其一：PublicDomain（公共领域许可）、Permissive（宽松许可）、LGPL（GNU宽通用公共许可）、Copyleft（著佐权许可）、Proprietary（专有许可），或其他（Other）。取值必须与示例值格式完全一致。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `PublicDomain` | 公共领域许可 | 作品已进入公共领域，无版权限制，可自由使用 | | `Permissive` | 宽松许可 | 限制极少的开源许可证，如MIT、BSD、Apache许可证 | | `LGPL` | GNU宽通用公共许可 | GNU较宽松公共许可证，允许与专有软件链接 | | `Copyleft` | 著佐权许可 | 要求衍生作品保持相同授权的许可证，如GPL | | `Proprietary` | 专有许可 | 传统商业软件许可，限制复制、修改和再分发 | | `Copyright` | 版权保留许可 | 保留所有权利的版权声明，需明确授权才能使用 |  ---  ## 依赖组件列表 (`dependencies`)  - **字段名称**: 依赖组件列表 - **字段ID**: `dependencies` - **数据类型**: array - **校验类型**: string_t - **描述**: 该字段以数组形式记录软件运行所依赖的外部组件、库和模块的完整清单。每个元素应为字符串，建议采用“组件名称 版本号”的简洁格式进行描述。  ---  ## 注册时间 (`registrationTime`)  - **字段名称**: 注册时间 - **字段ID**: `registrationTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 域名在注册商系统中成功注册的精确时间。格式要求：必须为符合ISO 8601扩展格式的日期时间字符串，具体格式为yyyy-mm-dd HH:mm:ss。  ---  ## 过期时间 (`expirationTime`)  - **字段名称**: 过期时间 - **字段ID**: `expirationTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 域名注册有效期的截止时间，采用标准的日期时间格式表示。格式要求为 yyyy-mm-dd HH:mm:ss，例如 2024-01-15 12:00:00。  ---  ## 注册商 (`registrar`)  - **字段名称**: 注册商 - **字段ID**: `registrar` - **数据类型**: string - **校验类型**: string_t - **描述**: 注册商的官方名称，即提供域名注册服务的机构或公司。该字段为字符串类型，应使用完整的机构名称，不包含特殊字符。  ---  ## 子网掩码 (`subnetMask`)  - **字段名称**: 子网掩码 - **字段ID**: `subnetMask` - **数据类型**: string - **校验类型**: string_t - **描述**: 子网掩码用于在IP地址中划分网络部分和主机部分。该字段为字符串类型，其值必须是有效的点分十进制格式的IPv4子网掩码，由四段0-255之间的十进制数组成，中间用点号分隔。  ---  ## 通用名称 (`commonName`)  - **字段名称**: 通用名称 - **字段ID**: `commonName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示证书主题中的通用名称(CN)，通常为证书绑定的完全限定域名，其值应为符合DNS命名规范的字符串。  ---  ## 公钥信息 (`publicKey`)  - **字段名称**: 公钥信息 - **字段ID**: `publicKey` - **数据类型**: string - **校验类型**: string_t - **描述**: 公钥信息字段表示数字证书中包含的公钥技术参数，用于标识加密算法或密钥类型。  ---  ## 云实例类型 (`cloudInstanceType`)  - **字段名称**: 云实例类型 - **字段ID**: `cloudInstanceType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 云实例类型表示云计算实例的标准化规格分类，用于标识实例的计算、内存、存储等资源配置特性。该字段为枚举类型，其取值必须为预定义的可选值之一，例如：generalPurpose (通用型)、computeOptimized (计算优化型)、memoryOptimized (内存优化型)、storageOptimized (存储优化型) 或 gpuAccelerated (GPU加速型) 等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `generalPurpose` | 通用型 | 平衡计算、内存和网络资源的通用实例类型 | | `computeOptimized` | 计算优化型 | 高性能处理器，适用于计算密集型工作负载 | | `memoryOptimized` | 内存优化型 | 高内存容量，适用于内存密集型应用 | | `storageOptimized` | 存储优化型 | 高存储性能和容量，适用于I/O密集型工作负载 | | `gpuAccelerated` | GPU加速型 | 配备GPU，适用于图形处理、机器学习和高性能计算 | | `fpgaAccelerated` | FPGA加速型 | 配备FPGA，适用于可定制硬件加速工作负载 | | `burstable` | 突发性能型 | 提供基准性能并可突发至更高性能的实例类型 | | `micro` | 微型实例 | 低配置实例，适用于轻量级工作负载和测试环境 | | `highPerformanceCompute` | 高性能计算型 | 专为高性能计算工作负载优化的实例类型 | | `edgeOptimized` | 边缘优化型 | 专为边缘计算场景优化的实例类型 | | `other` | 其他 | 其他类型的实例类型 |  ---  ## 虚拟私有云ID (`vpcId`)  - **字段名称**: 虚拟私有云ID - **字段ID**: `vpcId` - **数据类型**: string - **校验类型**: string_t - **描述**: 虚拟私有云(VPC)的唯一标识符，由云服务商分配。  ---  ## 子网ID (`subnetId`)  - **字段名称**: 子网ID - **字段ID**: `subnetId` - **数据类型**: string - **校验类型**: string_t - **描述**: 子网ID是云服务商分配的子网唯一标识符，用于标识特定的子网资源。  ---  ## 云存储类型 (`cloudStorageType`)  - **字段名称**: 云存储类型 - **字段ID**: `cloudStorageType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 云存储类型是指云计算存储服务的标准化分类，用于标识所使用的存储服务类别。该字段为枚举类型，必须从预定义的可选值列表中选取，常见值包括：objectStorage（对象存储）、blockStorage（块存储）、fileStorage（文件存储）、archiveStorage（归档存储）和databaseStorage（数据库存储）等选项。输入值需确保与指定的枚举值完全匹配。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `objectStorage` | 对象存储 | 基于对象的非结构化数据存储服务，如AWS S3、Azure Blob Storage | | `blockStorage` | 块存储 | 块级存储设备，可挂载到计算实例，如AWS EBS、Azure Disk Storage | | `fileStorage` | 文件存储 | 基于文件的共享存储服务，如AWS EFS、Azure Files | | `archiveStorage` | 归档存储 | 低成本长期数据归档存储，如AWS Glacier、Azure Archive Storage | | `databaseStorage` | 数据库存储 | 托管数据库服务的底层存储，如AWS RDS、Azure SQL Database存储 | | `backupStorage` | 备份存储 | 专用备份和恢复服务存储，如AWS Backup、Azure Backup | | `hybridStorage` | 混合存储 | 连接本地和云环境的混合存储解决方案 | | `edgeStorage` | 边缘存储 | 边缘计算场景下的分布式存储服务 | | `temporaryStorage` | 临时存储 | 计算实例的临时或缓存存储，数据不持久化 | | `other` | 其他 | 其他类型的存储类型 |  ---  ## 数据保留策略 (`dataRetentionPolicy`)  - **字段名称**: 数据保留策略 - **字段ID**: `dataRetentionPolicy` - **数据类型**: string - **校验类型**: string_t - **描述**: 数据保留策略，用于定义数据在存储系统中的保留时长和处置方式。该字段为字符串类型，用于描述具体的保留策略。常见的格式包括但不限于：以天、月、年为单位的时长描述。  ---  ## 备份策略 (`backupPolicy`)  - **字段名称**: 备份策略 - **字段ID**: `backupPolicy` - **数据类型**: string - **校验类型**: string_t - **描述**: 备份策略配置，用于定义数据备份和恢复的执行规则与计划。格式为字符串类型，通常包含策略的启用状态、备份频率、保留周期等具体配置信息。  ---  ## 表名称 (`tableName`)  - **字段名称**: 表名称 - **字段ID**: `tableName` - **数据类型**: string - **校验类型**: string_t - **描述**: 关系型数据库中的数据表逻辑名称，表名称应为字符串类型，遵循数据库命名规范，通常由字母、数字和下划线组成。  ---  ## 数据大小 (`dataSize`)  - **字段名称**: 数据大小 - **字段ID**: `dataSize` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示数据库表占用的物理存储空间大小。其值为一个字符串，通常由数字和单位组成，例如“41MB”。  ---  ## 是否主键 (`isPrimary`)  - **字段名称**: 是否主键 - **字段ID**: `isPrimary` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段用于标识数据库列是否被定义为主键。其值为布尔类型，只能取 true 或 false。  ---  ## 是否为空 (`isNull`)  - **字段名称**: 是否为空 - **字段ID**: `isNull` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 标识数据库列是否允许存储NULL值。该字段为布尔类型，取值为true或false，其中true表示允许存储NULL值，false表示不允许存储NULL值。  ---  ## 默认值 (`defaultValue`)  - **字段名称**: 默认值 - **字段ID**: `defaultValue` - **数据类型**: string - **校验类型**: string_t - **描述**: 默认值指数据库列在插入新记录时，若未显式指定值，系统将自动赋予的初始值。  ---  ## 操作 (`operation`)  - **字段名称**: 操作 - **字段ID**: `operation` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识系统或用户执行的具体操作行为。其值为描述操作类型的字符串。  ---  ## 中间件名 (`middlewareName`)  - **字段名称**: 中间件名 - **字段ID**: `middlewareName` - **数据类型**: string - **校验类型**: string_t - **描述**: 中间件软件的产品名称，例如：Tomcat、Nginx、Apache等。  ---  ## 中间件版本 (`middlewareVersion`)  - **字段名称**: 中间件版本 - **字段ID**: `middlewareVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示中间件软件的具体版本号。版本号通常遵循主版本号.次版本号.修订号（如 8.0.1）或类似的数字序列格式，也可能包含字母和分隔符（如 “v2.1-beta”）。  ---  ## 软件端口号 (`softwarePort`)  - **字段名称**: 软件端口号 - **字段ID**: `softwarePort` - **数据类型**: string - **校验类型**: string_t - **描述**: 软件运行时监听的网络端口号。格式要求：端口号必须是有效的网络端口，取值范围为0到65535。通常0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。  ---  ## 数据库名称 (`dbName`)  - **字段名称**: 数据库名称 - **字段ID**: `dbName` - **数据类型**: string - **校验类型**: string_t - **描述**: 数据库管理系统(DBMS)中数据库实例的逻辑名称。字段类型为字符串，命名应清晰标识特定数据库实例。  ---  ## 对象SIDHistory属性 (`sidHistory`)  - **字段名称**: 对象SIDHistory属性 - **字段ID**: `sidHistory` - **数据类型**: string - **校验类型**: string_t - **描述**: Active Directory对象的SID历史属性，用于记录用户或组对象先前使用的安全标识符。该字段为字符串类型，其值必须符合Windows安全标识符格式规范，具体格式为：以“S-1-”开头的字符串，后跟一系列由连字符分隔的数字标识符。例如：S-1-5-21-3623811015-3361044348-30300820-1013。  ---  ## 目的NT域 (`destNtDomain`)  - **字段名称**: 目的NT域 - **字段ID**: `destNtDomain` - **数据类型**: string - **校验类型**: string_t - **描述**: 目的设备所属的Windows NT域名称。格式为字符串，通常用于标识Windows网络环境中的域。  ---  ## 认证包名称 (`authPackageName`)  - **字段名称**: 认证包名称 - **字段ID**: `authPackageName` - **数据类型**: string - **校验类型**: string_t - **描述**: 认证包名称是Windows安全支持提供程序接口(SSPI)使用的身份验证包名称，用于标识特定的认证机制。该字段为字符串类型，需符合Windows SSPI的规范定义。  ---  ## 登录ID (`loginId`)  - **字段名称**: 登录ID - **字段ID**: `loginId` - **数据类型**: string - **校验类型**: string_t - **描述**: 系统分配的登录会话标识符，用于唯一标识用户的登录会话。该字段为字符串类型，通常为数字或字母数字组合的序列。  ---  ## 目标登录ID (`destLoginId`)  - **字段名称**: 目标登录ID - **字段ID**: `destLoginId` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标系统或服务的登录标识符，通常用于标识用户或实体在目标系统上的身份。  ---  ## 文件GUID (`fileGuid`)  - **字段名称**: 文件GUID - **字段ID**: `fileGuid` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件的全局唯一标识符，通常为32位十六进制字符串，不包含连字符，用于在系统中唯一标识一个文件。  ---  ## 执行用户 (`runUser`)  - **字段名称**: 执行用户 - **字段ID**: `runUser` - **数据类型**: string - **校验类型**: string_t - **描述**: 执行系统进程或服务的用户账号名称，应为有效的系统用户名。  ---  ## 组件版本 (`componentVersion`)  - **字段名称**: 组件版本 - **字段ID**: `componentVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识软件组件、插件或库的完整版本信息，其值为字符串类型。通常遵循语义化版本控制规范（如主版本号.次版本号.修订号）。  ---  ## 发布者 (`publisher`)  - **字段名称**: 发布者 - **字段ID**: `publisher` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识软件、数字证书或内容发布方的官方实体名称。字段值为字符串类型，应填写发布方的完整、正式名称，例如软件公司、开源基金会或组织机构的官方全称。  ---  ## 语言 (`language`)  - **字段名称**: 语言 - **字段ID**: `language` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识软件开发或脚本执行使用的编程语言名称，应为常见的编程语言名称，例如Python、Java、JavaScript、C++等，不包含版本号或特定方言信息。  ---  ## 注册商邮箱 (`registrarEmail`)  - **字段名称**: 注册商邮箱 - **字段ID**: `registrarEmail` - **数据类型**: string - **校验类型**: string_t - **描述**: 注册商邮箱是域名注册商的官方联系邮箱地址。该字段应遵循标准邮箱地址格式，包含有效的用户名和域名部分，使用@符号分隔，且域名部分应包含有效的顶级域名。  ---  ## 攻击者端口 (`attackerPort`)  - **字段名称**: 攻击者端口 - **字段ID**: `attackerPort` - **数据类型**: string - **校验类型**: string_t - **描述**: 攻击者发起攻击时使用的网络端口号。格式为字符串，表示端口号数值，取值范围为0-65535，多个端口号使用英文逗号分隔。  ---  ## 受害者端口 (`victimPort`)  - **字段名称**: 受害者端口 - **字段ID**: `victimPort` - **数据类型**: string - **校验类型**: string_t - **描述**: 受害者网络服务端口号，表示遭受威胁攻击或风险影响的受害者服务所使用的端口。格式为端口号，取值范围为0-65535，多个端口号使用英文逗号分隔。  ---  ## 钓鱼类型 (`phishingType`)  - **字段名称**: 钓鱼类型 - **字段ID**: `phishingType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示网络钓鱼攻击的具体传播渠道分类，必须从预定义的枚举值中选择。可选值包括：emailPhishing (邮件钓鱼)、smsPhishing (短信钓鱼)、instantMessagingPhishing (即时通讯钓鱼)、socialMediaPhishing (社交媒体钓鱼)、qrCodePhishing (二维码钓鱼)等选项。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `emailPhishing` | 邮件钓鱼 | 通过垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件传播恶意链接或附件 | | `smsPhishing` | 短信钓鱼 | 通过手机短信发送虚假中奖、退税等信息，诱骗用户点击恶意链接 | | `instantMessagingPhishing` | 即时通讯钓鱼 | 通过QQ、MSN、阿里旺旺等客户端聊天工具或Slack等云协作工具发送钓鱼链接 | | `socialMediaPhishing` | 社交媒体钓鱼 | 通过微博、Twitter、Facebook、Instagram等社交平台及广告功能散布钓鱼链接 | | `qrCodePhishing` | 二维码钓鱼 | 通过伪装成优惠、返利等内容的二维码，诱骗用户扫描后访问钓鱼网站 | | `wifiPhishing` | WiFi钓鱼 | 架设与公共WiFi热点同名的虚假网络，窃取接入用户的个人资料 | | `maliciousAdPhishing` | 恶意广告钓鱼 | 在搜索引擎、中小网站或网页中投放恶意广告，用户点击后触发恶意代码或跳转至钓鱼网站 | | `websiteSpoofing` | 网站仿冒 | 通过误植域名（Typosquatting）或完全仿冒知名网站，诱使用户在虚假网站上输入敏感信息 | | `forumBlogPhishing` | 论坛博客钓鱼 | 通过在论坛、博客、SNS网站中批量发布钓鱼网站链接进行传播 | | `voicePhishing` | 语音钓鱼 | 通过语音电话进行网络钓鱼攻击 | | `multiChannelPhishing` | 多渠道钓鱼 | 攻击始于电子邮件等渠道，随后扩展到短信、即时通讯、社交媒体等多种渠道协同进行的钓鱼攻击 |  ---  ## 来源国家代码 (`srcGeoCountryCode`)  - **字段名称**: 来源国家代码 - **字段ID**: `srcGeoCountryCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 网络请求来源的国家地理编码，遵循ISO 3166-1 alpha-2标准的两字母国家代码格式，例如：US代表美国，CN代表中国。  ---  ## 来源地区代码 (`srcGeoRegionCode`)  - **字段名称**: 来源地区代码 - **字段ID**: `srcGeoRegionCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 网络请求来源的地区地理编码，采用ISO 3166-1 alpha-2标准的两字母国家/地区代码，表示来源IP地址对应的国家或地区。该字段为字符串类型，必须由大写英文字母组成。  ---  ## 来源城市代码 (`srcGeoCityCode`)  - **字段名称**: 来源城市代码 - **字段ID**: `srcGeoCityCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络请求来源的城市地理编码，用于标识来源城市。格式为字符串类型，通常使用城市名称或标准城市代码表示。  ---  ## 来源区县代码 (`srcGeoCountyCode`)  - **字段名称**: 来源区县代码 - **字段ID**: `srcGeoCountyCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 表示网络流量或事件来源的行政区划县/区级代码，采用国家行政区划编码标准（例如GB/T 2260）。格式为字符串，通常为6位数字代码，其中前两位代表省级，中间两位代表地市级，后两位代表县/区级。  ---  ## 进程启动时间 (`processStartTime`)  - **字段名称**: 进程启动时间 - **字段ID**: `processStartTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 进程启动时间，指操作系统成功创建进程实例的精确时间。格式要求为标准的日期时间字符串，具体格式为：yyyy-mm-dd HH:mm:ss。  ---  ## 父进程启动时间 (`parentProcessStartTime`)  - **字段名称**: 父进程启动时间 - **字段ID**: `parentProcessStartTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 父进程实例的创建时刻的精确时间，格式为 yyyy-mm-dd HH:mm:ss。  ---  ## 进程GUID (`processGuid`)  - **字段名称**: 进程GUID - **字段ID**: `processGuid` - **数据类型**: string - **校验类型**: string_t - **描述**: 进程实例的全局唯一标识符，通常采用UUID格式，符合标准的UUID v4格式规范，即32位十六进制数字，以连字符分隔为5组。  ---  ## 父进程GUID (`parentProcessGuid`)  - **字段名称**: 父进程GUID - **字段ID**: `parentProcessGuid` - **数据类型**: string - **校验类型**: string_t - **描述**: 父进程实例的全局唯一标识符，用于唯一标识操作系统中的父进程实例。该字段为字符串类型，通常采用标准的GUID格式，由32位十六进制数字组成，并以连字符分隔为5组。  ---  ## 原始文件名 (`originalFileName`)  - **字段名称**: 原始文件名 - **字段ID**: `originalFileName` - **数据类型**: string - **校验类型**: string_t - **描述**: 原始文件名，指文件在被处理、重命名或上传前的原始名称。  ---  ## 完整性级别 (`integrityLevel`)  - **字段名称**: 完整性级别 - **字段ID**: `integrityLevel` - **数据类型**: enum - **校验类型**: string_t - **描述**: 完整性级别表示Windows安全模型中进程的权限级别，用于标识进程的信任和权限等级。该字段为枚举类型，其取值必须为预定义的字符串常量，可选值包括：Untrusted（不信任）、Low（低级别）、Medium（中级别）、High（高级别）和System（系统级别）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Untrusted` | 不信任 | 匿名进程级别，最低权限，通常用于匿名网络访问 | | `Low` | 低级别 | 受限权限级别，用于保护模式进程如Internet Explorer | | `Medium` | 中级别 | 标准用户权限级别，大多数用户进程运行在此级别 | | `High` | 高级别 | 提升的管理员权限，需要UAC确认或管理员权限 | | `System` | 系统级别 | 系统核心权限，Windows服务和内核组件运行级别 |  ---  ## 数据集大小 (`dataSetSize`)  - **字段名称**: 数据集大小 - **字段ID**: `dataSetSize` - **数据类型**: long - **校验类型**: long_t - **描述**: 数据集大小，指SQL查询返回的结果数据集在内存或网络传输中的估算大小，通常以字节为单位。该字段值为长整型（long），表示一个非负整数。  ---  ## 钓鱼邮箱 (`phishingEmail`)  - **字段名称**: 钓鱼邮箱 - **字段ID**: `phishingEmail` - **数据类型**: string - **校验类型**: string_t - **描述**: 钓鱼邮箱是指用于发起网络钓鱼攻击的恶意发件人邮箱地址。字段内容必须符合标准电子邮件地址格式，即包含本地部分、@符号和域名部分。  ---  ## 对象名称 (`objectName`)  - **字段名称**: 对象名称 - **字段ID**: `objectName` - **数据类型**: string - **校验类型**: string_t - **描述**: 对象名称，指访问或操作的目标对象名称，例如数据库名、应用名、文件名等。  ---  ## WMI事件命名空间 (`wmiEventNamespace`)  - **字段名称**: WMI事件命名空间 - **字段ID**: `wmiEventNamespace` - **数据类型**: string - **校验类型**: string_t - **描述**: WMI事件筛选器所属的命名空间路径，用于标识WMI提供程序中的特定类别层次结构。格式为WMI命名空间的标准路径字符串，各层级之间使用反斜杠“\\\\”分隔。  ---  ## WMI查询条件 (`wmiQuery`)  - **字段名称**: WMI查询条件 - **字段ID**: `wmiQuery` - **数据类型**: string - **校验类型**: string_t - **描述**: WMI查询条件是指用于从Windows系统检索管理信息和事件数据的查询语句，通常采用WMI查询语言（WQL）格式。  ---  ## WMI目标 (`wmiDestination`)  - **字段名称**: WMI目标 - **字段ID**: `wmiDestination` - **数据类型**: string - **校验类型**: string_t - **描述**: WMI事件消费者执行的目标路径，通常为文件系统路径格式，应遵循Windows或Unix-like系统的路径规范，例如使用反斜杠（\\）或正斜杠（/）作为目录分隔符，且路径应指向有效的可执行文件或脚本。  ---  ## WMI消费者 (`wmiConsumer`)  - **字段名称**: WMI消费者 - **字段ID**: `wmiConsumer` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示处理WMI事件的消费者名称。其值通常为包含消费者名称的字符串，格式应符合WMI事件消费者对象的命名规范。  ---  ## WMI筛选器 (`wmiFilter`)  - **字段名称**: WMI筛选器 - **字段ID**: `wmiFilter` - **数据类型**: string - **校验类型**: string_t - **描述**: WMI筛选器用于过滤和选择特定WMI事件的筛选器名称，其值为字符串类型。该字段通常包含WMI事件筛选器的唯一标识符，格式应符合WMI查询语言（WQL）的命名规范或特定的筛选器路径格式。  ---  ## 是否可执行 (`isExecutable`)  - **字段名称**: 是否可执行 - **字段ID**: `isExecutable` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段用于标识文件是否具有可执行格式（如PE、ELF）或执行权限。其值为布尔类型，仅允许取 `true` 或 `false`。  ---  ## 目标用户ID (`destUserId`)  - **字段名称**: 目标用户ID - **字段ID**: `destUserId` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标用户的唯一标识符，通常用于标识网络连接的接收方或目标用户。  ---  ## 显示名称 (`displayName`)  - **字段名称**: 显示名称 - **字段ID**: `displayName` - **数据类型**: string - **校验类型**: string_t - **描述**: 显示名称用于用户友好展示的别名。  ---  ## 用户主体名称 (`userPrincipalName`)  - **字段名称**: 用户主体名称 - **字段ID**: `userPrincipalName` - **数据类型**: string - **校验类型**: string_t - **描述**: 用户主体名称是客户端进行身份验证的服务的唯一标识符，通常采用电子邮件地址格式。其格式要求为：由用户名、@符号和域名组成。  ---  ## 主目录 (`homeDir`)  - **字段名称**: 主目录 - **字段ID**: `homeDir` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示用户账户配置的主目录在文件系统中的绝对路径。路径格式应符合操作系统的规范，例如在Windows系统中通常为驱动器盘符加冒号后接反斜杠分隔的目录结构（如 `C:\\Users\\\u003Cusername>`），在Linux/Unix系统中通常为正斜杠分隔的目录结构（如 `/home/\u003Cusername>`）。  ---  ## 脚本路径 (`scriptPath`)  - **字段名称**: 脚本路径 - **字段ID**: `scriptPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 脚本路径指被执行的脚本文件在文件系统中的完整路径，其值应为有效的文件系统路径字符串，格式应符合操作系统规范，例如在Unix/Linux系统中以正斜杠（/）分隔目录，在Windows系统中以反斜杠（\\）或正斜杠（/）分隔目录。  ---  ## 主要组ID (`primaryGroupId`)  - **字段名称**: 主要组ID - **字段ID**: `primaryGroupId` - **数据类型**: string - **校验类型**: string_t - **描述**: 主要组ID是用户所属主要组的唯一标识符，格式为字符串，通常由数字组成，用于唯一标识用户的主要组。  ---  ## 旧UAC值 (`oldUacValue`)  - **字段名称**: 旧UAC值 - **字段ID**: `oldUacValue` - **数据类型**: string - **校验类型**: string_t - **描述**: 旧UAC值，表示用户账号在更改前的用户账号控制 (UAC) 值。该值为十六进制字符串格式，通常以“0x”前缀开头，后跟一个或多个十六进制数字（0-9， A-F）。  ---  ## 新UAC值 (`newUacValue`)  - **字段名称**: 新UAC值 - **字段ID**: `newUacValue` - **数据类型**: string - **校验类型**: string_t - **描述**: 新UAC值表示用户账号在更改后的用户账号控制 (UAC) 值。该字段为字符串类型，通常以十六进制格式表示。  ---  ## 委派列表 (`delegationList`)  - **字段名称**: 委派列表 - **字段ID**: `delegationList` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示允许用户或服务主体将其权限或委托授权给的对象列表。其值为一个字符串，内容需符合特定的服务主体名称（SPN）格式。格式通常为“服务类/主机名[:端口]”，其中服务类标识服务类型，主机名为完全限定域名（FQDN）或NetBIOS名称，端口为可选。  ---  ## 用户账号控制 (`userAccountControl`)  - **字段名称**: 用户账号控制 - **字段ID**: `userAccountControl` - **数据类型**: string - **校验类型**: string_t - **描述**: 用户账号控制属性是Windows Active Directory中用于表示账户多种设置的位掩码。该字段值为字符串类型，通常以十六进制或十进制字符串形式表示。  ---  ## 用户参数 (`userParameters`)  - **字段名称**: 用户参数 - **字段ID**: `userParameters` - **数据类型**: string - **校验类型**: string_t - **描述**: Active Directory用户账号的自定义配置参数。  ---  ## 事件ID (`incidentId`)  - **字段名称**: 事件ID - **字段ID**: `incidentId` - **数据类型**: string - **校验类型**: string_t - **描述**: 事件ID是安全事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成，以保证其唯一性。  ---  ## 事件名称 (`incidentName`)  - **字段名称**: 事件名称 - **字段ID**: `incidentName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识安全事件的简要概括名称。  ---  ## 事件级别 (`incidentLevel`)  - **字段名称**: 事件级别 - **字段ID**: `incidentLevel` - **数据类型**: enum - **校验类型**: string_t - **描述**: 安全事件的严重程度等级，用于评估事件的影响范围和紧急程度。取值范围为枚举类型，可选值包括：Critical（严重）、High（高）、Medium（中）、Low（低），需严格使用给定的枚举值。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Critical` | 严重 | 造成重大业务影响的安全事件，需要立即响应 | | `High` | 高 | 对业务运营有显著影响的安全事件，需要优先处理 | | `Medium` | 中 | 对业务有一定影响的安全事件，需要按计划处理 | | `Low` | 低 | 影响较小的安全事件，可按照常规流程处理 |  ---  ## 事件状态 (`incidentStatus`)  - **字段名称**: 事件状态 - **字段ID**: `incidentStatus` - **数据类型**: enum - **校验类型**: string_t - **描述**: 标识安全事件在响应生命周期中的当前处理状态。该字段为枚举类型，其值必须为预定义的字符串。可选值为：Analysising (分析中)、Error (错误)、Ignore (忽略)、Pending (待处置)、Disposed (已处置)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Analysising` | 分析中 | 正在分析中的事件 | | `Error` | 错误 | 分析过程中自动化剧本执行流程错误终止的事件 | | `Ignore` | 忽略 | 经过分析不需要处置的事件 | | `Pending` | 待处置 | 经过分析需要处置的事件 | | `Disposed` | 已处置 | 已经完成处置关闭的事件 |  ---  ## 关闭时间 (`closeTime`)  - **字段名称**: 关闭时间 - **字段ID**: `closeTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: closeTime字段表示事件处置完成并被正式关闭的时间。该字段为字符串类型，必须遵循严格的日期时间格式：yyyy-mm-dd HH:mm:ss，例如2025-01-14 11:18:31。  ---  ## 负责人 (`assignee`)  - **字段名称**: 负责人 - **字段ID**: `assignee` - **数据类型**: string - **校验类型**: string_t - **描述**: 负责人字段用于标识负责安全事件调查和响应的主要责任人。其值应为字符串类型，通常为责任人的用户名、工号或姓名。  ---  ## 参与人 (`participants`)  - **字段名称**: 参与人 - **字段ID**: `participants` - **数据类型**: array - **校验类型**: string_t - **描述**: 该字段记录参与安全事件响应和处理的所有相关人员列表，存储格式为字符串数组。  ---  ## 是否互联网攻击 (`isInternetAttack`)  - **字段名称**: 是否互联网攻击 - **字段ID**: `isInternetAttack` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段用于标识攻击源是否来自互联网外部网络。字段类型为布尔值，取值为 true 或 false，其中 true 表示攻击源来自互联网，false 表示攻击源非来自互联网。  ---  ## 安全事件数据源 (`incidentDataSource`)  - **字段名称**: 安全事件数据源 - **字段ID**: `incidentDataSource` - **数据类型**: string - **校验类型**: string_t - **描述**: 安全事件数据源字段用于标识安全事件数据的原始来源系统和检测机制，例如安全设备、日志系统、威胁情报平台或人工报告等。  ---  ## 安全事件类型 (`incidentType`)  - **字段名称**: 安全事件类型 - **字段ID**: `incidentType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 安全事件类型字段用于标识安全事件的主要攻击分类和技术类别，采用层级路径格式表示。该字段为枚举类型，必须从预定义的可选值中选择，每个值均为一个字符串形式的路径。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `/Malware/ComputerVirus` | 计算机病毒事件 | 计算机病毒事件:制造、传播或利用恶意程序，影响计算机使用,破坏计算机功能，毁坏或窃取数据； | | `/Malware/Worm` | 网络蠕虫事件 | 网络端虫事件：利用网络缺陷，蓄意制造或通过网络自动复制并传播网络蠕虫； | | `/Malware/Trojan` | 特洛伊木马事件 | 特洛伊木马事件：制造、传播或利用具有远程控制功能的恶意程序，实现非法窃取或截获数据； | | `/Malware/Botnet` | 僵尸网络事件 | 僵尸网络事件：利用僵尸工具程序形成僵尸网络； | | `/Malware/MaliciousCodeEmbedded` | 恶意代码内嵌网页事件 | 恶意代码内嵌网页事件：在访问被嵌入恶意代码而受到污损的网页时，该恶意代码在访问该网页的计算机系统中安装恶意软件； | | `/Malware/MaliciousCodeHostingSite` | 恶意代码宿主站点事件 | 恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码； | | `/Malware/Ransomware` | 勒索软件事件 | 勒索软件事件:采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用户索取赎金； | | `/Malware/Miner` | 挖矿病毒事件 | 挖矿病毒事件：以获得数字加密货币为目的，控制他人的计算机并植入挖矿病毒程序完成大量运算 | | `/Malware/BlendedAttack` | 混合攻击程序事件 | 混合攻击程序事件:利用多种方法传播和利用多种恶意程序.例如，一个计算机病毒在侵入计算机系统后在系统中安装木马程序； | | `/Malware/Others` | 其他恶意程序事件 | 其他恶意程序事件:不在以上子类之中的恶意程序事件。 | | `/NetAttack/Scan` | 网络扫描探测事件 | 网络扫描探测事件：利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息； | | `/NetAttack/Phishing` | 网络钓鱼事件 | 网络钓鱼事件：利用欺诈性网络技术诱使用户泄露重要数据或个人信息； | | `/NetAttack/VulnExploit` | 漏洞利用事件 | 漏洞利用事件：通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击； | | `/NetAttack/BackdoorExploit` | 后门利用事件 | 后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块、程序等，非法获取网络管理权限； | | `/NetAttack/BackdoorImplantation` | 后门植入事件 | 后门植入事件：非法在网络中创建能够持续获取其管理权限的后门； | | `/NetAttack/Credential` | 凭据攻击事件 | 凭据攻击事件：破解口令.解析登录口令或凭据等； | | `/NetAttack/SignalInterference` | 信号干扰事件 | 信号干扰事件：通过技术手段阻碍有线或无线信号在网络中正常传播； | | `/NetAttack/DOS` | 拒绝服务事件 | 拒绝服务事件：通过非正常使用网络资源（诸如CPU、内存、磁盘空间或网络带宽）影响或破坏网络可用性，例如：DDOS等； | | `/NetAttack/WebTempering` | 网页篡改事件 | 网页篡改事件:通过恶意破坏或更改网页内容影响网站声誉或破坏网页及网站可用性； | | `/NetAttack/DomainHijack` | 域名劫持事件 | 域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址（网站）； | | `/NetAttack/DomainRedirect` | 域名转嫁事件 | 域名转嫁事件:把自己的域名指向一个不属于自己的IP地址，导致针对该域名的攻击都将被引向所指向的IP地址； | | `/NetAttack/DNSPoisoning` | DNS污染事件 | DNS污染事件:利用刻意制造或无意制造的DNS数据包，把域名指向不正确的IP地址； | | `/NetAttack/WLANHijack` | WLAN劫持事件 | WLAN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限； | | `/NetAttack/TrafficHijack` | 流量劫持事件 | 流量劫持事件：通过恶意诱导或非法强制用户访问特定网络资源造成用户流量损失； | | `/NetAttack/BGPHijack` | BGP劫持攻击事件 | BGP劫持攻击事件:通过BGP恶意操纵网络路由路径； | | `/NetAttack/BroadcastFraud` | 广播欺诈事件 | 广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息； | | `/NetAttack/CompromisedHost` | 失陷主机事件 | 失陷主机事件：攻击者获得某主机的控制权后.能以该主机为跳板继续攻击组织内网其他主机； | | `/NetAttack/SupplyChain` | 供应链攻击事件 | 供应链攻击事件:通过利用供应链管理中存在的脆弱性，感染合法应用来分发恶意程序： | | `/NetAttack/APT` | APT事件 | APT事件：通过对特定对象展开持续有效的攻击活动.这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击 | | `/NetAttack/Others` | 其他网络攻击事件 | 其他网络攻击事件:不在以上子类之中的网络攻击事件。 | | `/DataSec/DataTampering` | 数据篡改事件 | 数据篡改事件:未经授权接触或修改数据； | | `/DataSec/DataFake` | 数据假冒事件 | 数据假冒事件：非法或未经许可使用、伪造数据； | | `/DataSec/DataLeakage` | 数据泄露事件 | 数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露： | | `/DataSec/SocialEngineering` | 社会工程事件 | 社会工程事件:通过非技术手段（如心理学、话术等）诱导他人泄露数据或执行行动； | | `/DataSec/DataTheft` | 数据窃取事件 | 数据窃取事件:未经授权利用技术手段（例如窃听、间谍等）偷窃数据； | | `/DataSec/DataIntercept` | 数据拦截事件 | 数据拦截事件:在数据到达目标接收者之前非法捕获数据； | | `/DataSec/PositionDetection` | 位置检测事件 | 位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置； | | `/DataSec/DataPoisoning` | 数据投毒事件 | 训练数据的概率分布，导致模型在某些特定条件下产生分类或聚类错误； | | `/DataSec/DataAbuse` | 数据滥用事件 | 数据滥用事件:无意或恶意滥用数据 | | `/DataSec/PrivacyInvasion` | 隐私侵犯事件 | 隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息； | | `/DataSec/DataLoss` | 数据损失事件 | 数据损失事件：因误操作、人为蓄意或软硬件缺陷等因素导致数据损失； | | `/DataSec/Others` | 其他数据安全事件 | 其他数据安全事件:不在以上子类之中的数据安全事件。 | | `/InformationSec/Reactionary` | 反动宣传事件 | 反动宣传事件：利用网络传播煽动颠覆国家政权、推翻社会主义制度.煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息： | | `/InformationSec/Violent` | 暴恐宣扬事件 | 暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义，煽动民族仇恨、民族歧视的信息，引起社会恐慌和动乱； | | `/InformationSec/Porn` | 色情传播事件 | 色情传播事件：利用网络传播违背社会伦理道德的淫秽色情信息； | | `/InformationSec/FalseInformation` | 虚假信息传播事件 | 虚假信息传播事件：利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序.造成负面影响； | | `/InformationSec/RightsInfringement` | 权益侵害事件 | 权益侵害事件：利用网络传播的信息侵害了社会组织或公民的合法权益； | | `/InformationSec/InformationSpamming` | 信息滥发事件 | 信息滥发事件:利用网络传播未经接收者准许的信息，例如：垃圾邮件等； | | `/InformationSec/NetworkFraud` | 网络欺诈事件 | 网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获取信息或钱财； | | `/InformationSec/Others` | 其他信息内容安全事件 | 其他信息内容安全事件：不在以上子类之中的信息内容安全事件。 | | `/DevOps/TechnicalFailure` | 技术故障事件 | 技术故障事件：网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障，例如：硬件故障、软件故障、过载等； | | `/DevOps/InfrastructureFailure` | 配套设施故障事件 | 配套设施故障事件:支撑网络运行的配套设施发生故障.例如：电力供应故障、照明系统故障、温湿度控制系统故障等； | | `/DevOps/PhysicalDamage` | 物理损害事件 | 物理损害事件：故意或意外的物理行动造成网络环境或网络设备损坏.例如：失火、漏水、静电、设备毁坏或丢失等； | | `/DevOps/Radiation` | 辐射干扰事件 | 辐射干扰事件：因辐射产生干扰影响网络正常运行.例如：电磁辐射、电磁脉冲、电子干扰、电压波动、热辐射等； | | `/DevOps/Others` | 其他设备设施故障事件 | 其他设备设施故障事件：不在以上子类之中的设备设施故障事件。 | | `/ViolateOp/PrivilegeAbuse` | 权限滥用事件 | 权限滥用事件：由于网络服务端功能开放过多或权限限制不严格，导致攻击者通过直接或间接调用权限的方式进行攻击； | | `/ViolateOp/PrivilegeEscalation` | 权限伪造事件 | 权限伪造事件：为了欺骗制造虚假权限； | | `/ViolateOp/BehaviorDenial` | 行为抵赖事件 | 行为抵赖事件:用户否认其有害行为； | | `/ViolateOp/Deliberate` | 故意违规操作事件 | 故意违规操作事件：故意执行非法操作； | | `/ViolateOp/Misoperation` | 误操作事件 | 误操作事件:无意地执行错误操作； | | `/ViolateOp/PersonnelAvailability` | 人员可用性破坏事件 | 人员可用性破坏事件:人力资源受损，导致人员缺失或缺席； | | `/ViolateOp/UnauthResource` | 资源未授权使用事件 | 资源未授权使用事件:未经授权访问资源； | | `/ViolateOp/Copyright` | 版权违反事件 | 版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料； | | `/ViolateOp/Others` | 其他违规操作事件 | 其他违规操作事件：不在以上子类之中的违规操作事件。 | | `/SafetyHazard/NetVuln` | 网络漏洞事件 | 网络漏洞事件：因操作系统、应用程序或安全协议开发及设计过程中，对安全性考虑不充分而出现安全隐患； | | `/SafetyHazard/NetConfigFlaw` | 网络配置缺陷事件 | 网络配置合规缺陷事件：由于软硬件安全配置不合理或缺省配置，不符合网络安全要求而产生安全缺陷或隐患； | | `/SafetyHazard/Others` | 其他安全隐患事件 | 其他安全隐患事件:不在以上子类之中的安全隐患事件。 | | `/AbnormalBehavior/Access` | 访问异常事件 | 访问异常事件：因网络软硬件运行环境发生变化导致不能提供服务； | | `/AbnormalBehavior/Traffic` | 流量异常事件 | 流量异常事件：网络流量行为模式偏离正常基线； | | `/AbnormalBehavior/Others` | 其他异常行为事件 | 其他异常行为事件:不在以上子类之中的异常行为事件。 | | `/Majeure/NaturalDisaster` | 自然灾害事件 | 自然灾害事件：大自然的极端现象导致信息和信息系统受损，例如：地震、火山、洪水、暴风、闪电、海啸、崩塌等； | | `/Majeure/IncidentDisaster` | 事故灾难事件 | 事故灾难事件：具有灾难性后果的事故导致信息和信息系统受损，例如：公共设施和设备事故、环境污染事故等 | | `/Majeure/PublicHealth` | 公共卫生事件 | 公共卫生事件：传染病疫情等导致信息和信息系统受损； | | `/Majeure/SocialSec` | 社会安全事件 | 社会安全事件：危害国家和社会的突发性群体性事件导致信息和信息系统受损.例如：恐怖袭击事件等； | | `/Majeure/Others` | 其他不可抗力事件 | 其他不可抗力事件：不在以上子类之中的不可抗力事件。 | | `/Others/Others` | 其他事件 | 其他事件指未归为上述分类的网络安全事件。 |  ---  ## SSH客户端版本 (`sshClientVersion`)  - **字段名称**: SSH客户端版本 - **字段ID**: `sshClientVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: SSH客户端使用的协议版本标识，通常表示SSH协议的主版本号。  ---  ## SSH服务器版本 (`sshServerVersion`)  - **字段名称**: SSH服务器版本 - **字段ID**: `sshServerVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示SSH服务器在协议握手过程中声明的协议版本标识，用于标识服务器支持的SSH协议版本。  ---  ## 文件权限 (`filePermissions`)  - **字段名称**: 文件权限 - **字段ID**: `filePermissions` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件或目录的访问权限设置，采用类Unix系统的符号表示法，通常为9位字符，分别代表所有者、所属组和其他用户的读、写、执行权限。常见格式为类似`rw-r--r--`的字符串，其中`r`表示读，`w`表示写，`x`表示执行，`-`表示无对应权限。  ---  ## 文件所有者 (`fileOwner`)  - **字段名称**: 文件所有者 - **字段ID**: `fileOwner` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件的所有者用户名称，格式为字符串类型，通常为操作系统中的有效用户名，支持字母、数字、下划线等常见字符。  ---  ## 文件所属组 (`fileGroup`)  - **字段名称**: 文件所属组 - **字段ID**: `fileGroup` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件或目录的所有权归属组，表示文件在系统中的组权限归属。  ---  ## CPU型号 (`cpuModel`)  - **字段名称**: CPU型号 - **字段ID**: `cpuModel` - **数据类型**: string - **校验类型**: string_t - **描述**: CPU型号，表示中央处理器的具体型号规格，包含厂商、架构和型号等信息。  ---  ## GPU型号 (`gpuModel`)  - **字段名称**: GPU型号 - **字段ID**: `gpuModel` - **数据类型**: string - **校验类型**: string_t - **描述**: 图形处理器型号标识，包含厂商、架构和计算能力规格信息。该字段为字符串类型，通常为制造商定义的特定型号名称。  ---  ## 镜像名称 (`imageName`)  - **字段名称**: 镜像名称 - **字段ID**: `imageName` - **数据类型**: string - **校验类型**: string_t - **描述**: 镜像名称，指容器运行时使用的完整镜像标识，需包含仓库地址、镜像名称及标签三部分。格式要求为字符串，通常遵循`[仓库地址/]镜像名:标签`的规范。  ---  ## 命名空间 (`namespace`)  - **字段名称**: 命名空间 - **字段ID**: `namespace` - **数据类型**: string - **校验类型**: string_t - **描述**: 命名空间是Kubernetes集群中的逻辑隔离单元，用于资源分组和访问控制。该字段为字符串类型，其值需遵循Kubernetes命名空间命名规范。  ---  ## CPU限制 (`cpuLimit`)  - **字段名称**: CPU限制 - **字段ID**: `cpuLimit` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示容器可使用的CPU资源上限，支持使用mCPU单位或核数两种格式进行表示。格式要求：若以mCPU为单位，则数值后需加小写字母'm'，例如'500m'表示500毫核（即0.5核）；若以核数为单位，则可直接使用整数或小数，例如'0.5'或'1'。该值为字符串类型。  ---  ## 存储限制 (`storageLimit`)  - **字段名称**: 存储限制 - **字段ID**: `storageLimit` - **数据类型**: string - **校验类型**: string_t - **描述**: 可使用的存储资源上限，需指定数值和单位，支持Gi、Ti等单位，例如10Gi表示10吉字节。格式要求为数字后接单位标识，单位需大写，如Gi、Ti，数值需为正数。  ---  ## Pod名称 (`podName`)  - **字段名称**: Pod名称 - **字段ID**: `podName` - **数据类型**: string - **校验类型**: string_t - **描述**: Pod名称是Kubernetes集群中Pod资源的唯一标识符。该字段为字符串类型，其命名需遵循Kubernetes命名规范。  ---  ## 组件名称 (`componentName`)  - **字段名称**: 组件名称 - **字段ID**: `componentName` - **数据类型**: string - **校验类型**: string_t - **描述**: 组件名称是系统内部组件的功能名称标识，用于唯一标识一个软件模块或功能单元。格式要求：必须为有效的字符串，通常采用小写字母、数字和连字符（-）的组合，遵循常见的命名约定（如Maven artifactId或软件包名称）。  ---  ## 端口状态 (`portStatus`)  - **字段名称**: 端口状态 - **字段ID**: `portStatus` - **数据类型**: enum - **校验类型**: string_t - **描述**: 端口状态表示网络端口的当前运行状态。该字段为枚举类型，其值必须为预定义的字符串，可选范围包括：open (开放)、closed (关闭)、filtered (过滤)、unfiltered (未过滤)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `open` | 开放 | 端口正在监听连接请求 | | `closed` | 关闭 | 端口存在但未在监听 | | `filtered` | 过滤 | 端口状态被防火墙过滤无法确定 | | `unfiltered` | 未过滤 | 端口可访问但状态未知 |  ---  ## 用户登录时间 (`userLoginHours`)  - **字段名称**: 用户登录时间 - **字段ID**: `userLoginHours` - **数据类型**: string - **校验类型**: string_t - **描述**: 用户账户的登录时间限制，定义了用户可以登录系统的时间范围。  ---  ## 原始网页URL (`originalPageUrl`)  - **字段名称**: 原始网页URL - **字段ID**: `originalPageUrl` - **数据类型**: string - **校验类型**: string_t - **描述**: 原始网页URL是指篡改前合法网页的URL地址，用于标识网页篡改事件发生前的原始访问路径。该字段格式必须符合标准的URL规范，通常包含协议（如http或https）、域名或IP地址、端口（可选）、路径及查询参数（可选）等部分。  ---  ## 被篡改网页URL (`tamperedPageUrl`)  - **字段名称**: 被篡改网页URL - **字段ID**: `tamperedPageUrl` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段记录未经授权修改后的受损网页URL地址，格式需符合标准URL规范，通常包含协议类型（如http、https）、域名和路径等组成部分。  ---  ## 资产ID (`assetId`)  - **字段名称**: 资产ID - **字段ID**: `assetId` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产ID是系统中资产的全局唯一标识符，格式为字符串。  ---  ## 应用名称 (`appName`)  - **字段名称**: 应用名称 - **字段ID**: `appName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示被访问或引用的应用名称，用于标识产生该日志的应用程序或服务。其值为字符串类型，通常为应用的自定义名称或标识符。  ---  ## 账号名 (`accountName`)  - **字段名称**: 账号名 - **字段ID**: `accountName` - **数据类型**: string - **校验类型**: string_t - **描述**: 账号名是系统中用户账号的可读标识。格式为字符串，通常由字母、数字及部分特殊字符（如下划线、点号）组成。  ---  ## 资产名称 (`assetName`)  - **字段名称**: 资产名称 - **字段ID**: `assetName` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产名称，用于标识资产的易读名称。  ---  ## 资产标签 (`assetTag`)  - **字段名称**: 资产标签 - **字段ID**: `assetTag` - **数据类型**: array - **校验类型**: string_t - **描述**: 资产标签，用于标识端口扫描后分配给资产的服务识别标签。字段类型为字符串数组，每个标签应为非空字符串。  ---  ## 单位ID (`unitId`)  - **字段名称**: 单位ID - **字段ID**: `unitId` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所属单位的唯一标识符。  ---  ## 单位名称 (`unitName`)  - **字段名称**: 单位名称 - **字段ID**: `unitName` - **数据类型**: string - **校验类型**: string_t - **描述**: 单位名称，表示资产所属单位的名称。  ---  ## 单位类型 (`unitType`)  - **字段名称**: 单位类型 - **字段ID**: `unitType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 单位类型表示资产所属组织实体的行业与性质分类，用于资产归属管理、安全策略制定及合规性审计。该字段为枚举类型，其值必须为预定义的可选字符串之一，例如：party_committee (党委机关), large_state_owned_enterprise (大型国企), company (企业), public_institution (事业单位), individual (个人) 等可选值。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `party_committee` | 党委机关 | 中国共产党各级委员会的办事机构，属于政治领导机关。 | | `large_state_owned_enterprise` | 大型国企 | 由国务院国有资产监督管理委员会或地方政府监管的大型国有独资或控股企业。 | | `company` | 企业 | 以营利为目的，从事商业活动的法人或非法人组织，包括私营企业、外商投资企业等。 | | `public_institution` | 事业单位 | 由国家行政机关举办，从事教育、科技、文化、卫生等活动的社会服务组织，具有法人资格。 | | `individual` | 个人 | 以自然人身份作为资产所有者或使用者，不属于任何组织机构。 | | `government` | 政府机关 | 国家各级行政机关，包括国务院各部委、地方政府及其组成部门，行使行政管理职能。 | | `private_non_enterprise` | 民办非企业 | 企业事业单位、社会团体和其他社会力量以及公民个人利用非国有资产举办的，从事非营利性社会服务活动的社会组织。 | | `social_organization` | 社会团体 | 中国公民自愿组成，为实现会员共同意愿，按照其章程开展活动的非营利性社会组织，需在民政部门登记。 | | `law_firm` | 律师执业机构 | 依法设立，为当事人提供法律服务的机构，主要包括律师事务所。 | | `mass_organization` | 群团组织 | 人民团体和群众团体的统称，是中国共产党领导下的特定社会群体组织，如工会、共青团、妇联等。 | | `foundation` | 基金会 | 利用自然人、法人或者其他组织捐赠的财产，以从事公益事业为目的而成立的非营利性法人。 | | `religious_group` | 宗教团体 | 由信教公民自愿组成，为团结信教公民和开展宗教活动而依法成立的社团组织。 | | `defense_agency` | 国防机构 | 负责国家防务和武装力量建设的机构，如中央军事委员会各部门及下属单位。 | | `forensic_institution` | 司法鉴定机构 | 经司法行政机关审核登记，取得《司法鉴定许可证》，在诉讼活动中提供司法鉴定服务的法人或其他组织。 | | `medical_institution` | 医疗机构 | 依法成立，从事疾病诊断、治疗活动的医院、卫生院、诊所等机构。 | | `overseas_institution` | 境外机构 | 在中国大陆以外地区（包括港澳台及外国）合法注册或设立的机构实体。 | | `foreign_cultural_center` | 外国在华文化中心 | 外国政府在中国境内设立，旨在促进两国文化交流与合作的非营利性机构。 | | `notary_organization` | 公证机构 | 依法设立，不以营利为目的，依法独立行使公证职能、承担民事责任的证明机构。 | | `impartial_organization` | 公正机构 | 泛指从事独立、客观的评估、认证、仲裁等活动的第三方机构。 | | `collective_economy` | 集体经济 | 生产资料归部分劳动者共同所有的公有制经济形式，如农村集体经济组织、城镇集体企业等。 | | `commission_bureau` | 委办局 | 对地方政府中委员会、办公室、局的统称，是承担具体行政管理职能的工作部门。 | | `district_county` | 区县 | 作为一级行政区划和行政管理层级的市辖区或县的统称，具有完整的政府职能。 | | `other` | 其他 | 不属于上述类别的其他类型组织机构。 |  ---  ## 所属行业 (`industry`)  - **字段名称**: 所属行业 - **字段ID**: `industry` - **数据类型**: enum - **校验类型**: string_t - **描述**: 资产所属的国民经济行业分类，用于标识资产所在领域的业务性质、监管环境和安全要求。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `education` | 教育 | 从事各级各类教育、培训及相关支持服务的行业。 | | `government` | 政府 | 国家各级权力机关、行政机关、司法机关等履行公共管理与服务职能的机构。 | | `medical` | 医疗 | 从事疾病诊断、治疗、预防、康复以及公共卫生服务的行业。 | | `postal` | 邮政 | 从事信件、包裹等邮件寄递以及邮政金融、快递物流服务的行业。 | | `finance` | 金融 | 从事资金融通、信用活动及相关金融服务的行业总称，包括银行、证券、保险等。 | | `transportation` | 交通 | 从事旅客和货物运输、仓储及交通辅助服务的行业。 | | `energy` | 能源 | 从事煤炭、石油、天然气、电力、新能源等能源资源开采、生产与供应的行业。 | | `broadcasting` | 广电 | 从事广播、电视节目制作、播出、传输以及相关网络视听服务的行业。 | | `telecommunications` | 电信 | 从事固定及移动通信网络运营、互联网接入及信息传送服务的行业。 | | `water_conservancy` | 水利 | 从事防洪、灌溉、供水、水力发电、水土保持等水利工程建设与管理的行业。 | | `commercial_internet` | 经营性公众互联网 | 指向社会公众提供互联网信息服务的营利性企业。 | | `railway` | 铁路 | 从事国家铁路、地方铁路及城市轨道交通的运营、建设与管理的行业。 | | `banking` | 银行 | 从事吸收存款、发放贷款、办理结算等业务的金融中介机构。 | | `customs` | 海关 | 负责对进出境货物、物品及运输工具进行监管、征税、缉私的国家行政机关。 | | `taxation` | 税务 | 负责税收征收、管理和稽查的国家行政机关。 | | `civil_aviation` | 民航 | 从事民用航空运输、机场服务、空中交通管制及航空保障的行业。 | | `electric_power` | 电力行业 | 从事电力生产（发电）、输送（输配电）和供应的行业。 | | `securities` | 证券行业 | 从事证券发行、交易、投资咨询、资产管理等业务的金融行业。 | | `insurance` | 保险行业 | 从事各类保险业务经营，通过契约形式集中资金并提供风险保障的金融行业。 | | `defense_technology` | 国防科技工业 | 从事武器装备科研、生产及相关配套服务，服务于国防建设的战略性产业。 | | `public_security` | 公安 | 承担维护国家安全和社会治安秩序、打击犯罪等职能的行政机关。 | | `social_security` | 人事劳动和社会保障 | 负责人力资源管理、就业服务、劳动关系协调及社会保险经办管理的行政机关。 | | `public_finance` | 财政 | 负责政府收支、财税政策、国有资产管理等宏观经济管理的行政机关。 | | `audit` | 审计 | 依法对政府及企事业单位财政、财务收支的真实、合法和效益进行独立监督的行政机关。 | | `commerce_trade` | 商业贸易 | 从事商品批发、零售、进出口贸易及相关服务的行业。 | | `land_resources` | 国土资源 | 负责土地、矿产、海洋等自然资源规划、管理、保护与合理利用的行政机关。 | | `statistics` | 统计 | 负责组织实施国民经济和社会发展情况统计调查、分析与发布的行政机关。 | | `culture` | 文化 | 从事新闻出版、广播影视、文化艺术、文物保护等文化事业与产业的领域。 | | `agriculture` | 农业 | 从事种植业、林业、畜牧业、渔业等农业生产及相关服务的行业。 | | `diplomacy` | 外交 | 负责处理国家对外关系、维护国家主权与利益、开展国际交流与合作的行政机关。 | | `development_reform` | 发展改革 | 负责拟定并组织实施国民经济和社会发展战略、规划，推进经济体制改革的宏观调控部门。 | | `science_technology` | 科技行业 | 从事科学研究、技术开发、成果转化及高新技术产业化的领域。 | | `publicity` | 宣传 | 负责意识形态、新闻出版、思想道德建设及精神文明创建的职能领域。 | | `quality_supervision` | 质量监督检验检疫 | 负责产品质量、计量、标准化、认证认可及出入境检验检疫监督管理的行政机关。 | | `construction` | 建筑 | 从事房屋建筑、土木工程、建筑安装及装饰装修等工程活动的行业。 | | `judiciary` | 司法 | 负责司法行政工作，包括监狱管理、律师公证、法律援助、普法宣传等的行政机关。 | | `social_insurance` | 社保 | 负责养老保险、医疗保险、失业保险、工伤保险、生育保险等社会保险经办管理的机构。 | | `public_utilities` | 公共事业 | 面向社会提供自来水、燃气、供热、公共交通等基础性、公益性服务的行业。 | | `environmental_protection` | 环境保护 | 负责环境污染防治、生态保护、环境监测与执法等环境保护管理的行政机关。 | | `information_services` | 信息服务 | 从事信息技术咨询、软件开发、数据处理、系统集成及互联网平台服务等的行业。 | | `industry_commerce` | 工商行政管理 | 负责市场主体登记注册、市场监管、反垄断、消费者权益保护等市场监督管理的行政机关。 | | `other` | 其他 | 未包含在上述分类中的其他行业或领域。 |  ---  ## 资产别名 (`assetAlias`)  - **字段名称**: 资产别名 - **字段ID**: `assetAlias` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产别名，用于对资产进行自定义命名，便于查看和识别。  ---  ## 资产来源 (`assetSource`)  - **字段名称**: 资产来源 - **字段ID**: `assetSource` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产来源，表示资产的获取途径，例如发现资产的设备IP地址或手工录入的操作人员名称。  ---  ## 组织架构 (`orgId`)  - **字段名称**: 组织架构 - **字段ID**: `orgId` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示资产所属的组织架构标识，格式为字符串类型，通常由系统自动生成或分配，用于唯一标识组织架构。  ---  ## 组织架构名称 (`orgName`)  - **字段名称**: 组织架构名称 - **字段ID**: `orgName` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所属组织架构的名称，应为字符串类型，表示组织架构的完整名称。  ---  ## 使用人 (`assetUser`)  - **字段名称**: 使用人 - **字段ID**: `assetUser` - **数据类型**: string - **校验类型**: string_t - **描述**: 使用资产的人员姓名，格式为字符串类型。  ---  ## 更新时间 (`updateTime`)  - **字段名称**: 更新时间 - **字段ID**: `updateTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 数据信息最后更新的时间戳，采用标准时间格式，格式要求为：yyyy-mm-dd HH:mm:ss。  ---  ## 归属资产组 (`assetGroup`)  - **字段名称**: 归属资产组 - **字段ID**: `assetGroup` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示资产所属的组织组或部门名称。  ---  ## 资产具体地理位置 (`assetGeoRegion`)  - **字段名称**: 资产具体地理位置 - **字段ID**: `assetGeoRegion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示资产实际所在的物理地理位置区域，用于记录资产的具体地理位置信息。格式为字符串类型，使用标准的地理位置描述格式，如\"省/市/区\"或\"国家/省/市\"的层级结构。  ---  ## 资产物理地址 (`assetGeoAddress`)  - **字段名称**: 资产物理地址 - **字段ID**: `assetGeoAddress` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所处的详细物理地址，包括街道、楼宇、楼层及房间号等信息。  ---  ## 是否国产化 (`isDomestic`)  - **字段名称**: 是否国产化 - **字段ID**: `isDomestic` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段用于标识资产是否属于国产化设备或在国内采购。  ---  ## 单位角色 (`unitRole`)  - **字段名称**: 单位角色 - **字段ID**: `unitRole` - **数据类型**: enum - **校验类型**: string_t - **描述**: 资产所属单位的功能角色分类。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `regulatory_unit` | 监管单位 | 在管理体系内承担主要监管、指导或审批职责的上级或主管单位。 | | `collaborative_unit` | 协同单位 | 在特定事务或项目中与主管单位紧密配合，承担协同执行或联合管理职责的相关单位。 | | `key_unit` | 重点单位 | 因业务重要性、系统关键性或安全风险较高等因素，需要被重点管理和保障的核心单位。 | | `general_unit` | 普通单位 | 在管理体系内遵循常规管理要求，承担标准安全责任与义务的一般性单位。 |  ---  ## 脚本内容 (`scriptContent`)  - **字段名称**: 脚本内容 - **字段ID**: `scriptContent` - **数据类型**: string - **校验类型**: string_t - **描述**: 脚本文件的实际内容，包括可执行代码或命令。内容为字符串格式，应包含有效的脚本语言语法或系统命令。  ---  ## 管理部门（单位）名称 (`assetDepartmentName`)  - **字段名称**: 管理部门（单位）名称 - **字段ID**: `assetDepartmentName` - **数据类型**: string - **校验类型**: string_t - **描述**: 管理部门（单位）名称，指负责管理资产的部门或单位的全称。  ---  ## 其他 (`otherInfo`)  - **字段名称**: 其他 - **字段ID**: `otherInfo` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于记录与资产或事件相关的其他补充信息。  ---  ## 资产描述 (`assetDescription`)  - **字段名称**: 资产描述 - **字段ID**: `assetDescription` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产描述是对资产的详细说明，包括但不限于资产类型、主要用途、所属部门、使用人及其他相关信息。此字段为字符串类型，内容应简明扼要，准确反映资产特征和状态。  ---  ## 资产所处国家 (`assetGeoCountry`)  - **字段名称**: 资产所处国家 - **字段ID**: `assetGeoCountry` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产当前所在的国家名称，使用ISO 3166-1标准中的国家名称（例如：中国、美国）。取值应为完整且标准的国家名称，避免使用简称或代码。  ---  ## 资产所处省份 (`assetGeoProvince`)  - **字段名称**: 资产所处省份 - **字段ID**: `assetGeoProvince` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产当前所在的省份名称，应遵循国家行政区划标准命名。  ---  ## 资产所在区县代码 (`assetGeoCountyCode`)  - **字段名称**: 资产所在区县代码 - **字段ID**: `assetGeoCountyCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产物理位置区县的行政区划代码，遵循国家行政区划编码标准。  ---  ## 资产所在区县 (`assetGeoCounty`)  - **字段名称**: 资产所在区县 - **字段ID**: `assetGeoCounty` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产物理位置所处的区县全称。应采用标准的行政区划名称，避免使用简称或俗称。  ---  ## 新文件名 (`newFilename`)  - **字段名称**: 新文件名 - **字段ID**: `newFilename` - **数据类型**: string - **校验类型**: string_t - **描述**: 新文件名指经过重命名操作后的文件名称，包含完整的文件路径信息。该字段为字符串类型，应遵循操作系统文件路径的格式规范，通常包含目录路径和文件名，例如以正斜杠（/）开头的Unix/Linux风格路径或包含盘符和反斜杠（\\）的Windows风格路径。  ---  ## 用户工作站 (`userWorkstations`)  - **字段名称**: 用户工作站 - **字段ID**: `userWorkstations` - **数据类型**: string - **校验类型**: string_t - **描述**: 用户可从中登录的计算机的NetBIOS或DNS名称列表，以逗号分隔。格式要求：多个计算机名称之间使用英文逗号分隔，每个名称应为有效的NetBIOS名称或DNS主机名。  ---  ## 文件描述 (`fileDescription`)  - **字段名称**: 文件描述 - **字段ID**: `fileDescription` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件描述字段用于记录文件或进程的功能或用途信息。  ---  ## 文件版本 (`fileVersion`)  - **字段名称**: 文件版本 - **字段ID**: `fileVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件版本号，通常用于标识软件的更新或补丁版本。格式通常为由点分隔的数字序列，例如“主版本号.次版本号.修订号.构建号”。  ---  ## 目标信息 (`destInfo`)  - **字段名称**: 目标信息 - **字段ID**: `destInfo` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标信息，指尝试登录的目标计算机或服务的具体标识，例如主机名、IP地址或服务名称。格式要求：通常为字符串格式，可以是有效的域名、IPv4地址、IPv6地址或主机名。  ---  ## 目标登录GUID (`destLoginGuid`)  - **字段名称**: 目标登录GUID - **字段ID**: `destLoginGuid` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标系统上特定登录会话或登录请求的唯一标识符，通常为GUID（全局唯一标识符）格式。  ---  ## 目标服务名称 (`destServiceName`)  - **字段名称**: 目标服务名称 - **字段ID**: `destServiceName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示被访问或引用的目标服务名称，例如主机名、数据库实例名或应用服务标识。  ---  ## 资源URI (`resourceUri`)  - **字段名称**: 资源URI - **字段ID**: `resourceUri` - **数据类型**: string - **校验类型**: string_t - **描述**: 资源URI字段用于标识特定资源的统一资源标识符，其值应符合URI标准格式规范，通常以协议类型开头（如http、https、ftp等），后跟资源路径。  ---  ## 资产分类 (`assetCategory`)  - **字段名称**: 资产分类 - **字段ID**: `assetCategory` - **数据类型**: enum - **校验类型**: string_t - **描述**: 资产分类是指从资产管理角度对资产进行的分类。该字段为枚举类型，取值范围包括：database (数据库)、data_table (数据表)、data_field (数据字段)、account (账号)、api (API) 等预设可选值。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `database` | 数据库 | 结构化数据存储系统，如MySQL、Oracle等关系型数据库或MongoDB等非关系型数据库。 | | `data_table` | 数据表 | 数据库中的核心存储单元，用于存储具有相同结构的数据记录集合。 | | `data_field` | 数据字段 | 数据表或数据结构中的最小数据单元，用于存储特定类型的属性值。 | | `account` | 账号 | 用于访问系统、应用或服务的数字身份凭证，包括用户账号、服务账号等。 | | `api` | API | 应用程序编程接口，提供标准化方式供软件组件之间进行交互和数据交换。 | | `file` | 文件 | 存储在文件系统中的数据集合，可以是文档、可执行程序、配置文件或多媒体内容等。 | | `website` | Web网站 | 通过HTTP/HTTPS协议提供访问的网页集合与应用，是常见的对外服务与攻击面。 | | `mobile_app` | APP | 移动设备应用程序，通常指运行在iOS或Android等移动操作系统上的客户端软件。 | | `official_account` | 公众号 | 在微信等社交媒体平台上运营的官方账户，用于发布信息、提供服务并与用户互动。 | | `mini_program` | 小程序 | 无需下载安装即可在超级应用（如微信、支付宝）内使用的轻量级应用程序。 | | `terminal` | 终端 | 用户直接操作的计算设备端点，包括个人电脑、ATM机、信息终端等。 | | `device` | 设备 | 广义的硬件设备，包括网络设备、物联网设备、办公设备等物理实体。 | | `server` | 服务器 | 部署在本地数据中心的物理计算设备，用于提供网络服务或运行企业应用。 | | `virtual_machine` | 虚拟机 | 通过虚拟化技术，在物理服务器上模拟出的完整、独立的计算机系统环境。 | | `container` | 容器 | 操作系统级别的虚拟化技术，用于打包、分发和运行应用及其依赖环境。 | | `system_software` | 系统软件 | 为计算机运行提供基础服务的软件，如操作系统、数据库管理系统、中间件等。 | | `application_software` | 应用软件 | 为满足特定用途或解决特定问题而设计的软件，如办公软件、ERP、CRM系统等。 | | `domain` | 域名 | 互联网上的地址标识，用于定位网站和服务，是网络资产的关键入口点。 | | `ip_address` | IP地址 | 互联网协议地址，用于在网络中唯一标识和定位一个设备或接口。 | | `port` | 端口 | 网络通信中的逻辑端点，与IP地址结合，用于区分同一设备上的不同服务。 | | `certificate` | 证书 | 数字证书，用于实现身份认证、数据加密和通信安全的电子凭证。 | | `cloud_server` | 云服务器 | 由云服务商（如AWS EC2、阿里云ECS）提供的、作为服务管理的弹性计算实例。 | | `cloud_storage` | 云存储 | 由云服务商提供的对象、块或文件存储服务，如AWS S3、阿里云OSS。 | | `other` | 其他 | 未包含在上述分类中的其他类型资产。 |  ---  ## 资产地理纬度 (`assetGeoLatitude`)  - **字段名称**: 资产地理纬度 - **字段ID**: `assetGeoLatitude` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所在位置的纬度坐标，采用十进制表示，符合WGS84地理坐标系标准。格式要求为浮点数字符串，表示北纬或南纬的度数，取值范围为-90.000000至90.000000。  ---  ## 资产地理经度 (`assetGeoLongitude`)  - **字段名称**: 资产地理经度 - **字段ID**: `assetGeoLongitude` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所在位置的经度坐标，采用十进制表示，遵循WGS84地理坐标系标准。格式要求为字符串类型，表示范围为-180.000000至180.000000之间的浮点数。  ---  ## 资产使用人联系手机号 (`assetUserPhone`)  - **字段名称**: 资产使用人联系手机号 - **字段ID**: `assetUserPhone` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产使用人的联系手机号，用于安全联络，必须符合手机号码格式规范。  ---  ## 安全域 (`securityZone`)  - **字段名称**: 安全域 - **字段ID**: `securityZone` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示基于安全目的划分到的逻辑或物理网络区段。  ---  ## 产品厂商名称 (`productVendorName`)  - **字段名称**: 产品厂商名称 - **字段ID**: `productVendorName` - **数据类型**: string - **校验类型**: string_t - **描述**: 产品厂商名称字段用于标识安全产品厂商的官方全称。格式为字符串，无特定字符集限制，但应使用厂商在工商注册或官方宣传中使用的标准名称，以确保一致性和准确性。  ---  ## 设备产品名称 (`deviceSendProductName`)  - **字段名称**: 设备产品名称 - **字段ID**: `deviceSendProductName` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备产品名称用于标识生成日志的软件或硬件产品的官方标准名称。格式为字符串，需使用明确、规范的官方产品名称。  ---  ## 设备子类型ID (`deviceAssetSubTypeId`)  - **字段名称**: 设备子类型ID - **字段ID**: `deviceAssetSubTypeId` - **数据类型**: enum - **校验类型**: string_t - **描述**: 设备子类型ID是设备类型子分类的唯一数字标识符，用于标识具体的设备子类型。该字段为枚举类型，取值应在系统定义的枚举值范围内。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `1` | Windows | Microsoft Windows操作系统 | | `2` | Nix | 类Unix操作系统，包括Linux和BSD变种 | | `3` | 路由器 | 网络路由设备，用于在网络之间转发数据包 | | `4` | 交换机 | 网络交换设备，用于在局域网内连接设备并转发数据帧 | | `5` | VPN | 虚拟专用网络设备，提供安全的远程访问和站点到站点连接 | | `6` | 负载均衡 | 负载均衡设备，用于分发网络流量以提高性能和可靠性 | | `7` | 防火墙 | 网络安全设备，用于控制进出网络的流量基于安全规则 | | `8` | 网闸 | 网络隔离设备，用于在安全级别不同的网络之间进行安全数据交换 | | `9` | 入侵检测系统(IDS) | 入侵检测系统，用于监控网络或系统活动以检测恶意行为 | | `10` | 入侵防护系统(IPS) | 入侵防护系统，在检测到威胁时主动阻止恶意流量 | | `11` | 统一威胁管理(UTM) | 统一威胁管理设备，集成多种安全功能如防火墙、防病毒和入侵防护 | | `12` | 下一代防火墙 | 下一代防火墙，提供应用层检测、深度包检查和高级威胁防护 | | `13` | Web应用防火墙(WAF) | Web应用防火墙，专门保护Web应用程序免受SQL注入、XSS等攻击 | | `14` | 流量监测设备 | 网络流量监测设备，用于实时分析和监控网络流量模式 | | `15` | 网页防篡改 | 网页防篡改系统，保护网站内容不被未经授权修改 | | `16` | 抗DDoS系统 | 抗分布式拒绝服务攻击系统，缓解DDoS攻击以保护服务可用性 | | `17` | 防病毒系统 | 防病毒系统，检测和清除恶意软件、病毒和木马 | | `18` | 防间谍系统 | 防间谍软件系统，防止间谍软件窃取敏感信息和监控用户活动 | | `19` | 防泄密系统 | 数据防泄密系统，监控和防止敏感数据通过各类渠道泄露 | | `20` | 邮件审计系统 | 邮件审计系统，监控和审计电子邮件内容以符合安全策略和合规要求 | | `21` | 身份管理系统 | 身份和访问管理系统，管理用户身份认证、授权和权限 | | `22` | 流量清洗系统 | 流量清洗系统，过滤恶意流量以保护网络资源和业务连续性 | | `23` | 数据库审计系统 | 数据库审计系统，监控和记录数据库访问、操作和权限变更 | | `24` | Web审计系统 | Web审计系统，审计Web应用程序的访问、操作和安全事件 | | `25` | 运维审计系统 | 运维审计系统，监控和记录系统运维操作，防止越权访问 | | `26` | 上网行为审计系统 | 上网行为审计系统，监控和审计员工网络使用行为以符合安全策略 | | `27` | 统一审计网关 | 统一审计网关，集中收集、规范化和分析各类审计日志 | | `28` | 日志审计系统 | 日志审计系统，收集、存储、分析和告警系统安全日志 | | `29` | 安全管理系统 | 安全管理系统，集成安全管理功能如策略管理、风险管理和事件响应 | | `30` | 蜜罐系统 | 蜜罐系统，诱骗攻击者以收集攻击信息和分析攻击手法 | | `31` | 应用扫描器 | 应用程序漏洞扫描器，检测Web应用和移动应用的安全漏洞 | | `32` | 网络扫描器 | 网络漏洞扫描器，扫描网络设备、服务和端口以发现安全漏洞 | | `33` | 主机扫描器 | 主机漏洞扫描器，扫描操作系统和应用程序漏洞及配置问题 | | `34` | WEB服务器 | Web服务器软件，如IIS、Apache、Nginx等，托管网站和应用 | | `35` | 数据库服务器 | 数据库服务器软件，如MySQL、Oracle、SQL Server等，存储和管理数据 | | `36` | 邮件服务器 | 邮件服务器软件，如Exchange、Postfix等，处理电子邮件收发 | | `37` | 存储服务器 | 存储服务器，提供数据存储、备份和共享服务 | | `38` | FTP服务器 | FTP服务器，提供文件传输协议服务，支持文件上传下载 | | `39` | 应用服务器 | 应用服务器，运行企业应用程序和业务逻辑，如Java EE、.NET应用 | | `43` | Windows审计代理 | Windows系统审计代理，收集Windows事件日志和系统活动 | | `44` | Nix审计代理 | 类Unix系统审计代理，收集Linux/Unix系统日志和审计数据 | | `45` | WMI审计代理 | Windows管理规范审计代理，通过WMI收集系统信息和事件 | | `51` | 采集器 | 日志采集器，从各种数据源收集和转发日志数据 | | `52` | 通信服务器 | 通信服务器，处理网络通信、消息传递和协议转换 | | `53` | 关联引擎 | 安全事件关联引擎，分析日志数据以检测复杂安全事件 | | `55` | 其他 | 其他未分类的设备类型 | | `56` | 主机安全管理系统(EDR) | 端点检测与响应系统，监控主机活动、检测威胁并响应安全事件 | | `57` | 虚拟化设备 | 虚拟化平台设备，如VMware ESXi、Hyper-V等，运行虚拟机 | | `58` | 网络打印机 | 网络连接的打印机设备，支持网络打印功能 | | `59` | APT | 高级持久威胁检测系统，针对APT攻击进行监测和防护 | | `60` | DNS服务器 | 域名系统服务器，提供域名解析服务和DNS安全防护 | | `61` | API风险监测系统 | API风险监测系统，监控API接口的安全风险和使用异常 | | `62` | API安全网关 | API安全网关，保护API接口免受攻击，提供认证、授权和限流 | | `63` | 脆弱性扫描系统 | 脆弱性扫描系统，全面扫描系统、网络和应用漏洞 | | `65` | UES | 统一端点安全系统，集成终端防护、检测和响应功能 |  ---  ## 设备IP地址 (`deviceAddress`)  - **字段名称**: 设备IP地址 - **字段ID**: `deviceAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 设备产生日志时的IP地址，用于标识日志来源设备。格式要求：必须为有效的IPv4或IPv6地址格式。  ---  ## 描述 (`message`)  - **字段名称**: 描述 - **字段ID**: `message` - **数据类型**: string - **校验类型**: string_t - **描述**: 用于记录日志或告警的详细描述信息，以文本字符串形式存储。内容通常包含对安全事件、系统活动或异常情况的说明、上下文及关键参数。  ---  ## 结果分类 (`catOutcome`)  - **字段名称**: 结果分类 - **字段ID**: `catOutcome` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段用于标识事件操作或攻击的最终结果状态。其值为预定义的枚举类型，当前主要可选值包括：OK（表示操作成功）、FAIL（表示操作失败）、Attempt（表示尝试性操作）。取值应严格限定在系统定义的枚举值范围内。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `OK` | 成功 | 可以合理的推测事件已成功 | | `FAIL` | 失败 | 可以合理的推测事件已失败 | | `Attempt` | 尝试 | 事件已发生，但是无法明确成功或失败 |  ---  ## XFF头 (`XFF`)  - **字段名称**: XFF头 - **字段ID**: `XFF` - **数据类型**: string - **校验类型**: string_t - **描述**: XFF头字段用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。  ---  ## 源MAC地址 (`srcMacAddress`)  - **字段名称**: 源MAC地址 - **字段ID**: `srcMacAddress` - **数据类型**: string - **校验类型**: mac_t - **描述**: 源MAC地址表示网络数据帧发送方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。  ---  ## 目的MAC地址 (`destMacAddress`)  - **字段名称**: 目的MAC地址 - **字段ID**: `destMacAddress` - **数据类型**: string - **校验类型**: mac_t - **描述**: 目的MAC地址表示网络数据帧接收方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。  ---  ## 规则类型 (`ruleType`)  - **字段名称**: 规则类型 - **字段ID**: `ruleType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 规则类型标识安全设备（如防火墙、IDS、IPS、EDR等）产生告警时对应的安全检测规则类型，反映设备内置规则库对特定攻击模式或异常行为的分类。该字段为枚举类型，其值是一个表示威胁类别的层级路径字符串，格式通常为“/一级分类/二级分类”。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `/AccountRisk/BruteForce` | 账号暴力破解 | 攻击者采用枚举方法系统地尝试用户名和密码组合进行登录尝试。攻击目标：用户账户。此类攻击的受害者必须是内部网络目标。常见的暴力破解和弱密码枚举尝试属于此类别。从内部网络发起的针对外部网络的暴力破解攻击归类为：主机异常/主机外部攻击。 | | `/AccountRisk/Others` | 账号其他风险 | 其他账户异常事件的告警 | | `/AccountRisk/SuspAccount` | 可疑账户 | 可疑账户指可能被用于掩盖攻击者活动、实现持久访问或执行未授权操作的账户。包括：后门账户、隐藏账户、影子账户等。 | | `/AccountRisk/SuspBehavior` | 账号可疑行为 | 账户异常行为的告警。常见场景包括：垃圾邮件发送 - 账户发送垃圾邮件（内网 -> SMTP服务器）。数据窃取 - 下载大量敏感文件（内网 -> 内网）。可疑访问 - 尝试登录关键服务器（内网 -> 内网）。攻击者未知，受害者：涉事账户。 | | `/AccountRisk/SuspLogin` | 账号可疑登录 | 此类主要包括异常行为审计，如：异常登录地点、异常登录时间、可疑登录账户和异常登录结果。告警的源地址不区分内外网，而目标地址为内部网络。默认情况下，从内部网络到外部网络的异常登录尝试不会触发告警。如果发生相关告警，应归类为：主机异常/其他。 | | `/AccountRisk/SuspModify` | 账号可疑修改 | 记录异常账户变更行为，如频繁权限修改和频繁密码更改。告警目标地址为内部网络。 | | `/AgentSec/ConfigurationManipulation` | 配置操纵滥用 | 攻击者篡改配置文件、偏好设置或加载机制，以持久操控AI系统行为或植入后门。 | | `/AgentSec/IdentitySession` | 身份会话滥用 | 攻击者利用认证、令牌管理和会话机制中的漏洞提升权限、冒充身份或越权访问数据。 | | `/AgentSec/ToolInvocation` | 工具调用滥用 | 攻击者在工具调用过程中操纵输入参数和数据传递，以执行恶意命令或访问敏感数据。 | | `/AgentSec/ToolRegistration` | 工具注册滥用 | 攻击者通过污染工具描述、模式定义或标识符，利用工具注册机制中的漏洞操控AI系统行为。 | | `/AgentSec/UpdateMechanism` | 更新机制滥用 | 攻击者利用工具更新机制的信任模型和自动化特性推送恶意更新，以实现持久控制或突发攻击。 | | `/Audit/ConfigChange` | 配置变更审计 | 对配置修改行为的审计，包括：修改防火墙配置、修改路由表、修改DNS服务器地址、修改服务器配置参数等。审计类型，默认级别为低。不涉及攻击者或受害者。 | | `/Audit/Exfiltration` | 数据外泄审计 | 监测内网主机对外传输或发送数据的行为，例如：1. 上传文件至外部FTP服务器；2. 发送大邮件附件至外部邮箱；3. 同步文件至云存储；4. 向外部HTTP服务器提交数据等。审计数据传输行为而非内容本身。 | | `/Audit/IllegalAccess` | 非法访问审计 | 内网主机访问禁止访问的网站。包括：1. 涉及恶意扣费、隐私窃取、赌博、暴力、色情或分裂活动的内容。具体规定参见：http://report.12377.cn:13225/mainNotice.html；2. 违反公司政策的内容，如游戏网站、招聘网站或电商平台。不涉及攻击者或受害者。 | | `/Audit/IllegalOp` | 非法操作审计 | 包括内网中各类未授权操作的告警，例如：1. 未知设备接入网络、非安全计算机处理涉密文件等；2. 绕过堡垒机访问生产环境；3. 其他违反法律法规和公司政策的操作。不涉及攻击者或受害者。 | | `/Audit/IllegalSoft` | 非法软件审计 | 内网主机存在涉及不合规应用的进程或通信流量。包括：1. 违反国家规定的应用：涉及恶意扣费、隐私窃取、赌博、色情或破坏国家统一的内容。具体规定参见：http://report.12377.cn:13225/mainNotice.html；2. 违反组织或公司政策的应用，如禁止的游戏、即时通讯软件或股票交易应用。审计类型，默认严重级别为低。不涉及攻击者或受害者。 | | `/Audit/OpAudit` | 操作审计 | 包括需审计日志记录的操作，如敏感操作（如权限修改、批量数据查询）和高危操作（如数据删除、系统文件修改或删除、日志清除）。审计类型默认设置为低级别。不涉及攻击者或受害者。 | | `/Audit/Others` | 其他审计 | 其他行为审计事件的告警 | | `/ConfigRisk/ClearTextCredit` | 明文凭据传输风险 | 敏感信息在数据传输过程中未经加密传输。敏感信息包括密码、加密密钥、证书、会话标识符、私有数据（如消息内容）、授权凭证、个人数据，以及程序文件、配置文件、日志文件、备份文件等。风险资产位于内网（目的地址）。 | | `/ConfigRisk/Database` | 数据库配置风险 | 数据库配置不当可能导致数据泄露、服务器被攻陷等危害。风险资产位于内网（目的地址）。 | | `/ConfigRisk/DeviceConf` | 设备配置风险 | 设备缺乏适当的安全配置，可能导致数据泄露、服务器被入侵等危害。风险资产位于内部网络（目标地址）。 | | `/ConfigRisk/Exploit` | 漏洞利用风险 | 服务器未及时进行补丁更新或安全配置，导致存在漏洞被利用的风险。 | | `/ConfigRisk/HTTPServer` | HTTP服务器配置风险 | HTTP服务器启用了PUT、DELETE、OPTIONS和TRACE等非常用方法，可能导致服务器信息泄露和内容篡改。风险资产位于内部网络（目标地址）。 | | `/ConfigRisk/MidWare` | 中间件配置风险 | 中间件缺乏安全配置，可能导致数据泄露、服务器被入侵等危害。风险资产位于内部网络（目标地址）。 | | `/ConfigRisk/Others` | 其他配置风险 | 其他配置风险事件告警。 | | `/ConfigRisk/Service` | 服务配置风险 | SSH、FTP等网络服务存在不安全配置，包括连接IP和方法不受限制、未设置最大登录尝试次数等。风险资产位于内部网络（目标地址）。 | | `/ConfigRisk/WeakPassword` | 弱密码配置风险 | 审计成功登录的弱密码事件；容易被攻击者猜测或暴力破解工具破解的密码被视为弱密码，如'123'、'abc'等。该账号/系统存在弱密码漏洞风险。受影响资产位于内部网络（目标地址）。 | | `/Credential/Forgery` | 凭证伪造 | 攻击者创建或修改凭证（如用户名和密码、数字证书、令牌等），在未经合法用户授权的情况下获取对系统或网络资源的未授权访问权限。 | | `/Credential/Others` | 其他凭证攻击 | 其他凭证攻击告警。 | | `/Credential/PTH` | 哈希传递攻击 | 攻击者通过获取用户的NTLM或LM哈希值（无需明文密码），访问Windows网络中的其他机器。该方法利用了Windows域环境中的哈希传递机制，使攻击者无需用户实际密码即可访问受保护资源。 | | `/Credential/PTK` | 凭据PTK攻击 | 攻击者获取用户的加密密钥，并利用该密钥加密发送至系统的数据，借此访问受限资源并执行敏感操作。 | | `/Credential/PTT` | 票据传递攻击 | 攻击者获取或窃取Kerberos系统中用于身份验证的票据，随后利用这些票据代表合法用户访问网络资源。 | | `/Credential/Steal` | 凭据窃取 | 攻击者通过多种手段（如键盘记录、钓鱼攻击、社会工程等）获取用户登录凭据，随后利用这些凭据访问系统。 | | `/Credential/TokenHijacking` | 令牌劫持 | 攻击者拦截或复制用于身份验证的网络令牌（如OAuth令牌、JWT令牌等），随后利用这些令牌冒充合法用户执行操作。 | | `/DDOS/DDOS` | 分布式拒绝服务攻击 | 从外部网络发起的DDoS攻击，针对服务器或应用程序。包括：流量型DDoS、应用层DDoS等。主要攻击特征：流量异常激增、带宽饱和；接收来自不同来源的大量SYN包、UDP包等；存在反射型DDoS特征——源端口对应常见反射服务如NTP、DNS、SSDP、Memcached等。主要影响：网络瘫痪、服务中断及业务运营停摆。 | | `/DataLeakage/DataReconstruction` | 数据重构攻击 | 基于对聚合数据的访问权限，通过逆向工程手段获取个人用户记录或敏感基础设施记录的私有信息的攻击行为。 | | `/DataLeakage/Membership` | 成员推断攻击 | 旨在判定特定记录是否包含在用于统计操作的数据集或机器学习模型训练数据中的攻击行为。 | | `/DataLeakage/ModelTheft` | 模型窃取 | 恶意行为者未经授权访问或复制LLM模型，可能涉及对模型架构的逆向工程或专有算法与参数的提取，导致知识产权盗窃或未经授权的副本传播。 | | `/DataLeakage/Property` | 属性推断攻击 | 旨在从训练数据集中提取全局信息（如部分训练样本是否包含某些敏感属性）的攻击行为。 | | `/DataLeakage/Sensitive` | 敏感信息泄露 | 涉及PII个人身份信息、财务数据、PHI医疗健康信息或企业机密等敏感信息的泄露事件。 | | `/DataLeakage/SystemPrompt` | 系统提示提取 | 专门提取系统指令和提示信息。 | | `/DataLeakage/TrainingData` | 训练数据提取 | 通过成员推理或模型逆向工程等方法提取训练数据。 | | `/DataMisuse/Abroad` | 跨境数据传输 | 从海外地址访问国内数据，或主动将数据从国内地址传输至海外目的地。 | | `/DataMisuse/GovAudit` | 政府审计数据滥用 | 针对医疗行业特定系统，组织实体未经许可获取特定数据的行为。 | | `/DataMisuse/IllegalDataCollect` | 非法数据收集 | 违反个人信息监管政策或标准的风险警示，表明可能存在非法或不合规的个人信息收集行为。 | | `/DataMisuse/IllegalDataUse` | 非法数据使用 | 违反法律法规或其他相关规定，非法或不当执行数据处理操作。 | | `/DataMisuse/Others` | 其他数据滥用行为 | 其他数据滥用行为。 | | `/DataMisuse/OutDomain` | 跨域数据流动 | 数据从内部可信域流向外部不可信域。 | | `/DataSteal/APICrawling` | API数据爬取 | 当主体实体在单位时间内API访问次数超过阈值，且返回的指定类型数据结果去重计数超过一定阈值时触发。 | | `/DataSteal/DataDrip` | 数据渗出 | 在较长时间内小批量检索指定类型数据，总数据量达到一定阈值。 | | `/DataSteal/DatabaseConnect` | 数据库连接窃取 | 数据库连接窃取指攻击者获取数据库连接凭证以未经授权访问数据库的恶意行为，从而窃取敏感数据或执行未授权操作。 | | `/DataSteal/DatabaseDump` | 数据库转储窃取 | 通过数据库运维工具下载数据库文件，将数据从一个数据库迁移或复制到另一个数据库的行为。 | | `/DataSteal/Others` | 其他数据窃取 | 其他数据外泄活动。 | | `/DataSteal/UnauthorizedAccess` | 未授权访问 | 未授权访问指攻击者在未经适当授权的情况下非法访问系统或数据的行为，通常意图窃取或破坏数据。 | | `/DataTampering/FileTampering` | 文件篡改 | 文件篡改指攻击者未经授权修改、删除或破坏文件内容的行为。此类攻击可能导致数据损坏、信息泄露或系统不稳定。 | | `/DataTampering/HiddenLinkInjection` | 暗链注入 | 暗链注入指攻击者将恶意链接隐蔽插入网站页面的行为。这些链接通常对用户不可见，但会被搜索引擎爬虫索引，从而影响搜索结果、提升恶意网站排名或引导流量至恶意网站。暗链注入是一种数据篡改攻击，旨在利用网站可信度和流量为攻击者牟利，同时可能对被感染网站的搜索引擎优化（SEO）产生负面影响。 | | `/DataTampering/Others` | 其他数据篡改告警 | 其他数据篡改类告警。 | | `/DataTampering/WebsiteDefacement` | 网站篡改 | 网站篡改指攻击者未经授权修改或破坏网站内容的行为。通常涉及更改网站文本、图像或其他媒体内容以传播虚假信息、展示恶意消息、推广特定观点或品牌，甚至羞辱和损害网站声誉。网站篡改是常见的数据篡改攻击，旨在通过修改网页内容实现特定恶意目的。 | | `/DevOps/DatabaseError` | 数据库故障 | 数据库故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：1. 事务内部故障 2. 系统故障 3. 介质故障 4. 计算机病毒故障。 | | `/DevOps/DeviceError` | 设备故障 | 设备故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：设备在其生命周期内因磨损或操作使用暂时丧失规定功能。1. 突发性故障：突然发生的故障。发生时间随机且难以预测，导致设备功能完全丧失。2. 渐发性故障：因设备性能逐渐劣化引发的故障。进展缓慢且规律可循，导致功能部分丧失。 | | `/DevOps/HostError` | 主机故障 | 主机故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：检测到的由各种原因导致的主机故障包括：1. 系统硬件问题，主要由SCSI卡、主板、RAID卡、HBA卡、网卡和硬盘等硬件设备引起。此类情况下需查明具体硬件故障细节并通过更换硬件解决。2. 外围硬件问题，主要由网络问题引起。此时应重点排查主机网络设备和网络参数。3. 主机软件问题，主要由系统内核漏洞、应用软件缺陷或驱动程序错误导致。解决方法包括升级内核、修复程序缺陷或更新驱动。4. 主机系统配置问题，主要由系统参数设置不当引起。可通过恢复系统默认设置或关闭防火墙解决。 | | `/DevOps/Others` | 运维其他事件 | 其他运维监控事件，风险资产为内网（目的地址）。 | | `/DevOps/WebError` | Web应用故障 | Web应用故障可分为以下类型，受影响风险资产位于内网环境（目的地址）：1. 因流量突增导致服务器负载过高引发的故障。2. 程序源代码运行时错误或代码逻辑缺陷导致的故障。3. 服务超时导致运行异常引发的故障。 | | `/Exploit/DOS` | 拒绝服务漏洞利用 | 拒绝服务(DoS)漏洞攻击指外部发起的针对系统服务、应用服务或终端软件的攻击，可导致系统崩溃、服务中断或应用故障。 | | `/Exploit/DeviceVul` | 设备漏洞利用 | 从外网发起的针对特定设备的漏洞攻击行为，包括：网络设备漏洞、安全设备漏洞、物联网设备漏洞、专用设备漏洞等。 | | `/Exploit/Others` | 漏洞利用其他事件 | 从外网发起的其他类型漏洞利用攻击事件。 | | `/Exploit/RemoteService` | 远程服务漏洞利用 | 针对网络远程服务（如远程桌面、数据库、文件共享等）的漏洞扫描和攻击尝试，旨在利用服务弱点获取目标系统控制权。 | | `/Exploit/Shellcode` | Shellcode利用 | 检测到特定shellcode通信的数据包特征或识别出包含shellcode签名的恶意文件。常见场景包括：反向shell载荷传输（内->外通信）；包含载荷的恶意文件（通过邮件外->内或下载链接内->外）等。 | | `/Exploit/SoftVul` | 软件漏洞利用 | 从外网发起的针对常见第三方软件（如浏览器、Office程序、Adobe应用）或服务器中间件（如Redis、Apache、Nginx）的漏洞攻击。 | | `/Exploit/SystemVul` | 系统漏洞利用 | 从外网发起的针对Linux、Windows等操作系统内核漏洞或原生应用漏洞的攻击。 | | `/IllegalData/CommercialViolations` | 商业违规 | 违反商业法律法规的内容。 | | `/IllegalData/DiscriminatoryContent` | 歧视性内容 | 对个人或群体表现出歧视、偏见或仇恨的内容。 | | `/IllegalData/InadequateSecurityRequirements` | 安全要求不足 | 在高安全服务类型中使用的生成式AI可能产生不准确或不可靠的内容。 | | `/IllegalData/RightsInfringement` | 权利侵犯 | 侵犯他人合法权益的内容，包括隐私侵犯、诽谤和声誉损害。 | | `/IllegalData/ViolatingSocialistCoreValues` | 违反社会主义核心价值观 | 与社会主义核心价值观相矛盾或削弱的内容。 | | `/InherentModelRisk/BehavioralConsistency` | 行为一致性缺陷 | 模型表现出不稳定、不一致的行为或无法可靠遵循指令，显示出失调迹象。 | | `/InherentModelRisk/KnowledgeDefects` | 知识缺陷 | 模型知识的准确性、时效性或安全性不足，包括过时信息或敏感训练数据的记忆。 | | `/InherentModelRisk/ReasoningLogic` | 推理逻辑缺陷 | 模型缺乏可靠的逻辑推理和因果推断能力，经常产生'幻觉'或荒谬结论。 | | `/InherentModelRisk/Robustness` | 鲁棒性缺陷 | 由于深度神经网络的非线性和大规模特性，AI系统易受复杂操作环境或恶意干扰影响，导致性能下降或决策错误。 | | `/InherentModelRisk/SocietalEthical` | 社会伦理缺陷 | 模型输出或行为包含偏见、歧视、有害内容或与人类价值观和伦理标准不符。 | | `/InherentModelRisk/UnsafeDesign` | 工具设计不安全 | 由于设计和/或实现不安全导致的LLM连接工具被利用，可能因意外、模糊或被操控的输出引发破坏性操作。 | | `/MITM/BGPHijackingAttack` | BGP劫持攻击 | 通过恶意宣告BGP路由来操纵互联网路径，实现误导拦截流量或篡改数据等目的。常见攻击手段包括广播虚假前缀宣告，使被攻陷路由器进一步污染其他路由器的路由信息，甚至可能传播至骨干网。 | | `/MITM/Others` | 中间人攻击其他类型 | 其他形式的中间人攻击 | | `/MITM/TrafficHijacking` | 流量劫持 | 攻击者非法截获并操纵网络流量，以获取敏感信息或控制网络资源。 | | `/MITM/WLANHijacking` | 无线局域网劫持 | 利用应用缺陷、协议漏洞及配置错误等安全隐患劫持WiFi流量的网络行为。例如劫持后可展示低俗广告和非法内容，或导致WiFi覆盖范围内大面积断网。 | | `/Malware/Backdoor` | 后门程序 | 在内网主机通信流量中检测到疑似后门程序通信特征。 | | `/Malware/Bot` | 僵尸病毒 | 在内网主机上检测到与僵尸病毒相关的恶意文件、进程或通信。 | | `/Malware/BrowserHijacker` | 浏览器劫持 | 内网主机存在浏览器劫持行为，通常用于篡改用户浏览器设置（如搜索页和主页），以实现定向广告投放或恶意流量重定向。 | | `/Malware/CheatProgram` | 作弊程序 | 内网主机正在运行作弊程序。这类工具虽为游戏或其他软件设计，但可能被恶意利用以获取敏感信息或控制系统。 | | `/Malware/Downloader` | 木马下载器 | 内网主机感染木马下载器，此类恶意软件会在受控系统下载并安装其他恶意程序。 | | `/Malware/Exploit` | 恶意利用工具 | 内部网络主机包含恶意利用工具。这些是专门设计用于利用已知系统或软件漏洞执行未授权操作的工具。 | | `/Malware/Fileless` | 无文件恶意软件 | 内部网络主机包含无文件恶意软件。 | | `/Malware/HackTool` | 黑客工具 | 内部网络主机包含黑客工具。这些是黑客用于渗透系统、窃取信息或执行其他恶意活动的工具。 | | `/Malware/Keylogger` | 键盘记录器 | 内部网络主机感染了键盘记录器。这是一种专门设计用于记录用户击键的恶意软件，用于窃取密码和其他敏感信息。 | | `/Malware/MacroVirus` | 宏病毒 | 内部网络主机感染了宏病毒。这类病毒通过利用文档编辑软件中的宏功能（如Microsoft Office中的VBA宏）进行传播。 | | `/Malware/MaliciousAdware` | 恶意广告软件 | 恶意广告是指通过在线广告平台发布的恶意内容，意图欺骗或诱骗用户。这些广告可能将用户重定向到恶意网站、下载恶意软件或泄露个人敏感信息。 | | `/Malware/MaliciousMail` | 恶意邮件 | 内部网络主机在收到的邮件中检测到恶意程序。这些程序具有恶意软件的特征，或在执行时可能下载并执行病毒、安装后门等。 | | `/Malware/MaliciousScript` | 恶意脚本 | 内部网络主机运行具有恶意行为特征的脚本，例如启用PowerShell或修改注册表项。 | | `/Malware/Miner` | 挖矿恶意软件 | 内部网络主机包含恶意挖矿文件、进程或挖矿通信。例如：1. 内部网络查询矿池域名（受害者：内部源地址，无攻击者）。2. 内部网络与矿池通信（内部 -> 外部，受害者源地址，无攻击者）。3. 终端检测到挖矿程序（资产IP为受害者，无攻击者）。4. 挖矿恶意软件回连C2（内部 -> 外部，外部目标地址为攻击者，罕见情况）。 | | `/Malware/Others` | 其他恶意软件 | 其他恶意软件告警。 | | `/Malware/PUP` | 恶意PUP程序 | 内网主机检测到流氓软件、广告软件、灰产软件或可疑程序的通信行为。例如：1. 流氓软件外泄机器信息；2. 广告软件回连C2服务器；3. 其他可疑软件通信模式。通常用于检测内到外的流量。 | | `/Malware/PenetrationTool` | 渗透工具 | 内网主机存在被恶意利用的渗透工具。这些工具本用于安全测试或渗透测试目的，但可能被非法用于攻击系统。 | | `/Malware/Prank` | 恶作剧程序 | 内网主机存在恶作剧程序。此类程序不会对系统造成严重损害，但可能执行如更改桌面背景或播放声音等恶作剧行为。 | | `/Malware/Ransomware` | 勒索软件 | 内网主机感染勒索软件。包括：1. 勒索软件通信（内→外）；2. 勒索软件域名查询（无攻击者参与）；3. 终端检测到勒索软件（资产IP为受害者，无攻击者参与）；4. 检测到其他勒索软件行为特征（如传播、访问Tor网络等）。 | | `/Malware/RootkitBootkit` | Rootkit/Bootkit病毒 | Rootkit和Bootkit均为旨在隐藏系统内恶意活动痕迹的恶意软件，使其难以检测和清除。Rootkit通常嵌入操作系统内核或系统文件以隐藏恶意进程、文件和注册表项；Bootkit则通过侵入系统启动过程，在系统启动时加载并执行恶意代码。 | | `/Malware/Spyware` | 间谍软件 | 内网主机流量中检测到间谍软件的通信特征。 | | `/Malware/Trojan` | 木马程序 | 检测到内网主机的木马通信活动。 | | `/Malware/TrojanDropper` | 木马释放器 | 内网主机存在木马释放器。此类程序本身不含恶意代码，但其用途是释放并激活其他木马程序。 | | `/Malware/VirTool` | 代码混淆工具 | 内网主机存在代码混淆工具。该工具用于混淆软件代码，使其难以理解和逆向工程，通常被用来隐藏恶意软件的真实意图。 | | `/Malware/Virus` | 传染性病毒 | 内网主机感染具有传染性的病毒。该病毒可感染可执行文件、文档文件等，使每个被感染文件均包含病毒代码。 | | `/Malware/VirusGenerator` | 病毒生成器 | 内网主机存在病毒生成器。该工具用于生成或创建新病毒，可能包含生成自定义病毒代码的功能。 | | `/Malware/Webshell` | 网页后门 | 内网主机存在网页后门文件。文件内容具有网页后门特征，或访问该文件可能导致执行系统命令、查看文件内容等操作。需区别于网络攻击/网页后门请求，若后门扫描探测或请求尝试来自外网，则应归类为网络攻击/网页后门请求。 | | `/Malware/Worm` | 网络蠕虫 | 检测到内网主机的网络蠕虫通信活动。 | | `/Others/Others` | 其他威胁类型 | 非攻击行为、业务相关异常活动等。通常风险较低且难以定性。 | | `/Phishing/EmailPhishing` | 钓鱼邮件 | 通过伪装成合法来源发送邮件，诱导收件人点击恶意链接或提供个人信息，以窃取敏感数据或实施恶意攻击。 | | `/Phishing/Others` | 其他钓鱼攻击 | 包括但不限于邮件钓鱼、社交媒体钓鱼、网站钓鱼等通过各类通信渠道实施的钓鱼攻击。 | | `/Phishing/SocialMediaPhishing` | 社交媒体钓鱼 | 通过社交媒体平台冒充可信个人或组织发送链接或文件，诱骗用户执行操作的钓鱼攻击。 | | `/Phishing/WebPhishing` | 网页钓鱼 | 创建模仿合法网站外观的欺骗性网页，诱骗用户输入登录凭证或信用卡信息等个人信息。 | | `/PromptInjection/Direct` | 直接提示注入 | 直接向模型发送覆盖指令的行为。 | | `/PromptInjection/Indirect` | 间接提示注入 | 通过污染模型检索的外部数据源（如网页、文档）实现的注入攻击。 | | `/Scan/HostScan` | 主机扫描 | 外部网络发起的针对IP段内服务器可用性的探测行为；通过ping或TCP连接尝试等方法确认目标IP是否在线并响应。攻击目标：服务器。 | | `/Scan/NetworkScan` | 网络扫描 | 网络扫描是指扫描网络上所有设备和系统的过程，以获取网络拓扑、设备状态和开放端口等信息。常用于安全审计、资产管理和漏洞检测，以识别潜在安全风险并优化网络配置。 | | `/Scan/Others` | 其他扫描 | 外部网络发起的其他类型的探测和扫描攻击事件。 | | `/Scan/PortScan` | 端口扫描 | 外部网络发起的针对服务器开放端口的扫描行为，表现出自动化行为特征。攻击目标：服务器。 | | `/Scan/Scanner` | 扫描器指纹 | 在外部网络扫描过程中检测到特定扫描器的指纹特征。攻击目标：服务器。 | | `/Scan/ServScan` | 服务扫描 | 外部网络发起的针对服务器开放服务的扫描行为。包括批量探测常见服务端口可用性，以及发送特定数据包检测服务端程序版本信息。攻击目标：服务器。 | | `/Scan/SystemScan` | 系统扫描 | 系统扫描是指对计算机系统进行全面检查和分析的过程，以检测漏洞、恶意软件、配置错误和其他潜在安全问题。通过系统扫描，可以识别并修复安全风险，确保系统的稳定性和安全性。 | | `/Scan/VulScan` | 漏洞扫描 | 外部网络发起的针对非Web应用的漏洞扫描，包括配置错误、系统漏洞和应用漏洞，表现出自动化行为特征。攻击目标：服务器。 | | `/Scan/WebScan` | Web扫描 | 外部网络发起的针对Web应用漏洞的扫描活动，包括敏感目录扫描、网站后门检测、爬虫扫描、SQL注入以及其他各种Web应用漏洞扫描，表现出自动化行为特征。攻击目标：Web业务系统。 | | `/SupplyChain/Artifacts` | 第三方插件风险 | 由存在漏洞或被恶意篡改的第三方库、框架、插件或扩展引入的安全威胁。 | | `/SupplyChain/Hardware` | 硬件平台风险 | 攻击者通过篡改、伪造或利用硬件设备和固件中的漏洞，破坏构建或运行在硬件上的AI系统的安全性。 | | `/SupplyChain/Infrastructure` | 基础设施入侵 | 针对支持AI开发和部署管道的基础设施（如云服务器、Kubernetes集群）的攻击。攻击者可能利用漏洞进行未经授权的访问，导致系统/网络被入侵或模型完整性被破坏。 | | `/SupplyChain/PoisonBackdoor` | 后门投毒 | 需要在被投毒样本和测试样本之间创建后门模式，要求同时控制训练和测试数据。 | | `/SupplyChain/PoisonData` | 数据投毒 | 操纵训练数据以破坏模型完整性。被污染的数据可能导致结果失真、输出偏颇、后门触发或用户信任丧失。 | | `/SupplyChain/PoisonModel` | 模型投毒 | 在模型部署前篡改或注入恶意代码。 | | `/SupplyChain/PoisonTarget` | 定向投毒 | 一种改变特定目标样本预测结果的攻击。控制训练标签的攻击者可通过标签翻转实现此目的。 | | `/SupplyChain/Software` | 软件开发工具风险 | 攻击者通过污染或利用AI项目开发的软件工具链依赖项，植入后门或漏洞。 | | `/SupplyChain/VectorEmbedding` | 向量与嵌入漏洞 | 使用LLM的RAG系统中存在的重大安全风险。向量/嵌入生成、存储或检索中的弱点可能导致恶意内容注入、输出操纵或敏感数据访问。 | | `/SuspEndpoint/Attack` | 可疑端点攻击 | 内部网络主机发起针对外部网络的漏洞利用、暴力破解、基于Web的攻击等行为。 | | `/SuspEndpoint/CommandAndControl` | 可疑端点命令与控制 | 命令与控制（C2）指攻击者远程发出指令并管理被入侵设备的行为，通常用于协调数据窃取、网络攻击或恶意软件传播等恶意活动。 | | `/SuspEndpoint/DefenseEvasion` | 可疑终端防御规避 | 内网主机发现尝试通过卸载/禁用安全软件、混淆/加密数据和脚本，或滥用可信进程来隐藏和伪装其恶意软件，以绕过检测的行为。 | | `/SuspEndpoint/ExternalScan` | 可疑终端外部扫描 | 由内网主机发起的一类针对外网的扫描行为，其目标为外部网络。 | | `/SuspEndpoint/FileTempering` | 敏感文件篡改 | 内网主机文件遭到篡改。敏感主机文件包括：应用安全配置文件、防火墙配置、网络服务配置等。篡改易导致安全防护失效、权限提升等危害。 | | `/SuspEndpoint/FilelessAttack` | 可疑终端无文件攻击 | 在内网主机发现系统上未创建文件，但执行了代码或修改了系统设置。这可能表明存在无文件攻击，攻击者直接在内存中执行恶意代码。 | | `/SuspEndpoint/ImageLoaded` | 可疑终端镜像加载 | 记录特定进程中加载的模块，包括加载进程、哈希值和签名信息。 | | `/SuspEndpoint/InformationGathering` | 可疑终端信息收集 | 内网主机检测到异常的本地信息收集行为。这可能表明攻击者正在收集本地系统信息，如用户列表和系统配置。 | | `/SuspEndpoint/OpAbnormaly` | 可疑终端操作异常 | 内网主机的异常操作，如日志删除、授予root权限等。 | | `/SuspEndpoint/Others` | 可疑终端其他异常行为 | 内网主机的其他异常行为。 | | `/SuspEndpoint/Persistence` | 可疑终端持久化 | 内网主机发现的持久化机制，如服务创建、注册表修改和文件系统变更，可能被用于确保攻击者在系统上的长期存在。 | | `/SuspEndpoint/PrivilegeEscalation` | 可疑终端权限提升 | 内网主机检测到用户账户尝试或成功提升权限，这可能表明攻击者正试图获取更高的系统访问权限以进行更广泛的攻击。 | | `/SuspEndpoint/ProcessInjection` | 可疑进程注入 | 内网主机检测到异常进程注入告警。恶意代码被注入到进程中，导致其与合法进程共享地址空间。 | | `/SuspEndpoint/RemoteExec` | 可疑远程执行 | 内网主机发现系统检测到尝试使用远程执行工具或恶意利用远程服务执行未授权命令或脚本的行为。 | | `/SuspEndpoint/RemoteService` | 可疑远程服务利用 | 检测到内网主机上运行未知远程服务，该服务可能包含已知漏洞，攻击者可利用其执行远程代码。 | | `/SuspEndpoint/ReverseShell` | 疑似反向Shell | 内网主机发现系统检测到内部进程与外部IP的异常通信，可能表明攻击者通过反向Shell技术远程控制受控主机。 | | `/SuspEndpoint/SuspCommand` | 可疑命令 | 内网主机检测到可疑命令告警。包括：1. 用户执行未授权或异常命令；2. 短时间内频繁执行特定命令，可能表明存在自动化攻击。 | | `/SuspEndpoint/SuspConnection` | 可疑连接 | 网络连接事件记录主机上的TCP/UDP连接，如攻击者扫描、恶意程序外联、隧道建立、横向移动及反向Shell连接等。 | | `/SuspEndpoint/SuspDriver` | 可疑驱动 | 内网主机加载未知或未签名驱动程序文件。 | | `/SuspEndpoint/SuspFile` | 可疑文件 | 在内网主机上检测到可疑文件。 | | `/SuspEndpoint/SuspOpenPort` | 可疑开放端口 | 内网主机上开放了非常见端口。 | | `/SuspEndpoint/SuspPipeEvents` | 可疑管道事件 | 创建命名管道时生成，恶意软件常利用命名管道进行进程间通信。 | | `/SuspEndpoint/SuspProcess` | 可疑进程 | 检测到内网主机存在可疑进程行为，包括：1.异常进程名、异常进程创建关系、异常进程命令行参数等；2.其他异常进程行为，如权限异常、状态异常、启动方式或频率异常等。 | | `/SuspEndpoint/SuspProcessAccess` | 可疑进程访问 | 当进程打开另一个进程时，报告进程访问事件。此操作通常涉及对目标进程地址空间的信息查询或读写操作。可检测读取进程内存内容的黑客工具（如Lsass.exe）以窃取凭证进行哈希传递攻击。 | | `/SuspEndpoint/SuspRegistry` | 可疑注册表 | 检测内网主机对注册表进行增删改等可疑操作。 | | `/SuspEndpoint/SuspThread` | 可疑线程 | 内网主机存在远程线程注入等行为。 | | `/SuspEndpoint/SuspiciousSpread` | 可疑终端传播 | 内网主机通过共享文件夹、可移动介质、远程拷贝等方式传播可疑代码。 | | `/SuspEndpoint/TraceEradication` | 可疑痕迹清除 | 内网主机发现系统存在删除、修改或隐藏日志文件、系统文件或痕迹清理工具的迹象，可能表明攻击者试图隐藏其活动。 | | `/SuspEndpoint/WMI` | 可疑WMI利用 | 内网主机检测到WMI利用告警。使用Windows管理规范(WMI)执行了未授权操作，可能用于信息收集或远程控制目的。 | | `/SuspTraffic/AccessAnomaly` | 可疑流量访问异常 | 内网主机检测到用户访问行为异常告警：用户访问行为偏离正常基线，或检测到异常域/服务访问。 | | `/SuspTraffic/MaliciousCert` | 可疑恶意证书 | 内网主机安装恶意证书或访问携带恶意证书的URL。例如：1.通过SSL/TLS证书信息检测访问恶意HTTPS网站；2.通过证书的SNI信息检测可疑域名。内网->外网。 | | `/SuspTraffic/MaliciousDomain` | 可疑恶意域名 | 内网主机请求恶意域名。恶意域名包括挖矿域名、C2域名、钓鱼域名及：1.可疑动态域名，如3322、org；2.内网穿透代理域名，如ngrok域名；3.疑似DGA域名；4.其他类型可疑域名。 | | `/SuspTraffic/MaliciousIP` | 恶意IP地址 | 内网主机与恶意IP通信。恶意IP包括矿池IP、黑产IP等。 | | `/SuspTraffic/Others` | 可疑流量其他 | 内网主机发起的可疑通信。包括：可疑会话连接、异常协议数据包、与4444/2745等可疑端口的通信行为。 | | `/SuspTraffic/RemoteCtrl` | 可疑远程控制流量 | 内网主机与C2服务器通信，检测流量中的远程控制特征及可疑响应，例如：1. 内网向外网发送命令行标识信息（如cmd/powershell）；2. 内网执行常见命令后向外网传输回显信息；3. 检测特定远程控制工具的通信特征。常见远程控制采用反向连接（内->外网），也存在正向连接（外->内网），受害者为内网主机。 | | `/SuspTraffic/RemoteService` | 可疑远程服务流量 | 远程服务异常流量指在远程服务连接过程中检测到的异常或可疑网络流量，可能表明存在未经授权的访问尝试、数据泄露或其他恶意活动。 | | `/SuspTraffic/SuspContent` | 可疑内容 | 内网主机请求恶意服务（如挂马、仿冒、欺诈），或发送/接收的数据包内容包含钓鱼尝试、敏感信息等可疑元素。 | | `/SuspTraffic/SuspProtocol` | 可疑协议异常流量 | 可疑协议流量指检测到使用非常见或异常网络协议的流量，可能表明存在潜在安全威胁，如恶意活动或未经授权的通信。 | | `/SuspTraffic/TrafficAnomaly` | 可疑流量异常 | 内网主机检测流量异常告警：网络流量偏离正常基线。 | | `/SuspTraffic/Tunnel` | 可疑隧道流量 | 内网主机发送或接收隧道通信数据包。隧道协议将其他协议的数据帧或数据包封装在新的数据包头中进行传输，到达目的地后解封装并转发至实际目标。例如HTTP隧道、DNS隧道和VPN等。例如：1. 检测隧道通信流量特征，如DNS隧道；2. 识别常见隧道工具特征，包括代理隧道/隐蔽隧道。内网\u003C->外网，源地址可能不同。 | | `/WebAttack/BypassAccCtrl` | Web攻击绕过访问控制 | 外网发起的针对权限提升漏洞的攻击行为，包括水平权限提升尝试、认证绕过漏洞尝试及其他类似类型。 | | `/WebAttack/CRLF` | Web攻击CRLF注入 | 外网发起的HTTP CRLF注入攻击。HTTP协议使用CRLF符号（回车换行）进行分隔。攻击者在请求中注入恶意换行符以绕过网站安全检查。 | | `/WebAttack/CSRF` | Web攻击-CSRF | 从外部网络发起的跨站请求伪造(CSRF)攻击，利用合法用户的cookie伪造身份请求访问网站。 | | `/WebAttack/CodeInjection` | Web攻击-代码注入 | 从外部网络发起的攻击行为，利用中间件、框架或Web组件漏洞注入精心构造的可执行代码(如Java、PHP等)，实现服务器远程命令执行。 | | `/WebAttack/CommandExec` | Web攻击-命令执行 | 从外部网络发起的攻击，利用具有系统命令执行功能的Web应用，通过命令拼接、黑名单绕过等技术实现服务器任意系统命令执行。 | | `/WebAttack/DirTraversal` | Web攻击-目录遍历 | 由于Web服务器配置不当或Web应用对用户输入文件名安全性校验不足导致的安全漏洞，外部攻击者可通过特殊字符绕过服务器安全限制，尝试访问任意文件(包括Web根目录之外的文件)、读取敏感文件甚至执行系统命令。 | | `/WebAttack/FileDownload` | Web攻击-文件下载 | 攻击者利用系统或应用漏洞从目标系统非法下载敏感或恶意文件。通过文件下载行为，攻击者可能获取系统信息、窃取用户数据或传播恶意软件。 | | `/WebAttack/FileParsingVul` | Web攻击-文件解析漏洞 | 中间件(如IIS、Apache、Nginx等)在文件解析过程中存在漏洞，攻击者可利用该漏洞实现未授权文件解析。 | | `/WebAttack/FileRead` | Web攻击-文件读取 | 攻击者访问服务器上的文件，可能获取敏感信息、执行任意命令或破坏系统。 | | `/WebAttack/FileUpload` | Web攻击-文件上传 | 从外部网络发起的攻击行为，利用文件上传功能绕过或未充分校验用户输入，导致直接上传恶意文件。 | | `/WebAttack/FileWrite` | Web攻击-文件写入 | 攻击者利用系统或应用漏洞非法写入恶意文件或植入恶意代码，可能通过文件写入行为实现系统入侵、权限提升或执行恶意操作。 | | `/WebAttack/Hotlinking` | Web攻击-盗链 | 攻击者在外站引用目标网站资源，造成目标网站资源被非法使用或耗尽。 | | `/WebAttack/InfoLeak` | Web攻击-信息泄露 | 由于Web服务器配置不当，外部攻击者利用漏洞获取服务器敏感信息。敏感信息包括密码、密钥、证书、会话标识符、许可证、私有数据（如短信内容）、授权凭证、个人数据，以及程序文件、配置文件、日志文件、备份文件等。注意与横向移动/敏感数据泄露类型的区分。 | | `/WebAttack/LFI` | Web攻击-本地文件包含 | 外部网络发起的攻击利用目标应用中实现的动态文件包含机制，通过操控提交参数控制应用运行时路径指向本地敏感文件，可能实现敏感文件泄露、篡改或写入webshell等功能。 | | `/WebAttack/MemoryShell` | Web攻击-内存马 | 内存驻留型恶意软件（内存马）攻击指攻击者将恶意代码注入目标系统内存，创建常驻内存的恶意程序以实现对系统的长期控制。内存马攻击通常难以通过传统文件系统扫描和杀毒软件检测，因其在磁盘上不留痕迹。该攻击方式常用于窃取敏感信息、执行远程控制或破坏系统功能的网络攻击中。 | | `/WebAttack/Others` | Web攻击-其他类型 | 外部IP发起的其他类型Web攻击行为。 | | `/WebAttack/RFI` | Web攻击-远程文件包含 | 外部发起的攻击利用目标应用中实现的动态文件包含机制，通过操控提交参数控制应用运行时引用远程服务器上的恶意文件路径，可能实现远程代码执行、植入webshell等恶意功能。 | | `/WebAttack/SQLInjection` | Web攻击-SQL注入 | 外部网络针对Web应用或Web框架发起的SQL注入攻击。 | | `/WebAttack/SSRF` | Web攻击-SSRF | 外部网络发起的服务端请求伪造（SSRF）攻击。攻击者伪造服务端请求向与其通信的内网主机发送数据，通常用于从外网探测或攻击内网服务。 | | `/WebAttack/WebTempering` | Web攻击-网页篡改 | 外部攻击者利用漏洞或植入的webshell，通过注入钓鱼链接、违禁内容、暗链、欺诈材料等方式尝试篡改合法网页。 | | `/WebAttack/WebshellRequest` | Web攻击-Webshell请求 | 外部攻击者尝试访问webshell以进行命令控制、文件查看等操作。注意与恶意程序/webshell后门的区分；此处主要包括webshell请求尝试和webshell页面扫描。已确认的webshell通信（如服务端响应webshell命令、服务端返回webshell单行命令或webshell木马特征）应归类至恶意程序类别。 | | `/WebAttack/WebshellUpload` | Web攻击-Webshell上传 | 攻击者尝试上传webshell后门文件以获取目标服务器控制权。 | | `/WebAttack/XSS` | 跨站脚本攻击 | 从外部网络发起的跨站脚本(XSS)攻击。通过利用Web开发过程中遗留的漏洞，将恶意JavaScript代码注入网页，攻击访问该站点的正常用户的浏览器。 | | `/WebAttack/XXE` | XML外部实体注入攻击 | 从外部网络发起的XXE(XML外部实体)注入攻击。当允许外部实体引用时，构造恶意内容可导致任意文件读取、系统命令执行、内网端口扫描及对内网Web服务的攻击。 |  ---  ## 攻击者 (`attackerAddress`)  - **字段名称**: 攻击者 - **字段ID**: `attackerAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 发起威胁攻击的攻击者源IP地址，格式要求：必须是符合IPv4或IPv6标准的IP地址格式，例如IPv4的点分十进制表示法（如192.168.22.35）或IPv6的冒号分隔十六进制表示法。  ---  ## 受害者 (`victimAddress`)  - **字段名称**: 受害者 - **字段ID**: `victimAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 受害者IP地址，指遭受威胁攻击或风险影响的目标IP地址。格式要求：必须是符合IPv4或IPv6标准的IP地址格式，例如IPv4的点分十进制表示法（如192.168.22.35）或IPv6的冒号分隔十六进制表示法。  ---  ## 告警置信度 (`confidence`)  - **字段名称**: 告警置信度 - **字段ID**: `confidence` - **数据类型**: enum - **校验类型**: string_t - **描述**: 告警置信度表示对威胁检测、归因或分析结果准确性的等级评估指标。该字段为枚举类型，可选值包括：Low（低置信度）、Medium（中置信度）和High（高置信度）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Low` | 低置信度 | 告警信息基于单一、不确定的指标，可能存在误报，需要进一步验证 | | `Medium` | 中置信度 | 告警信息具有一定可靠性，但仍需分析确认 | | `High` | 高置信度 | 告警信息误报率极低，可信度很高 |  ---  ## 攻击链 (`killChain`)  - **字段名称**: 攻击链 - **字段ID**: `killChain` - **数据类型**: enum - **校验类型**: string_t - **描述**: 攻击链字段用于描述攻击行为在攻击生命周期中所处的具体阶段。该字段为枚举类型，其值必须为预定义的字符串常量，可选值包括但不限于：KC_Reconnaissance（侦查）、KC_Delivery（投递）、KC_Exploitation（利用）、KC_CommandControl（命令控制）、KC_InternalRecon（内部侦查）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `KC_Reconnaissance` | 侦查 | 网络攻击者选择目标，进行初步渗透并尝试发现信息系统版本、架构、漏洞等信息的过程。该过程可能涉及到多种方法，比如对web服务的扫描、对主机开放端口的探测等。通常该阶段的攻击有大量类似的行为，几乎都为攻击失败。 | | `KC_Delivery` | 投递 | 遭受攻击的设备接收或感染恶意程序、钓鱼邮件及黑客工具的阶段。投递过程可以是主动的，例如终端用户主动下载互联网恶意程序或接收钓鱼邮件附件等；也可以是被动的，例如攻击者使用开放服务的接口，上传木马、后门、远控程序等。从而让攻击者成功获取到受害设备的控制权限。 | | `KC_Exploitation` | 利用 | 网络攻击者在获取到目标的基本信息后，尝试利用目标可能存在的漏洞或缺陷进行针对性渗透攻击。利用过程可能成功，也可能失败（例如被防火墙、IPS设备、终端病毒防护程序阻断）。 | | `KC_CommandControl` | 命令控制 | 网络攻击者利用植入的后门或恶意程序，对受害设备进行远程控制。过程中可能由攻击者发送指令，唤醒或操控受害主机上的后门，执行相关命令；也可能由受害设备上运行的程序主动发起回连请求，向黑客传递信息数据。通常该阶段的告警意味着被攻击的目标可能已经失陷。 | | `KC_InternalRecon` | 内部侦查 | 攻击者通过某些手段登录成功进入目标网络系统(如窃取vpn账户、猜解远程控制窗口等)，并且在目标网络系统进行服务探测、信息收集的过程。该过程也可能是黑客成功获取了内部设备的权限，远程操控该设备进行。 | | `KC_LateralMov` | 横向渗透 | 信息系统内的设备失陷，或黑客窃取了登录口令后，攻击者在内部系统进行横向移动，尝试获取更多设备权限的过程。该过程主要涉及到内对内的漏洞利用和敏感操作等攻击，通常该阶段的告警意味着被攻击的目标可能已经失陷。 | | `KC_Profit` | 获利 | 网络攻击者成功向目标植入恶意程序后，采取具体行动来达到其目标，例如恶意加密目标主机设备上的文件、窃取和破坏数据、利用设备资源获取挖矿等，通常该阶段的告警意味着被攻击的目标可能已经失陷。 | | `KC_Others` | 无 | 非攻击行为，如配置错误、设备故障等。 |  ---  ## ATT&CK技术ID (`techniqueId`)  - **字段名称**: ATT&CK技术ID - **字段ID**: `techniqueId` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击技术的唯一标识符。格式为ATT&CK技术ID标准格式，通常以字母“T”开头，后接4位数字，例如：T1566。  ---  ## ATT&CK技术名称 (`techniqueName`)  - **字段名称**: ATT&CK技术名称 - **字段ID**: `techniqueName` - **数据类型**: string - **校验类型**: string_t - **描述**: ATT&CK技术名称，指攻击行为在MITRE ATT&CK框架中对应的具体攻击技术的名称。该字段为字符串类型，其值应符合MITRE ATT&CK官方技术命名规范，通常为英文短语或特定术语，例如“Phishing”。  ---  ## ATT&CK子技术ID (`subTechniqueId`)  - **字段名称**: ATT&CK子技术ID - **字段ID**: `subTechniqueId` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击子技术的唯一标识符。其格式为ATT&CK技术ID后加小数点与三位数字编号，例如 `T1566.001`。该标识符应符合MITRE ATT&CK官方规范。  ---  ## ATT&CK子技术名称 (`subTechniqueName`)  - **字段名称**: ATT&CK子技术名称 - **字段ID**: `subTechniqueName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击子技术的官方名称。名称格式应符合MITRE ATT&CK官方定义，通常为英文短语，采用驼峰命名法或空格分隔的单词组合，例如“Spearphishing Attachment”。  ---  ## 处置建议 (`suggestion`)  - **字段名称**: 处置建议 - **字段ID**: `suggestion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于提供针对威胁攻击的标准化响应和修复建议指导，其内容为字符串文本。建议内容应清晰、专业、具有可操作性，用于指导安全人员或系统进行后续处置。  ---  ## 病毒名称 (`virusName`)  - **字段名称**: 病毒名称 - **字段ID**: `virusName` - **数据类型**: string - **校验类型**: string_t - **描述**: 病毒的名称，用于唯一标识和识别特定的病毒或恶意软件。格式为字符串类型，通常包含病毒家族、类型、变种等层级信息。  ---  ## DHCP分配IP地址 (`dhcpAddress`)  - **字段名称**: DHCP分配IP地址 - **字段ID**: `dhcpAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 该字段记录DHCP服务器动态分配给客户端的IP地址。该值必须符合标准的IPv4或IPv6地址格式规范。  ---  ## 失败原因 (`failReason`)  - **字段名称**: 失败原因 - **字段ID**: `failReason` - **数据类型**: string - **校验类型**: string_t - **描述**: 记录操作失败的具体技术原因和上下文信息，通常为字符串文本，用于说明导致失败的详细技术细节或环境因素。  ---  ## 源用户名 (`srcUserName`)  - **字段名称**: 源用户名 - **字段ID**: `srcUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 源用户名指发起网络连接、系统访问或安全事件的主体用户身份名称。  ---  ## 关联用户名 (`relateUserName`)  - **字段名称**: 关联用户名 - **字段ID**: `relateUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识与主操作用户名存在关联关系的辅助用户名信息。  ---  ## 关联IP (`relateAddress`)  - **字段名称**: 关联IP - **字段ID**: `relateAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 关联IP是与主操作用户存在关联关系的辅助IP地址信息，用于记录三层关联情况下的网络地址信息。例如在数据库审计中的站库分离场景中，此字段可用于关联用户登录Web服务器时的网络地址。该字段值必须为有效的IPv4或IPv6地址格式。  ---  ## 关联信息 (`relateInfo`)  - **字段名称**: 关联信息 - **字段ID**: `relateInfo` - **数据类型**: string - **校验类型**: string_t - **描述**: 关联信息字段用于描述与主操作用户名存在关联关系的各类信息。其内容为由分号分隔的键值对列表，每个键值对使用冒号分隔。键通常为大写英文字母组成的标识符，值则为对应的具体信息。其中，若值为IP地址，应符合IPv4或IPv6格式；若值为URL，应符合通用URL格式规范；若值为端口，应在0-65535范围内。其他信息应使用明确的字符串表示。  ---  ## 数据库类型 (`dbType`)  - **字段名称**: 数据库类型 - **字段ID**: `dbType` - **数据类型**: string - **校验类型**: string_t - **描述**: 数据库管理系统(DBMS)的类型标识，用于指明所使用的具体数据库产品。常见取值包括但不限于：MYSQL, ORACLE, SQLSERVER, POSTGRESQL, MARIADB, DB2, MONGODB, REDIS等。  ---  ## 请求头 (`requestHeader`)  - **字段名称**: 请求头 - **字段ID**: `requestHeader` - **数据类型**: string - **校验类型**: string_t - **描述**: 请求头是HTTP网络请求中客户端向服务器发送请求时用于传递附加信息、客户端特性及身份验证等元数据的部分，其内容应为符合HTTP协议规范的字符串。  ---  ## 来源主机名 (`srcHostName`)  - **字段名称**: 来源主机名 - **字段ID**: `srcHostName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接或威胁攻击中发起方的主机名。主机名可以是NetBIOS名称、DNS主机名或本地配置的机器名。格式为字符串，通常遵循主机名的通用命名规范。  ---  ## 来源IP (`srcAddress`)  - **字段名称**: 来源IP - **字段ID**: `srcAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 来源IP地址，指网络连接或安全事件的发起方所使用的IP地址。该字段必须符合IP地址格式规范，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如：192.168.1.1），IPv6地址为冒号分隔的十六进制格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。  ---  ## 威胁情报子分类 (`tiSubcategory`)  - **字段名称**: 威胁情报子分类 - **字段ID**: `tiSubcategory` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示威胁情报IOC的情报子分类，用于标识具体的威胁类型或归属类别。格式为字符串枚举类型，必须从预定义的可选值中选择，例如：/WhiteList/Others 表示白名单，/C2/Sinkhole 表示安全机构接管的C2服务器，/C2/Trojan 表示木马类恶意文件回连，/C2/Virus 表示病毒类恶意文件回连，/C2/Worm 表示蠕虫类恶意文件回连。所有可选值均采用分层路径格式进行组织。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `/WhiteList/Others` | 白名单 | 可信实体和资源的白名单标识，用于减少误报 | | `/C2/Sinkhole` | 安全机构接管C2 | 被安全机构接管的命令与控制服务器，用于威胁研究和监测 | | `/C2/Trojan` | 木马类恶意文件回连 | 木马类恶意软件的命令与控制通信，用于远程控制受感染系统 | | `/C2/Virus` | 病毒类恶意文件回连 | 计算机病毒的命令与控制通信，具有自我复制能力 | | `/C2/Worm` | 蠕虫类恶意文件回连 | 网络蠕虫的命令与控制通信，通过网络传播感染 | | `/C2/Ransomware` | 勒索软件类恶意文件回连 | 勒索软件的命令与控制通信，用于数据加密和勒索支付 | | `/C2/Backdoor` | 后门类恶意文件回连 | 后门程序的命令与控制通信，提供未授权系统访问 | | `/C2/PasswordSteal` | 密码窃取类恶意文件回连 | 密码窃取恶意软件的命令与控制通信，用于凭证收集 | | `/C2/DDoS` | DDoS类恶意文件回连 | DDoS僵尸网络的命令与控制通信，用于分布式拒绝服务攻击 | | `/C2/KeyLogger` | 键盘记录类恶意文件回连 | 键盘记录器的命令与控制通信，用于捕获用户输入 | | `/C2/Rootkit` | Rootkit类恶意文件回连 | Rootkit的命令与控制通信，用于隐藏恶意活动 | | `/C2/Spyware` | 间谍软件类恶意文件回连 | 间谍软件的命令与控制通信，用于情报收集和监视 | | `/C2/Others` | 其他C2回连 | 其他类型的命令与控制服务器通信 | | `/Malware/Miner` | 矿池回连 | 加密货币挖矿恶意软件的矿池连接通信 | | `/Malware/Others` | 其他恶意域名回连 | 其他类型的恶意软件域名连接活动 | | `/PUA/ADHost` | 广告软件地址 | 广告软件和相关跟踪服务的网络地址 | | `/PUA/Gambling` | 博彩网站 | 在线赌博和相关欺诈活动的网络地址 | | `/PUA/Porn` | 色情网站 | 成人内容和可能包含恶意软件的网络地址 | | `/PUA/HackTool` | 黑客攻击回连 | 黑客工具和攻击框架相关的网络连接 | | `/PUA/MonitoringTool` | 监控工具回连 | 监控和监视软件的网络通信活动 | | `/PUA/Others` | 其他类不受欢迎地址回连 | 其他可能不需要的应用程序网络连接 | | `/Exploit/WebExploit` | Web漏洞利用 | 针对Web应用程序漏洞的攻击利用活动 | | `/Exploit/HostExploit` | 主机漏洞利用 | 针对操作系统和主机软件漏洞的攻击利用 | | `/Exploit/Others` | 其他类漏洞利用 | 其他类型的漏洞利用和攻击活动 | | `/Spam/Email` | 垃圾邮件 | 垃圾邮件发送源和相关基础设施 | | `/Spam/Message` | 垃圾信息 | 即时消息和社交媒体垃圾信息源 | | `/Spam/Others` | 其他垃圾信息 | 其他类型的垃圾信息和骚扰内容源 | | `/Suspicious/DGA` | DGA地址 | 域名生成算法（DGA）生成的恶意域名 | | `/Suspicious/Others` | 其他可疑地址 | 其他可疑和潜在恶意的网络地址 | | `/BruteForce/Services` | 服务暴力破解 | 针对网络服务的暴力破解攻击源 | | `/BruteForce/HTTP` | HTTP暴力破解 | 针对Web应用的HTTP协议暴力破解攻击 | | `/BruteForce/Credenti` | 撞库攻击 | 使用泄露凭证进行撞库攻击的源地址 | | `/BruteForce/Others` | 其他暴力破解 | 其他类型的暴力破解和凭证填充攻击 | | `/Phishing/Others` | 钓鱼地址 | 网络钓鱼攻击和欺诈网站地址 | | `/Scanner/Others` | 扫描地址 | 网络扫描和侦察活动源地址 | | `/Spider/Others` | 爬虫地址 | 网络爬虫和自动化内容采集活动 | | `/Compromised/Others` | 傀儡机 | 被入侵并控制的傀儡主机和僵尸节点 | | `/Info/IDC` | IDC服务器 | 互联网数据中心服务器和托管服务 | | `/Info/Bogon` | 保留地址 | 未分配和保留的IP地址空间 | | `/Info/DNS` | DNS服务器 | 域名系统服务器和解析服务 | | `/Info/DDNS` | 动态域名 | 动态域名解析服务地址 | | `/Info/DynamicIP` | 动态IP | 动态分配的IP地址范围 | | `/Info/CDN` | CDN服务器 | 内容分发网络服务器和边缘节点 | | `/Info/SEC` | 搜索引擎爬虫地址 | 搜索引擎爬虫和索引服务地址 | | `/Info/EDU` | 教育网 | 教育机构和学术网络地址 | | `/Info/BTTracker` | BT服务器 | BitTorrent跟踪器和P2P文件共享服务 | | `/Info/Tor` | Tor网络地址 | Tor匿名网络节点和出口中继 | | `/Info/Proxy` | 代理地址 | 代理服务器和匿名访问服务 | | `/Info/VPN` | VPN地址 | 虚拟专用网络服务和出口节点 | | `/Info/Others` | 其他类信息情报 | 其他信息类威胁情报标识 | | `/Others/Others` | 其他类未知情报 | 未分类和其他类型的威胁情报 |  ---  ## 响应体 (`responseBody`)  - **字段名称**: 响应体 - **字段ID**: `responseBody` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示HTTP网络请求响应客户端接收到的响应内容。格式为字符串，内容通常为文本、JSON、XML或HTML等。  ---  ## 转换后源端口 (`srcTransPort`)  - **字段名称**: 转换后源端口 - **字段ID**: `srcTransPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 转换后源端口表示在网络地址转换（NAT）或端口地址转换（PAT）过程中，源端口号被修改后的值。该字段为整数类型，取值范围为0到65535，需符合TCP/UDP端口号规范。  ---  ## 转换后目的IP (`destTransAddress`)  - **字段名称**: 转换后目的IP - **字段ID**: `destTransAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 该字段表示经过目的网络地址转换（DNAT）、端口转发或负载均衡处理后，数据包在网络层最终到达的目的IP地址。字段值必须符合IP地址格式规范，即IPv4点分十进制格式（如 192.168.1.1）或IPv6标准格式。  ---  ## 转换后目的端口 (`destTransPort`)  - **字段名称**: 转换后目的端口 - **字段ID**: `destTransPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段表示在目的网络地址转换（DNAT）或端口重定向过程中，目的端口号被修改后的最终端口值。格式为整数，取值范围为0到65535。  ---  ## 失陷指标 (`IoC`)  - **字段名称**: 失陷指标 - **字段ID**: `IoC` - **数据类型**: string - **校验类型**: string_t - **描述**: 失陷指标是用于识别和检测网络安全威胁的特定指标或标志，其具体内容可以是恶意文件的哈希值、可疑网络地址、可疑域名等。当该字段值为IP地址时，需符合IPv4或IPv6的标准格式；为域名时，需符合标准的域名格式；为文件哈希时，需为有效的MD5、SHA-1或SHA-256等哈希值字符串。  ---  ## 响应头 (`responseHeader`)  - **字段名称**: 响应头 - **字段ID**: `responseHeader` - **数据类型**: string - **校验类型**: string_t - **描述**: 响应头字段包含HTTP网络请求中服务器返回给客户端的元数据和服务器信息，用于描述响应内容（如内容类型、长度等）和服务器状态。该字段为字符串类型，其内容需符合HTTP协议标准规范。  ---  ## 密码 (`passwd`)  - **字段名称**: 密码 - **字段ID**: `passwd` - **数据类型**: string - **校验类型**: string_t - **描述**: 密码是用户用于验证身份或访问权限的一组秘密字符，通常为字符串类型。建议使用强密码策略，长度建议在8到128个字符之间，可包含大小写字母、数字及特殊字符。  ---  ## HTTP请求体 (`requestBody`)  - **字段名称**: HTTP请求体 - **字段ID**: `requestBody` - **数据类型**: string - **校验类型**: string_t - **描述**: HTTP网络请求客户端向服务器发送请求时传递的数据内容，通常包含请求参数、表单数据或JSON体。  ---  ## 请求Cookie (`requestCookies`)  - **字段名称**: 请求Cookie - **字段ID**: `requestCookies` - **数据类型**: string - **校验类型**: string_t - **描述**: 请求Cookie是网站服务器发送到浏览器并存储的小型文本文件，用于在后续请求中识别用户身份或记录状态。其格式为标准的HTTP Cookie字符串，通常由多个以分号和空格分隔的键值对组成。  ---  ## 返回的IP地址 (`responseAddress`)  - **字段名称**: 返回的IP地址 - **字段ID**: `responseAddress` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段记录DNS查询响应中返回的IP地址信息。其值必须符合IP地址的标准格式，即IPv4点分十进制格式（如：192.168.1.1）或IPv6格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。  ---  ## 请求URI (`requestUrlQuery`)  - **字段名称**: 请求URI - **字段ID**: `requestUrlQuery` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示HTTP请求URL中从根路径符“/”开始到查询字符串末尾的部分，即包括路径和查询参数。格式要求：必须为有效的URI路径及查询字符串，以“/”开头，可以包含字母、数字、连字符、下划线、点号以及查询参数（以“?”开头，参数间以“&”分隔）。  ---  ## 情报分类 (`IoCType`)  - **字段名称**: 情报分类 - **字段ID**: `IoCType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示威胁情报指标的类型，用于分类不同的威胁情报数据。格式要求：必须为预定义的枚举值之一，包括url（URL地址）、ip（IP地址）、file（文件哈希）、email（邮箱地址）和domain（域名）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `url` | URL地址 | 恶意软件分发、钓鱼攻击或命令控制服务器使用的统一资源定位符 | | `ip` | IP地址 | 恶意活动相关的IPv4或IPv6地址，常用于命令控制服务器或攻击源标识 | | `file` | 文件哈希 | 恶意软件、可疑文件的密码学哈希值，包括MD5、SHA1、SHA256等算法 | | `email` | 邮箱地址 | 网络钓鱼、垃圾邮件或社会工程攻击中使用的电子邮件地址 | | `domain` | 域名 | 恶意软件命令控制、网络钓鱼或欺诈活动使用的域名 |  ---  ## 威胁情报分类 (`tiCategory`)  - **字段名称**: 威胁情报分类 - **字段ID**: `tiCategory` - **数据类型**: enum - **校验类型**: string_t - **描述**: 威胁情报分类，表示威胁情报IOC的情报分类。该字段为枚举类型，必须从预定义的可选值中选择一个，例如：/WhiteList（白名单）、/C2（C&C地址）、/Malware（恶意通信地址）、/PUA（不受欢迎地址）、/Exploit（漏洞利用）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `/WhiteList` | 白名单 | 可信实体或指标列表，用于减少误报和排除合法流量 | | `/C2` | C&C地址 | 命令与控制服务器地址，恶意软件与攻击者通信的控制通道 | | `/Malware` | 恶意通信地址 | 与恶意软件相关的通信地址，包括病毒、蠕虫、勒索软件等下载或更新服务器 | | `/PUA` | 不受欢迎地址 | 可能不需要的应用程序相关地址，虽非恶意但可能带来隐私或安全风险 | | `/Exploit` | 漏洞利用 | 漏洞利用工具或攻击代码相关地址，用于软件漏洞攻击和权限提升 | | `/Spam` | 垃圾信息 | 垃圾邮件或垃圾信息源地址，发送未经请求的批量商业或恶意信息 | | `/Suspicious` | 可疑类情报 | 行为异常或具有潜在威胁的指标，需要进一步安全分析和调查 | | `/BruteForce` | 暴力破解 | 暴力破解攻击源地址，系统化尝试猜测认证凭证和密码 | | `/Phishing` | 钓鱼地址 | 网络钓鱼网站或邮件服务器地址，伪装成可信实体骗取敏感信息 | | `/Scanner` | 扫描地址 | 网络扫描活动源地址，探测网络漏洞、开放端口和服务信息 | | `/Spider` | 爬虫地址 | 网络爬虫或机器人地址，自动抓取网页内容可能用于信息收集 | | `/Compromised` | 傀儡机 | 已被入侵的主机地址，被攻击者控制用于发起进一步攻击 | | `/Info` | 信息类情报 | 上下文信息类威胁情报，包括攻击组织、战术技术和程序等信息 | | `/Others` | 其他类情报 | 不属于上述标准分类的其他类型威胁情报指标 |  ---  ## 请求方法 (`requestMethod`)  - **字段名称**: 请求方法 - **字段ID**: `requestMethod` - **数据类型**: string - **校验类型**: string_t - **描述**: 网络请求客户端向服务器发送请求时使用的HTTP请求方法类型，如GET、POST、PUT、DELETE等标准方法。该字段值必须统一使用大写英文字母表示  ---  ## 邮件格式 (`mailType`)  - **字段名称**: 邮件格式 - **字段ID**: `mailType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段标识邮件内容的格式类型，其值为枚举类型，必须在指定的枚举值范围内取值，包括：text（纯文本格式）、html（HTML格式）、multipart（多部分格式）以及others（其他格式）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `text` | 纯文本 | 邮件内容为纯文本格式 | | `html` | HTML格式 | 邮件内容为HTML格式，可能包含富文本和脚本 | | `multipart` | 多部分格式 | 邮件内容包含多个部分，如文本、HTML和附件 | | `others` | 其他格式 | 其他邮件内容格式，如富文本格式等 |  ---  ## 注册表新键名 (`regNewName`)  - **字段名称**: 注册表新键名 - **字段ID**: `regNewName` - **数据类型**: string - **校验类型**: string_t - **描述**: 注册表操作事件中修改后的注册表键名，为字符串类型。该字段应遵循操作系统的注册表键名命名规范，通常可包含字母、数字、下划线、连字符、点以及反斜杠路径分隔符。  ---  ## 连接数量 (`connectCount`)  - **字段名称**: 连接数量 - **字段ID**: `connectCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 连接数量是指统计当前活跃的网络连接会话总数。该字段为整数类型，取值范围为0到4294967295，代表非负的连接数量统计值。  ---  ## RST包数量 (`rstCount`)  - **字段名称**: RST包数量 - **字段ID**: `rstCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段用于统计TCP连接中接收或发送的复位(RST)数据包数量。其值为非负整数，表示RST包的具体个数。  ---  ## FIN包数量 (`finCount`)  - **字段名称**: FIN包数量 - **字段ID**: `finCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 统计TCP连接正常终止过程中发送的结束(FIN)数据包数量。该字段为非负整数，表示FIN包的数量。  ---  ## SYN包数量 (`synCount`)  - **字段名称**: SYN包数量 - **字段ID**: `synCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段统计TCP三次握手过程中发送的同步(SYN)数据包数量。其值为非负整数，表示特定时间窗口或连接中观察到的SYN包总数。  ---  ## 峰值数据包速率 (`peakPackagesRate`)  - **字段名称**: 峰值数据包速率 - **字段ID**: `peakPackagesRate` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 峰值数据包速率，记录网络接口或系统在特定时间段内每秒处理的最大数据包数量，单位是包每秒（pps）。该字段为非负整数，用于衡量网络流量的瞬时峰值负载。  ---  ## 数据包数量 (`flowPackets`)  - **字段名称**: 数据包数量 - **字段ID**: `flowPackets` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 统计网络会话或时间窗口内传输的数据包累计数量。该字段为整型数值，表示无符号的计数。  ---  ## 字节数量 (`bytesCount`)  - **字段名称**: 字节数量 - **字段ID**: `bytesCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段统计网络会话或时间窗口内传输的字节累计数量。其值为非负整数，表示传输的总字节数。  ---  ## 丢包速率 (`dropPackagesRate`)  - **字段名称**: 丢包速率 - **字段ID**: `dropPackagesRate` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 丢包速率表示统计网络传输过程中丢失的数据包速率，单位为每秒数据包个数（pps）。该字段为整型数值，取值范围为非负整数。  ---  ## 进程用户名 (`processUserName`)  - **字段名称**: 进程用户名 - **字段ID**: `processUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示执行进程的操作系统用户账号。格式要求：用户名应为有效的操作系统用户标识，通常由字母、数字、下划线等字符组成。  ---  ## 流进数据包数 (`pktsIn`)  - **字段名称**: 流进数据包数 - **字段ID**: `pktsIn` - **数据类型**: long - **校验类型**: long_t - **描述**: 该字段统计网络接口或会话在入方向接收到的数据包总数。其值为非负长整型数字，表示数据包的绝对数量。  ---  ## 流出数据包数 (`pktsOut`)  - **字段名称**: 流出数据包数 - **字段ID**: `pktsOut` - **数据类型**: long - **校验类型**: long_t - **描述**: 流出数据包数，用于统计网络接口或会话发送的出方向数据包总数。该字段值为非负长整型数值。  ---  ## 情报危害等级 (`IoCLevel`)  - **字段名称**: 情报危害等级 - **字段ID**: `IoCLevel` - **数据类型**: enum - **校验类型**: string_t - **描述**: 情报IOC的危害程度评估等级，采用枚举类型表示，可选值包括：Critical（严重）、High（高）、Medium（中）、Low（低）、Info（信息）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Medium` | 中 | 中等威胁级别，与已知恶意活动相关，需要关注和监控 | | `Low` | 低 | 低威胁级别，可疑但风险有限，建议观察和记录 | | `Info` | 信息 | 信息级别，仅用于参考和上下文分析，不构成直接威胁 | | `High` | 高 | 高威胁级别，与活跃攻击活动强相关，需要立即调查和响应 | | `Critical` | 严重 | 严重威胁级别，确认的恶意活动，需要紧急处置和遏制 |  ---  ## 威胁组织ID (`threatActorOrgId`)  - **字段名称**: 威胁组织ID - **字段ID**: `threatActorOrgId` - **数据类型**: string - **校验类型**: string_t - **描述**: 威胁情报IOC所属组织或家族的唯一标识符，通常采用UUID格式的字符串，由32位十六进制数字组成。  ---  ## 病毒家族 (`virusFamily`)  - **字段名称**: 病毒家族 - **字段ID**: `virusFamily` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示病毒的家族分类，指具有共同代码基础、攻击手法或作者关联的病毒分组。  ---  ## 文件列表 (`fileList`)  - **字段名称**: 文件列表 - **字段ID**: `fileList` - **数据类型**: string - **校验类型**: string_t - **描述**: 记录邮件中所有附件的文件名集合，格式为以逗号分隔的字符串。文件名应仅包含合法字符，避免包含特殊字符如换行符、引号或路径分隔符。  ---  ## 操作系统用户名 (`osUser`)  - **字段名称**: 操作系统用户名 - **字段ID**: `osUser` - **数据类型**: string - **校验类型**: string_t - **描述**: 在操作系统层面进行身份验证或执行操作的用户标识。该字段为字符串类型，通常由字母、数字、下划线、点或连字符等字符组成。  ---  ## 邮件主题 (`mailSubject`)  - **字段名称**: 邮件主题 - **字段ID**: `mailSubject` - **数据类型**: string - **校验类型**: string_t - **描述**: 邮件主题行内容，用于概括邮件的主要目的和内容概要。  ---  ## 查询类型 (`queryType`)  - **字段名称**: 查询类型 - **字段ID**: `queryType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段标识DNS查询请求的资源记录类型。其值必须为预定义的枚举字符串，例如：A (IPv4地址记录)、AAAA (IPv6地址记录)、CNAME (规范名称记录)、MX (邮件交换记录)、TXT (文本记录)等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `A` | IPv4地址记录 | 主机IPv4地址记录，最常见的DNS查询类型 | | `AAAA` | IPv6地址记录 | 主机IPv6地址记录，用于IPv6网络检测 | | `CNAME` | 规范名称记录 | 域名别名记录，用于域名重定向分析 | | `MX` | 邮件交换记录 | 邮件服务器记录，用于邮件基础设施分析 | | `TXT` | 文本记录 | 文本信息记录，常用于DNS隧道和SPF验证 | | `NS` | 域名服务器记录 | 权威域名服务器记录，用于DNS基础设施分析 | | `PTR` | 指针记录 | 反向DNS查找记录，用于IP到域名映射 | | `SOA` | 起始授权记录 | 区域授权起始记录，用于DNS区域管理 | | `SRV` | 服务定位记录 | 服务定位记录，用于特定服务发现 | | `ANY` | 所有记录类型 | 请求所有可用记录，常用于DNS侦察和放大攻击 |  ---  ## 邮件内容 (`mailContent`)  - **字段名称**: 邮件内容 - **字段ID**: `mailContent` - **数据类型**: string - **校验类型**: string_t - **描述**: 邮件的主要文本内容体，包含邮件的详细信息和通信内容。  ---  ## 进程路径 (`image`)  - **字段名称**: 进程路径 - **字段ID**: `image` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示进程可执行文件在文件系统中的完整路径。路径格式应符合操作系统规范，通常为字符串形式，例如以斜杠（/）开头的绝对路径（Linux/Unix系统）或包含盘符和反斜杠的路径（Windows系统）。  ---  ## 请求操作系统 (`requestOs`)  - **字段名称**: 请求操作系统 - **字段ID**: `requestOs` - **数据类型**: string - **校验类型**: string_t - **描述**: 标识网络请求中客户端使用的操作系统类型和版本信息。字段值为字符串类型，应包含操作系统名称及版本号，如“Windows 10”、“Mac OS X 10.13”、“Android 12”等。  ---  ## 响应操作系统 (`responseOs`)  - **字段名称**: 响应操作系统 - **字段ID**: `responseOs` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识服务器在响应中透露的操作系统类型和版本信息。通常包含操作系统名称（如Linux、Windows）及其版本号（如Ubuntu 20.04、Windows Server 2019）。  ---  ## Kerberos消息类型 (`kerberosMsgType`)  - **字段名称**: Kerberos消息类型 - **字段ID**: `kerberosMsgType` - **数据类型**: enum - **校验类型**: string_t - **描述**: Kerberos协议中的消息类型，用于标识认证过程中不同阶段的各种请求和响应。该字段为枚举类型，其值必须为预定义的可选值之一，例如：AS_REQ（认证服务请求）、AS_REP（认证服务响应）、TGS_REQ（票据授权服务请求）、TGS_REP（票据授权服务响应）、AP_REQ（应用请求）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `AS_REQ` | 认证服务请求 | 认证服务请求，客户端向KDC请求TGT票据 | | `AS_REP` | 认证服务响应 | KDC对AS-REQ的响应，返回加密的TGT | | `TGS_REQ` | 票据授权服务请求 | 票据授权服务请求，使用TGT请求服务票据 | | `TGS_REP` | 票据授权服务响应 | KDC对TGS-REQ的响应，返回服务票据 | | `AP_REQ` | 应用请求 | 应用请求，客户端向服务出示服务票据 | | `AP_REP` | 应用响应 | 应用响应，服务端对AP-REQ的验证响应 | | `KRB_SAFE` | 安全消息 | Kerberos安全消息，提供完整性和校验 | | `KRB_PRIV` | 私有消息 | Kerberos私有消息，提供机密性保护 | | `KRB_CRED` | 凭据消息 | Kerberos凭据消息，用于凭据转发 | | `KRB_ERROR` | 错误消息 | Kerberos错误消息，返回认证错误信息 |  ---  ## 票据生效时间 (`timesFrom`)  - **字段名称**: 票据生效时间 - **字段ID**: `timesFrom` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 票据的生效时间，在此之前票据不可用。时间格式必须为 yyyy-mm-dd HH:mm:ss。  ---  ## 票据过期时间 (`timesTill`)  - **字段名称**: 票据过期时间 - **字段ID**: `timesTill` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 票据的绝对过期时间，表示Kerberos票据在该时间点后将失效。时间格式必须符合yyyy-mm-dd HH:mm:ss的规范。  ---  ## 父进程用户名 (`parentProcessUserName`)  - **字段名称**: 父进程用户名 - **字段ID**: `parentProcessUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 父进程在操作系统中的用户账号名称，用于标识启动该进程的用户身份。  ---  ## 父进程路径 (`parentImage`)  - **字段名称**: 父进程路径 - **字段ID**: `parentImage` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示父进程可执行文件在文件系统中的完整路径。其值应为符合操作系统规范的字符串格式，通常为绝对路径，例如以斜杠（/）开头的Unix/Linux路径或以盘符（如C:\\）开头的Windows路径。路径中不应包含非法字符，且长度应在系统允许的范围内。示例：/usr/bin/bash 或 C:\\Windows\\System32\\cmd.exe。  ---  ## 进程命令行 (`commandLine`)  - **字段名称**: 进程命令行 - **字段ID**: `commandLine` - **数据类型**: string - **校验类型**: string_t - **描述**: 进程命令行是启动进程时传入的完整命令行字符串，用于记录执行进程的具体命令和参数。  ---  ## 父进程命令行 (`parentCommandLine`)  - **字段名称**: 父进程命令行 - **字段ID**: `parentCommandLine` - **数据类型**: string - **校验类型**: string_t - **描述**: 父进程启动时传入的完整命令行字符串。  ---  ## 起始地址 (`startAddress`)  - **字段名称**: 起始地址 - **字段ID**: `startAddress` - **数据类型**: string - **校验类型**: string_t - **描述**: 起始地址是新线程开始执行的内存虚拟地址，指向线程代码的入口点。格式要求为十六进制字符串，通常以\"0x\"前缀开头，后跟十六进制数字（0-9， a-f）。  ---  ## 起始模块 (`startModule`)  - **字段名称**: 起始模块 - **字段ID**: `startModule` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示线程开始执行的模块名称，格式为字符串类型，通常记录可执行文件或动态链接库的名称，示例为\"ntdll.dll\"或\"kernel32.dll\"。  ---  ## 目标文件 (`targetFilename`)  - **字段名称**: 目标文件 - **字段ID**: `targetFilename` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标文件是指系统操作或文件操作中涉及的文件的完整路径。格式要求：必须是有效的文件路径字符串，路径分隔符为正斜杠（/）或反斜杠（\\）。示例值：/data1/uacp/shell/uacpClient.sh。  ---  ## 设备处置动作 (`dvcAction`)  - **字段名称**: 设备处置动作 - **字段ID**: `dvcAction` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备处置动作字段记录安全设备对检测到的威胁或异常行为采取的自动处置动作，例如阻断、放行、隔离或告警，取值应为描述处置动作的字符串。  ---  ## 持续时间 (`durationTime`)  - **字段名称**: 持续时间 - **字段ID**: `durationTime` - **数据类型**: long - **校验类型**: long_t - **描述**: 持续时间表示事件或操作从开始到结束的完整时间长度，以秒为单位。该字段为长整型数值，应大于等于0。  ---  ## 注册表值名称 (`regValue`)  - **字段名称**: 注册表值名称 - **字段ID**: `regValue` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段存储Windows注册表键值中存储的实际配置数据。其值为字符串类型，内容为注册表项的具体数值或配置信息。  ---  ## 加载项路径 (`imageLoaded`)  - **字段名称**: 加载项路径 - **字段ID**: `imageLoaded` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段记录进程运行时加载的动态链接库或驱动模块在文件系统中的完整路径。格式为字符串，应使用操作系统标准的文件路径格式表示，例如Windows系统采用盘符加反斜杠分隔的路径（如C:\\Program Files\\...），Linux/Unix系统采用正斜杠分隔的绝对路径（如/usr/lib/...）。路径中不应包含环境变量或相对路径符号（如.、..、~）。  ---  ## 用户名称 (`userName`)  - **字段名称**: 用户名称 - **字段ID**: `userName` - **数据类型**: string - **校验类型**: string_t - **描述**: 用户名称，指用户的真实姓名。  ---  ## 目标用户名 (`destUserName`)  - **字段名称**: 目标用户名 - **字段ID**: `destUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网络连接、系统访问或安全事件的目标主体用户身份名称。其值为字符串类型，具体内容应为操作系统或应用程序中定义的有效用户名。  ---  ## 是否主动发起 (`initiated`)  - **字段名称**: 是否主动发起 - **字段ID**: `initiated` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 标识网络连接是由本地端点主动发起还是被动接受。格式必须为布尔值，只能取 true 或 false，其中 true 表示连接由本地端点主动发起，false 表示连接由本地端点被动接受。  ---  ## 文件SHA-256哈希值 (`sha256`)  - **字段名称**: 文件SHA-256哈希值 - **字段ID**: `sha256` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件内容的SHA-256密码学哈希值，用于唯一标识和验证文件完整性。格式要求为64位十六进制字符串，字符集为0-9、a-f（大小写不敏感）。  ---  ## 目标进程路径 (`destImage`)  - **字段名称**: 目标进程路径 - **字段ID**: `destImage` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标进程的可执行文件完整路径，用于记录跨进程操作中目标进程的路径信息。该字段为字符串类型，应提供包含盘符、目录和文件名的完整绝对路径，例如Windows系统的可执行文件路径格式。  ---  ## 目标主机名 (`destHostName`)  - **字段名称**: 目标主机名 - **字段ID**: `destHostName` - **数据类型**: string - **校验类型**: string_t - **描述**: 目标主机名（目标标识）指网络连接或安全事件中目标设备的网络标识，它可以是 DNS 主机名（含 FQDN）、NetBIOS 名称、本地主机名或 IP 地址；若访问时包含非标准端口，则通常应在标识后附加 :端口号（如 192.168.1.1:8080 或 host.example.com:8443）。  ---  ## 目的IP (`destAddress`)  - **字段名称**: 目的IP - **字段ID**: `destAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 目的IP地址，标识网络通信连接的目标IP地址。格式要求：必须符合IP地址格式规范，支持IPv4（如192.168.1.1）或IPv6（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）地址表示法。  ---  ## 转换后源IP地址 (`srcTransAddress`)  - **字段名称**: 转换后源IP地址 - **字段ID**: `srcTransAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 转换后源IP地址是指经过网络地址转换（NAT）、代理服务器或VPN隧道封装处理后，数据包在网络层呈现的源IP地址。该字段必须符合IP地址格式规范，即点分十进制表示的IPv4地址（例如：192.168.1.1）或符合RFC标准的IPv6地址。  ---  ## CVE编号 (`cve`)  - **字段名称**: CVE编号 - **字段ID**: `cve` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示通用漏洞披露(CVE)标准漏洞标识符，用于唯一标识一个公开的网络安全漏洞。其格式必须严格遵循“CVE-YYYY-NNNN…”模式，其中YYYY为4位数字的年份，NNNN…为漏洞在该年份中的序列号（数字位数不固定）。例如：CVE-2012-3152。  ---  ## 耗时 (`cost`)  - **字段名称**: 耗时 - **字段ID**: `cost` - **数据类型**: long - **校验类型**: long_t - **描述**: 该字段记录命令、脚本或程序执行的耗时，单位为毫秒。其值为长整型（long），表示从操作开始到结束所经过的时间长度，必须为非负整数。  ---  ## 命令行内容 (`cmdContent`)  - **字段名称**: 命令行内容 - **字段ID**: `cmdContent` - **数据类型**: string - **校验类型**: string_t - **描述**: 命令行内容，指在计算机系统或终端中执行的具体命令字符串。内容通常为ASCII或UTF-8编码的可读文本。  ---  ## 客户端程序 (`clientPrg`)  - **字段名称**: 客户端程序 - **字段ID**: `clientPrg` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识连接数据库或其他服务的客户端应用程序名称，通常为客户端软件或驱动程序的名称。  ---  ## 传输协议 (`transProtocol`)  - **字段名称**: 传输协议 - **字段ID**: `transProtocol` - **数据类型**: enum - **校验类型**: string_t - **描述**: 传输层协议类型，表示OSI模型中传输层使用的协议。可选值包括：TCP（传输控制协议）、UDP（用户数据报协议）等标准传输层协议。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `TCP` | 传输控制协议 | 面向连接的可靠传输协议，提供数据包顺序传输、错误检测和重传机制 | | `UDP` | 用户数据报协议 | 无连接的不可靠传输协议，提供低延迟的数据传输，适用于实时应用 |  ---  ## 标签 (`tag`)  - **字段名称**: 标签 - **字段ID**: `tag` - **数据类型**: array - **校验类型**: string_t - **描述**: 该字段用于标识告警的特征或分类标签集合。格式要求：必须为字符串数组。每个标签应为非空字符串，内容通常为描述告警特征或分类的文本，如“端口扫描”、“非法外连”等。  ---  ## 抄送人 (`ccUserName`)  - **字段名称**: 抄送人 - **字段ID**: `ccUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 抄送人字段用于记录邮件抄送接收方的邮箱地址集合。该字段值为字符串类型，其内容应为一个或多个符合RFC 5322标准的有效邮箱地址。多个地址之间通常使用逗号分隔。  ---  ## 是否签名 (`signed`)  - **字段名称**: 是否签名 - **字段ID**: `signed` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 标识目标对象是否包含有效的数字签名证书。该字段为布尔类型，取值为 true 或 false，表示“是”或“否”。  ---  ## 签名信息 (`signature`)  - **字段名称**: 签名信息 - **字段ID**: `signature` - **数据类型**: string - **校验类型**: string_t - **描述**: 签名信息用于验证文件或数据完整性的数字签名或证书信息，其格式为字符串。该字段通常包含签名算法标识、签名值或证书颁发者与主题等文本信息。  ---  ## 响应字节数 (`bytesOut`)  - **字段名称**: 响应字节数 - **字段ID**: `bytesOut` - **数据类型**: long - **校验类型**: long_t - **描述**: 响应字节数，用于统计服务器响应消息的字节总量。该字段为长整型数值，其值必须为非负整数，表示字节数。  ---  ## 请求字节数 (`bytesIn`)  - **字段名称**: 请求字节数 - **字段ID**: `bytesIn` - **数据类型**: long - **校验类型**: long_t - **描述**: 该字段用于统计客户端请求消息的字节总量，其值为非负长整型。  ---  ## 密送人 (`bccUserName`)  - **字段名称**: 密送人 - **字段ID**: `bccUserName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段记录邮件密送接收方的邮箱地址集合，多个地址应以英文分号分隔。每个邮箱地址需符合标准的电子邮件地址格式，通常包含本地部分、@符号和域名部分。  ---  ## 起始函数 (`startFunction`)  - **字段名称**: 起始函数 - **字段ID**: `startFunction` - **数据类型**: string - **校验类型**: string_t - **描述**: 起始函数是新线程开始执行的入口点函数名称，格式为字符串类型，仅支持字母、数字和下划线的组合。  ---  ## 函数调用栈 (`callTrace`)  - **字段名称**: 函数调用栈 - **字段ID**: `callTrace` - **数据类型**: string - **校验类型**: string_t - **描述**: 函数调用栈记录了线程创建时刻的函数调用序列，包含模块名和内存地址偏移。格式为由竖线“|”分隔的多个调用帧，每个调用帧的格式为“模块文件完整路径+十六进制内存偏移量”。模块路径应使用标准文件系统路径格式，内存偏移量应为不带“0x”前缀的十六进制数字。  ---  ## CVSS向量 (`cvssVector`)  - **字段名称**: CVSS向量 - **字段ID**: `cvssVector` - **数据类型**: string - **校验类型**: string_t - **描述**: 通用漏洞评分系统(CVSS)向量字符串，用于以标准化格式描述漏洞的各个度量维度的取值。该字符串必须遵循CVSS官方定义的向量格式规范，通常以版本标识符（如\"CVSS:3.0/\"或\"CVSS:3.1/\"）开头，后跟一系列由斜杠分隔的度量项/值对（例如\"AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\"）。  ---  ## CVSS版本 (`cvssVersion`)  - **字段名称**: CVSS版本 - **字段ID**: `cvssVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 通用漏洞评分系统(CVSS)的版本标识符。此字段用于区分不同版本的CVSS评估标准，例如CVSSv2.0、CVSSv3.0或CVSSv3.1。格式通常为固定字符串“CVSSv”后跟主版本号和可选的次版本号（例如，CVSSv3.1）。  ---  ## CNCVE漏洞标识符 (`cncve`)  - **字段名称**: CNCVE漏洞标识符 - **字段ID**: `cncve` - **数据类型**: string - **校验类型**: string_t - **描述**: CNCVE漏洞标识符是国家信息安全漏洞共享平台颁发的漏洞唯一标识符，用于唯一标识一个漏洞。其格式必须严格遵循“CNCVE-YYYY-NNNNN”的规范，其中“CNCVE”为固定前缀，其后跟随一个连字符“-”；“YYYY”代表四位数字的年份；之后是另一个连字符“-”；“NNNNN”代表五位数字的序列号。整个标识符需保持大写字母格式。  ---  ## CNVD漏洞标识符 (`cnvd`)  - **字段名称**: CNVD漏洞标识符 - **字段ID**: `cnvd` - **数据类型**: string - **校验类型**: string_t - **描述**: CNVD漏洞标识符是由国家信息安全漏洞共享平台(CNVD)颁发的漏洞唯一标识编号，用于唯一标识和追踪漏洞。其格式为固定字符串\"CNVD-\"后接年份、连字符和序列号，例如\"CNVD-2022-10627\"。该字段为字符串类型，需严格遵循\"CNVD-YYYY-NNNNN\"的格式规范，其中YYYY为四位数年份，NNNNN为漏洞序列号。  ---  ## CNNVD漏洞标识符 (`cnnvd`)  - **字段名称**: CNNVD漏洞标识符 - **字段ID**: `cnnvd` - **数据类型**: string - **校验类型**: string_t - **描述**: 中国国家信息安全漏洞库(CNNVD)颁发的漏洞唯一标识符。该标识符遵循特定的命名格式，通常以“CNNVD-”为前缀，后接年份和月份（格式为YYYYMM），最后是三位数字的序列号，各部分之间用连字符“-”连接。完整的标准格式为：CNNVD-YYYYMM-NNN，其中NNN代表从001开始的三位顺序编号。  ---  ## cvss基础分值 (`cvssBaseScore`)  - **字段名称**: cvss基础分值 - **字段ID**: `cvssBaseScore` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示通用漏洞评分系统(CVSS)基础度量组计算的评分值，用于衡量漏洞的固有严重性。取值为字符串类型，格式为一个小数点后保留一位的浮点数，表示范围为0.0至10.0。  ---  ## 主机名称 (`hostName`)  - **字段名称**: 主机名称 - **字段ID**: `hostName` - **数据类型**: string - **校验类型**: string_t - **描述**: 主机在网络中的标识名称，通常用于在局域网或DNS系统中识别特定设备，例如NetBIOS名称或DNS主机名。格式要求：必须为有效的字符串，允许使用字母、数字、连字符（-）和点号（.），但不得以连字符或点号开头或结尾。  ---  ## 用户代理 (`userAgent`)  - **字段名称**: 用户代理 - **字段ID**: `userAgent` - **数据类型**: string - **校验类型**: string_t - **描述**: 用户代理字符串，用于标识发起请求的客户端（用户代理）的匿名化信息，通常包含客户端的操作系统、浏览器类型、版本、设备类型等。格式需符合HTTP标准的User-Agent字符串。  ---  ## Web服务器软件 (`webServerSoftware`)  - **字段名称**: Web服务器软件 - **字段ID**: `webServerSoftware` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示网站服务运行的服务器软件名称，例如Nginx、Apache等。  ---  ## 密码复杂度 (`passwordComplexity`)  - **字段名称**: 密码复杂度 - **字段ID**: `passwordComplexity` - **数据类型**: enum - **校验类型**: string_t - **描述**: 密码策略的复杂度等级，用于定义密码必须满足的复杂性要求。取值必须为预定义的枚举值之一：Low (低复杂度)、Medium (中等复杂度) 或 High (高复杂度)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `Low` | 低复杂度 | 基础密码要求，通常仅要求最小长度 | | `Medium` | 中等复杂度 | 要求混合字符类型（字母+数字），中等长度要求 | | `High` | 高复杂度 | 要求大小写字母、数字和特殊字符组合，高强度安全要求 |  ---  ## 密码过期策略 (`passwordExpirationPolicy`)  - **字段名称**: 密码过期策略 - **字段ID**: `passwordExpirationPolicy` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 密码策略要求的密码有效期，单位为天，必须是正整数。  ---  ## 错误信息 (`errorMessage`)  - **字段名称**: 错误信息 - **字段ID**: `errorMessage` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于记录系统、服务或应用程序在运行或交互过程中返回的详细错误描述信息，通常包含错误代码、错误原因、问题上下文或具体错误说明。  ---  ## SQL语句 (`sql`)  - **字段名称**: SQL语句 - **字段ID**: `sql` - **数据类型**: string - **校验类型**: string_t - **描述**: SQL语句是提交给数据库执行的标准化查询语言，通常用于数据查询、插入、更新或删除操作。格式上，它必须是一个符合SQL语法规范的字符串，可以包含字母、数字、运算符、空格及特定的SQL关键字和符号。  ---  ## 请求参数 (`requestParameters`)  - **字段名称**: 请求参数 - **字段ID**: `requestParameters` - **数据类型**: string - **校验类型**: string_t - **描述**: 请求参数是网络请求中携带的参数内容，用于传递客户端向服务器发送的具体数据。参数内容通常为字符串格式，可以是查询字符串、表单数据、JSON对象或其他序列化形式，具体格式取决于请求类型（如GET、POST等）和内容类型（Content-Type）。  ---  ## 权限集合 (`privilegeList`)  - **字段名称**: 权限集合 - **字段ID**: `privilegeList` - **数据类型**: string - **校验类型**: string_t - **描述**: 权限集合字段用于描述系统或文件所拥有的访问控制权限。  ---  ## 最小密码使用天数 (`minPasswordAge`)  - **字段名称**: 最小密码使用天数 - **字段ID**: `minPasswordAge` - **数据类型**: string - **校验类型**: integer_t - **描述**: 该字段表示密码修改策略要求密码必须使用的最短天数。其值为非负整数，以天为单位。  ---  ## 最大密码使用天数 (`maxPasswordAge`)  - **字段名称**: 最大密码使用天数 - **字段ID**: `maxPasswordAge` - **数据类型**: string - **校验类型**: integer_t - **描述**: 最大密码使用天数，表示密码策略要求的密码最长有效天数，超过此天数后密码必须修改。该字段值为整数，单位为天。  ---  ## 强制注销 (`forceLogoff`)  - **字段名称**: 强制注销 - **字段ID**: `forceLogoff` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段用于控制在用户登录时间到期后是否强制注销用户会话。其值为布尔类型，仅允许使用 `true` 或 `false` 表示。`true` 表示启用强制注销，`false` 表示不启用。  ---  ## 锁定观察窗口 (`lockoutObservationWindow`)  - **字段名称**: 锁定观察窗口 - **字段ID**: `lockoutObservationWindow` - **数据类型**: long - **校验类型**: long_t - **描述**: 锁定观察窗口是系统用于监控和记录失败登录尝试的时间范围。该字段为长整型数值，单位为分钟，表示一个持续的时间长度，必须为大于0的整数。  ---  ## 数据库版本 (`dbVersion`)  - **字段名称**: 数据库版本 - **字段ID**: `dbVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 数据库管理系统(DBMS)的版本号，通常由主版本号、次版本号等数字和点号组成，格式因具体数据库产品而异，如“15.1”、“5.7.38”。  ---  ## 配置文件路径 (`confPath`)  - **字段名称**: 配置文件路径 - **字段ID**: `confPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 配置文件路径，表示应用程序或系统服务的配置文件在系统中的完整存储路径。该路径应为绝对路径，使用POSIX标准路径格式，例如以“/”开头的Unix/Linux路径或以盘符开头的Windows路径。  ---  ## 数据路径 (`dataPath`)  - **字段名称**: 数据路径 - **字段ID**: `dataPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 数据路径是指数据库或应用程序数据文件的存储路径。其格式为字符串，内容应为有效的文件系统路径，支持绝对路径或相对路径表示。路径字符串通常由目录名和文件名组成，使用正斜杠（/）或反斜杠（\\）作为分隔符。  ---  ## 错误日志路径 (`errPath`)  - **字段名称**: 错误日志路径 - **字段ID**: `errPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示应用程序错误日志文件的存储路径，用于记录错误日志的存储位置。路径格式应符合操作系统文件路径规范。  ---  ## 可执行文件路径 (`executablePath`)  - **字段名称**: 可执行文件路径 - **字段ID**: `executablePath` - **数据类型**: string - **校验类型**: string_t - **描述**: 可执行文件在文件系统中的完整存储路径，需为有效的文件系统路径字符串，通常采用绝对路径表示，如Unix/Linux系统下的路径格式。  ---  ## 日志路径 (`logPath`)  - **字段名称**: 日志路径 - **字段ID**: `logPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 日志文件在文件系统中的存储路径，用于定位应用程序或系统服务的日志文件。路径格式应符合操作系统的文件路径规范，例如Unix/Linux系统使用正斜杠（/）作为目录分隔符，路径通常以根目录（/）或当前用户目录（~）开始。  ---  ## 插件路径 (`pluginPath`)  - **字段名称**: 插件路径 - **字段ID**: `pluginPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 插件路径字段表示应用程序插件模块的安装路径，其值为一个字符串，通常是一个操作系统文件系统的绝对路径。格式上，它应符合操作系统文件路径的规范，例如在Unix/Linux系统中以正斜杠（/）开头，在Windows系统中可能包含盘符和反斜杠（\\）。  ---  ## 是否敏感文件 (`sensitiveFile`)  - **字段名称**: 是否敏感文件 - **字段ID**: `sensitiveFile` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段标识文件是否包含敏感数据，如密码、密钥、个人信息等。其值为布尔类型，仅允许取 `true` 或 `false`。  ---  ## 是否涉及出境 (`isCrossBorder`)  - **字段名称**: 是否涉及出境 - **字段ID**: `isCrossBorder` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 标识文件或数据是否涉及国家边境传输。字段类型为布尔值，取值为true或false，分别表示涉及出境和不涉及出境。  ---  ## 是否公开文件 (`publicFile`)  - **字段名称**: 是否公开文件 - **字段ID**: `publicFile` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段用于标识文件是否对外公开可访问。取值为布尔类型，仅接受 `true` 或 `false`。`true` 表示文件对外公开，`false` 表示文件不对外公开。  ---  ## 资产端口 (`assetPort`)  - **字段名称**: 资产端口 - **字段ID**: `assetPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 资产对外提供服务的网络端口号。端口号必须是整数，取值范围为0-65535。  ---  ## icon (`icon`)  - **字段名称**: icon - **字段ID**: `icon` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于表示对象的图形化图标，通过视觉符号指代特定事物或功能。其值为图标文件的名称或路径，通常为字符串格式，例如PNG、JPG、SVG或ICO等常见图像格式的文件名。  ---  ## 独立软件开发商 (`isv`)  - **字段名称**: 独立软件开发商 - **字段ID**: `isv` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识网站、应用程序或软件产品的独立开发服务提供商名称。  ---  ## ICP备案号 (`icp`)  - **字段名称**: ICP备案号 - **字段ID**: `icp` - **数据类型**: string - **校验类型**: string_t - **描述**: ICP备案号是工业和信息化部颁发的互联网内容提供商备案编号，用于标识在中国境内提供互联网信息服务的合法备案主体。该字段为字符串类型，格式通常为“省份简称+ICP备+数字序列+号”。  ---  ## 公安备案号 (`pubSecFilingNumber`)  - **字段名称**: 公安备案号 - **字段ID**: `pubSecFilingNumber` - **数据类型**: string - **校验类型**: string_t - **描述**: 公安备案号是由公安机关颁发的网站备案编号，用于标识网站的备案信息。格式通常包含行政区划代码、备案机关标识和序列号。  ---  ## URL地址 (`url`)  - **字段名称**: URL地址 - **字段ID**: `url` - **数据类型**: string - **校验类型**: string_t - **描述**: URL地址用于记录统一资源定位符(URL)的完整地址信息。该字段为字符串类型，需符合标准的URL格式规范，通常包含协议（如http、https）、主机名、路径及可选的查询参数和片段标识符等组成部分。  ---  ## 版权信息 (`copyright`)  - **字段名称**: 版权信息 - **字段ID**: `copyright` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于声明数字内容的版权归属信息，需使用字符串格式提供明确的版权所有者名称、机构或相关声明文本。  ---  ## 兼容性 (`compatibility`)  - **字段名称**: 兼容性 - **字段ID**: `compatibility` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段描述软件或硬件产品与操作系统版本的兼容性范围。通常以文本形式说明支持的操作系统名称、版本号及架构要求。  ---  ## 公众号名称 (`officialAccountName`)  - **字段名称**: 公众号名称 - **字段ID**: `officialAccountName` - **数据类型**: string - **校验类型**: string_t - **描述**: 公众号的官方认证名称，表示在微信公众平台上经过认证的公众号名称。  ---  ## 微信主体名称 (`wechatSubjectName`)  - **字段名称**: 微信主体名称 - **字段ID**: `wechatSubjectName` - **数据类型**: string - **校验类型**: string_t - **描述**: 微信公众平台认证主体的名称，通常为企业、组织或机构的官方注册名称。  ---  ## 微信主体类型 (`wechatSubjectType`)  - **字段名称**: 微信主体类型 - **字段ID**: `wechatSubjectType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 微信公众平台认证主体的类型分类。枚举类型，可选值包括：individual（个人主体）、enterprise（企业主体）、government（政府主体）、media（媒体主体）、other（其他主体）。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `individual` | 个人主体 | 个人身份认证的微信公众号主体 | | `enterprise` | 企业主体 | 企业或组织机构认证的微信公众号主体 | | `government` | 政府主体 | 政府机构认证的微信公众号主体 | | `media` | 媒体主体 | 媒体机构认证的微信公众号主体 | | `other` | 其他主体 | 其他类型的微信公众号认证主体 |  ---  ## 主板 (`mainboard`)  - **字段名称**: 主板 - **字段ID**: `mainboard` - **数据类型**: string - **校验类型**: string_t - **描述**: 主板字段记录计算机主板的制造商和型号信息。该字段为字符串类型，用于描述主板硬件。通常包含主板制造商名称、产品系列或具体型号。  ---  ## 内存大小 (`memorySize`)  - **字段名称**: 内存大小 - **字段ID**: `memorySize` - **数据类型**: string - **校验类型**: string_t - **描述**: 内存的总容量信息，表示目标系统或设备的内存大小。格式为数值加单位，单位通常为GB、MB等，例如：3.68GB。  ---  ## 硬盘型号 (`diskModel`)  - **字段名称**: 硬盘型号 - **字段ID**: `diskModel` - **数据类型**: string - **校验类型**: string_t - **描述**: 硬盘型号信息，用于标识存储设备的具体硬盘型号。该字段为字符串类型，通常由厂商定义的型号标识符组成。  ---  ## 管理IP (`managementAddress`)  - **字段名称**: 管理IP - **字段ID**: `managementAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 管理IP地址，用于设备带外管理、远程访问和系统维护。该字段必须是有效的IPv4或IPv6地址格式。  ---  ## 网络配置信息 (`networkInfo`)  - **字段名称**: 网络配置信息 - **字段ID**: `networkInfo` - **数据类型**: string - **校验类型**: string_t - **描述**: 网络设备或虚拟机的网络配置信息，包含IP地址和MAC地址等。IP地址格式为点分十进制，如192.168.1.1；MAC地址格式支持冒号分隔（xx:xx:xx:xx:xx:xx）或短横线分隔（xx-xx-xx-xx-xx-xx），如70-00-55-98-C7-00。多个配置项建议以逗号分隔。  ---  ## 环境变量 (`env`)  - **字段名称**: 环境变量 - **字段ID**: `env` - **数据类型**: string - **校验类型**: string_t - **描述**: 环境变量，指操作系统或容器中设置的环境变量，用于配置应用程序或系统的运行参数。格式为键值对，通常以字符串形式表示，多个键值对之间用逗号分隔，键和值之间用冒号分隔。  ---  ## 系统要求 (`systemRequirement`)  - **字段名称**: 系统要求 - **字段ID**: `systemRequirement` - **数据类型**: string - **校验类型**: string_t - **描述**: 描述软件或硬件产品正常运行所需的最低或推荐系统配置要求。  ---  ## 安装路径 (`installPath`)  - **字段名称**: 安装路径 - **字段ID**: `installPath` - **数据类型**: string - **校验类型**: string_t - **描述**: 安装路径是指应用程序或软件在操作系统中的安装目录位置，其值应为有效的文件系统路径字符串。  ---  ## 资产IP地址 (`assetAddress`)  - **字段名称**: 资产IP地址 - **字段ID**: `assetAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 资产在管理系统中所记录的唯一网络标识符，用于定位和访问该资产。格式要求：必须符合标准的IPv4或IPv6地址格式，例如点分十进制表示法（如192.168.1.1）或IPv6的冒号分隔十六进制表示法。  ---  ## 默认网关 (`gateway`)  - **字段名称**: 默认网关 - **字段ID**: `gateway` - **数据类型**: string - **校验类型**: ip_t - **描述**: 默认网关IP地址，用于标识网络设备的出口网关。必须符合IP地址格式规范，即由四个0-255之间的十进制整数组成，以点号分隔，例如：192.168.1.1。  ---  ## VLAN (`vlanId`)  - **字段名称**: VLAN - **字段ID**: `vlanId` - **数据类型**: string - **校验类型**: string_t - **描述**: VLAN标识符，用于唯一标识IEEE 802.1Q虚拟局域网。格式为字符串类型，表示一个数字ID。  ---  ## 服务类型 (`serviceType`)  - **字段名称**: 服务类型 - **字段ID**: `serviceType` - **数据类型**: string - **校验类型**: string_t - **描述**: 服务类型，用于标识在网络侧通过端口暴露或在终端侧操作系统内部运行的应用程序服务类型。  ---  ## 证书类型 (`certType`)  - **字段名称**: 证书类型 - **字段ID**: `certType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 证书类型用于标识不同安全用途的数字证书的类别。本字段为枚举类型，其值必须为预设的可选值之一，具体包括：SSL（SSL/TLS证书）、CodeSigning（代码签名证书）、ClientAuth（客户端身份证书）、Email（电子邮件证书）、EVSSL（扩展验证SSL证书）及其他可能的指定类型。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `SSL` | SSL/TLS证书 | 用于网站和服务器的安全通信加密 | | `CodeSigning` | 代码签名证书 | 用于软件和代码的数字签名验证 | | `ClientAuth` | 客户端身份证书 | 用于客户端身份验证和双向SSL认证 | | `Email` | 电子邮件证书 | 用于电子邮件加密和数字签名 | | `EVSSL` | 扩展验证SSL证书 | 扩展验证型SSL证书，提供最高级别身份验证 | | `SelfSigned` | 自签名证书 | 未经第三方证书颁发机构签名的证书 |  ---  ## 有效时间 (`validTime`)  - **字段名称**: 有效时间 - **字段ID**: `validTime` - **数据类型**: string - **校验类型**: string_t - **描述**: 有效时间表示证书的有效期时间范围，格式为yyyy-mm-dd至yyyy-mm-dd，其中起始日期和结束日期均需符合标准日期格式，且结束日期必须晚于起始日期。  ---  ## 安全组ID列表 (`securityGroupIds`)  - **字段名称**: 安全组ID列表 - **字段ID**: `securityGroupIds` - **数据类型**: array - **校验类型**: string_t - **描述**: 该字段表示云服务商分配的网络安全组（Security Group）的唯一标识符列表。  ---  ## 访问控制策略 (`accessControlPolicy`)  - **字段名称**: 访问控制策略 - **字段ID**: `accessControlPolicy` - **数据类型**: string - **校验类型**: string_t - **描述**: 访问控制策略的配置信息，用于定义资源的访问权限规则。该字段存储具体的策略配置内容，通常包含访问控制规则、条件、动作等结构化信息。  ---  ## 扫描端口列表 (`scanPortList`)  - **字段名称**: 扫描端口列表 - **字段ID**: `scanPortList` - **数据类型**: array - **校验类型**: integer_t - **描述**: 该字段记录网络扫描活动中被探测的目标端口号集合，每个端口号必须为整数类型，取值范围为0到65535，表示有效端口号。  ---  ## 扫描IP列表 (`scanIpList`)  - **字段名称**: 扫描IP列表 - **字段ID**: `scanIpList` - **数据类型**: array - **校验类型**: ip_t - **描述**: 记录网络扫描活动中被探测的目标IP地址集合。格式要求：数组中的每个元素必须是合法的IPv4或IPv6地址格式。  ---  ## 设备序列号 (`deviceSerialNumber`)  - **字段名称**: 设备序列号 - **字段ID**: `deviceSerialNumber` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备序列号是硬件设备制造商分配的唯一序列标识符，用于唯一标识设备。  ---  ## 网络服务提供商 (`isp`)  - **字段名称**: 网络服务提供商 - **字段ID**: `isp` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识互联网服务提供商的名称，用于记录网络流量或事件来源的运营商信息。  ---  ## 长度 (`length`)  - **字段名称**: 长度 - **字段ID**: `length` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 长度表示目标对象的大小限制，例如数据库列定义中指定的最大字符数或数值精度。  ---  ## 列名 (`columnName`)  - **字段名称**: 列名 - **字段ID**: `columnName` - **数据类型**: string - **校验类型**: string_t - **描述**: 列名是数据库表中数据列的逻辑名称，用于标识具体的数据字段。  ---  ## 列类型 (`columnType`)  - **字段名称**: 列类型 - **字段ID**: `columnType` - **数据类型**: string - **校验类型**: string_t - **描述**: 列类型表示数据库列的数据类型分类，例如数值型、字符型、日期型等。  ---  ## 列数 (`columnCount`)  - **字段名称**: 列数 - **字段ID**: `columnCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段表示数据库表中定义的列总数，其值应为非负整数。  ---  ## ICMP响应码 (`icmpCode`)  - **字段名称**: ICMP响应码 - **字段ID**: `icmpCode` - **数据类型**: string - **校验类型**: string_t - **描述**: ICMP响应码表示ICMP协议中返回的响应代码。该字段为字符串类型，用于标识ICMP报文的具体类型或错误状态。  ---  ## ICMP类型 (`icmpType`)  - **字段名称**: ICMP类型 - **字段ID**: `icmpType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示ICMP协议报文类型代码，用于标识ICMP消息的具体类型。其值必须为预定义的枚举字符串，常见的可选值包括：EchoReply (回显应答)、DestinationUnreachable (目的不可达)、SourceQuench (源站抑制)、Redirect (重定向)、EchoRequest (回显请求)等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `EchoReply` | 回显应答 | 回显应答（Ping应答） | | `DestinationUnreachable` | 目的不可达 | 目的不可达 | | `SourceQuench` | 源站抑制 | 源站抑制（拥塞控制） | | `Redirect` | 重定向 | 路由重定向 | | `EchoRequest` | 回显请求 | 回显请求（Ping请求） | | `RouterAdvertisement` | 路由器通告 | 路由器通告 | | `RouterSolicitation` | 路由器请求 | 路由器请求 | | `TimeExceeded` | 超时 | 超时 | | `ParameterProblem` | 参数问题 | 参数问题 | | `Timestamp` | 时间戳 | 时间戳 | | `TimestampReply` | 时间戳应答 | 时间戳应答 | | `InformationRequest` | 信息请求 | 信息请求 | | `InformationReply` | 信息应答 | 信息应答 | | `AddressMaskRequest` | 地址掩码请求 | 地址掩码请求 | | `AddressMaskReply` | 地址掩码应答 | 地址掩码应答 | | `Other` | 其他 | 其他未知的ICMP类型 |  ---  ## 数据来源地址 (`dataSourceAddress`)  - **字段名称**: 数据来源地址 - **字段ID**: `dataSourceAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 数据来源地址，指提供数据的设备网络地址。该字段必须是合法的IP地址格式，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如192.168.1.5），IPv6地址为冒号分隔的十六进制格式。  ---  ## 总数据包数 (`pktsInAndOut`)  - **字段名称**: 总数据包数 - **字段ID**: `pktsInAndOut` - **数据类型**: long - **校验类型**: long_t - **描述**: 总数据包数是指统计网络接口或会话中双向传输的数据包累计总数。该字段值为非负长整数。  ---  ## 总字节数 (`bytesInAndOut`)  - **字段名称**: 总字节数 - **字段ID**: `bytesInAndOut` - **数据类型**: long - **校验类型**: long_t - **描述**: 该字段用于统计网络接口或会话中双向传输的字节累计总量，即入站与出站字节数之和。其值为长整型（long）数字，表示字节数量，必须为非负整数。  ---  ## 软件序列号 (`softwareSerialNumber`)  - **字段名称**: 软件序列号 - **字段ID**: `softwareSerialNumber` - **数据类型**: string - **校验类型**: string_t - **描述**: 软件的序列号，用于标识软件授权的唯一序列号。通常由数字、字母及连字符（-）等字符组成。  ---  ## 业务系统名称 (`busSystemName`)  - **字段名称**: 业务系统名称 - **字段ID**: `busSystemName` - **数据类型**: string - **校验类型**: string_t - **描述**: 业务系统的名称标识，用于唯一标识一个业务系统。格式要求：字符串类型，长度限制为1-128个字符，支持中英文、数字、下划线和短横线，且不能以特殊字符开头或结尾。  ---  ## 业务系统版本 (`busSystemVersion`)  - **字段名称**: 业务系统版本 - **字段ID**: `busSystemVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 业务系统的具体版本号，格式为字符串类型，通常采用主版本号.次版本号.修订号的格式。  ---  ## 业务系统ID (`busSystemId`)  - **字段名称**: 业务系统ID - **字段ID**: `busSystemId` - **数据类型**: string - **校验类型**: string_t - **描述**: 业务系统的唯一标识符，用于唯一标识一个业务系统。  ---  ## 设备清单 (`systemIncludeDevList`)  - **字段名称**: 设备清单 - **字段ID**: `systemIncludeDevList` - **数据类型**: string - **校验类型**: string_t - **描述**: 设备资产清单，包含设备类型、型号、序列号等唯一标识信息，用于资产跟踪、库存管理和安全审计。应包含设备品牌、型号、序列号等关键信息，多个设备信息可使用逗号或分号分隔。  ---  ## 软件列表 (`softwareList`)  - **字段名称**: 软件列表 - **字段ID**: `softwareList` - **数据类型**: string - **校验类型**: string_t - **描述**: 软件列表字段记录系统或设备上安装的第三方应用程序和软件组件的清单。该字段为字符串类型，其内容应为用逗号分隔的软件名称列表。  ---  ## 文件目录 (`filePath`)  - **字段名称**: 文件目录 - **字段ID**: `filePath` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示文件在文件系统中的存储目录路径。路径格式应符合操作系统规范，例如Windows系统使用反斜杠（\\）作为目录分隔符，而Linux/Unix系统使用正斜杠（/）。  ---  ## 攻击者信息 (`attackerInfo`)  - **字段名称**: 攻击者信息 - **字段ID**: `attackerInfo` - **数据类型**: string - **校验类型**: string_t - **描述**: 攻击者信息字段包含溯源到的攻击者相关信息，如攻击者账号、姓名、邮箱等。字段值为字符串格式，内容应包含关键属性及其对应值。  ---  ## 文件是否加密 (`fileEncrypted`)  - **字段名称**: 文件是否加密 - **字段ID**: `fileEncrypted` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段标识文件内容是否经过加密算法保护。该字段为布尔类型，仅允许取值为 true 或 false，分别表示文件已加密和文件未加密。  ---  ## 是否CDN (`isCdn`)  - **字段名称**: 是否CDN - **字段ID**: `isCdn` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 标识目标是否为内容分发网络(CDN)节点。该字段为布尔类型，取值为 true 或 false。  ---  ## CDN厂商 (`cdnVendor`)  - **字段名称**: CDN厂商 - **字段ID**: `cdnVendor` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识内容分发网络(CDN)服务提供商的官方名称。格式为字符串，通常为厂商的完整商业名称或公认的简称。  ---  ## 进程数 (`processCount`)  - **字段名称**: 进程数 - **字段ID**: `processCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段表示当前系统或资产上与特定事件或资产相关联的正在运行的进程总数。格式要求：必须为非负整数。  ---  ## IP版本 (`ipVersion`)  - **字段名称**: IP版本 - **字段ID**: `ipVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示互联网协议（IP）的版本标识。格式为字符串，目前主要包括“IPv4”和“IPv6”。  ---  ## 尝试频率 (`timesPermin`)  - **字段名称**: 尝试频率 - **字段ID**: `timesPermin` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 统计每分钟内特定操作或认证尝试的次数。该字段为整数类型，表示事件发生的频率计数，取值应大于等于0。  ---  ## 文件SM3哈希值 (`sm3`)  - **字段名称**: 文件SM3哈希值 - **字段ID**: `sm3` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件SM3哈希值，使用SM3算法计算的文件内容密码学哈希值。该值为固定长度的十六进制字符串，长度为64个字符，由数字0-9和小写字母a-f组成。  ---  ## 网页篡改类型 (`webTamperType`)  - **字段名称**: 网页篡改类型 - **字段ID**: `webTamperType` - **数据类型**: enum - **校验类型**: string_t - **描述**: 网页篡改类型，用于标识网页内容、结构或功能被恶意修改的具体类型。该字段为枚举类型，其值必须为预定义的字符串，有效取值范围包括：contentReplacement（内容替换）、hiddenLinkInjection（暗链植入）、visibleLinkInjection（明链植入）、jsScriptHijacking（JS脚本劫持）、metaTampering（页面元数据篡改）、other（其他）等可选值。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `contentReplacement` | 内容替换 | 攻击者直接替换网站原有内容，例如将首页替换为黑页或炫技页面 | | `hiddenLinkInjection` | 暗链植入 | 在页面中隐蔽地插入恶意链接，通常通过SEO手段提升非法网站搜索排名，正常访问不易察觉 | | `visibleLinkInjection` | 明链植入 | 在页面中明显植入与网站主体无关的链接，包括广告或违规内容链接 | | `jsScriptHijacking` | JS脚本劫持 | 通过植入恶意JS脚本，识别搜索引擎爬虫并返回篡改内容，进行流量劫持或跳转 | | `metaTampering` | 页面元数据篡改 | 篡改网页的TDK（标题、描述、关键词），通常用于SEO作弊或引导至非法网站 | | `islandPageInjection` | 孤岛页面植入 | 在网站目录内生成全新的、包含违规内容且无内部链接引用的独立页面 | | `other` | 其他类型 | 未分类的其他网页篡改类型 |  ---  ## 漏洞系统研制厂商 (`vulOrg`)  - **字段名称**: 漏洞系统研制厂商 - **字段ID**: `vulOrg` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于标识存在漏洞的软件或硬件产品的原始研发或生产厂商名称，例如操作系统、应用程序或硬件设备的供应商。值为字符串类型，建议使用厂商官方常用名称或简称，避免使用缩写或内部代号。  ---  ## 漏洞编号 (`vulCode`)  - **字段名称**: 漏洞编号 - **字段ID**: `vulCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 漏洞编号，指按照CNVD、CNNVD等国家标准漏洞库定义的格式进行标识的漏洞唯一标识符。格式需符合相应标准编号规范，通常为“标准前缀-年份-序列号”的结构，例如CNVD-YYYY-XXXXX或CNNVD-YYYY-XXX。  ---  ## 漏洞描述 (`vulDescription`)  - **字段名称**: 漏洞描述 - **字段ID**: `vulDescription` - **数据类型**: string - **校验类型**: string_t - **描述**: 漏洞的技术特性和潜在风险描述。该字段内容为文本字符串，应清晰、准确地阐述漏洞的成因、技术细节、可能被利用的方式以及可能造成的安全影响。  ---  ## 漏洞发现者 (`vulDetector`)  - **字段名称**: 漏洞发现者 - **字段ID**: `vulDetector` - **数据类型**: string - **校验类型**: string_t - **描述**: 漏洞发现者字段记录首次发现并报告该漏洞的个人、组织或研究团队的名称。  ---  ## 加密算法 (`algorithm`)  - **字段名称**: 加密算法 - **字段ID**: `algorithm` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示用于数据加密的安全算法类型，通常采用标准算法名称标识，如AES-256等。  ---  ## 漏洞公开时间 (`vulPublicTime`)  - **字段名称**: 漏洞公开时间 - **字段ID**: `vulPublicTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 漏洞首次在公共渠道披露的精确时间。格式要求为年-月-日 时:分:秒，即 yyyy-mm-dd HH:mm:ss。  ---  ## 漏洞名称 (`vulName`)  - **字段名称**: 漏洞名称 - **字段ID**: `vulName` - **数据类型**: string - **校验类型**: string_t - **描述**: 漏洞的标准化描述性名称，用于唯一标识特定漏洞类型。通常遵循行业通用命名规范，如CVE编号、CNVD编号或厂商公开的漏洞公告名称。  ---  ## 创建时间 (`createTime`)  - **字段名称**: 创建时间 - **字段ID**: `createTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 该字段记录系统对象、文件或资源的初始创建时间。时间格式必须为yyyy-mm-dd HH:mm:ss。  ---  ## 主机IP (`hostAddress`)  - **字段名称**: 主机IP - **字段ID**: `hostAddress` - **数据类型**: string - **校验类型**: ip_t - **描述**: 主机IP地址，用于标识主机在网络中的位置。必须符合IPv4或IPv6地址格式规范。IPv4地址为点分十进制格式，由四个0-255的十进制数组成，以点分隔。IPv6地址为冒号分隔的十六进制数格式。  ---  ## 泄露渠道 (`exfiltrationChannel`)  - **字段名称**: 泄露渠道 - **字段ID**: `exfiltrationChannel` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段标识数据泄露事件中数据被传输到外部的具体渠道。其值必须为预定义的枚举字符串，可选值包括但不限于：removableMedia（可移动介质）、networkProtocols（网络协议传输）、emailSystems（邮件系统）、messagingApps（即时通讯应用）、cloudServices（云服务）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `removableMedia` | 可移动介质 | 通过USB设备、移动硬盘、光盘等可移动介质拷贝数据 | | `networkProtocols` | 网络协议传输 | 通过网络共享、FTP、SMB等协议传输数据 | | `emailSystems` | 邮件系统 | 通过网页邮箱、邮件客户端等电子邮件系统发送数据 | | `messagingApps` | 即时通讯应用 | 通过微信、QQ、Telegram等即时通讯应用发送数据 | | `cloudServices` | 云服务 | 通过网盘、云存储等云服务上传和分享数据 | | `webInterfaces` | Web界面 | 通过HTTPS网页表单、在线服务等Web界面传输数据 | | `remoteConnections` | 远程连接 | 通过远程控制软件、VPN、蓝牙等远程连接传输数据 | | `physicalCapture` | 物理捕获 | 通过打印、截图、剪切板、拍照等物理方式捕获数据 | | `databaseTools` | 数据库工具 | 通过数据库管理工具导出大量结构化数据 | | `applicationApis` | 应用API | 通过应用程序API接口批量获取和传输数据 | | `other` | 其他 | 其他类型的泄露方式 |  ---  ## 传输模式 (`transMode`)  - **字段名称**: 传输模式 - **字段ID**: `transMode` - **数据类型**: string - **校验类型**: string_t - **描述**: 数据传输采用的协议模式，通常用于指定文件传输或数据交换的协议格式。本字段为字符串类型，常见取值为表示特定传输模式的标识符，例如 \"netascii\"（网络ASCII模式）、\"octet\"（二进制八位字节模式）或 \"mail\"（邮件模式）。  ---  ## 修改时间 (`modifyTime`)  - **字段名称**: 修改时间 - **字段ID**: `modifyTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 修改时间表示文件或对象的最后修改时间。该字段为字符串类型，必须遵循标准的日期时间格式，格式为：yyyy-mm-dd HH:mm:ss。  ---  ## WMI类型 (`wmiType`)  - **字段名称**: WMI类型 - **字段ID**: `wmiType` - **数据类型**: enum - **校验类型**: string_t - **描述**: WMI事件消费者的具体类别分类，枚举类型，可选值包括：CommandLineEventConsumer（命令行事件消费者）、ActiveScriptEventConsumer（活动脚本事件消费者）、NTEventLogEventConsumer（NT事件日志消费者）、SMTPEventConsumer（SMTP事件消费者）、LogFileEventConsumer（日志文件事件消费者）等。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `CommandLineEventConsumer` | 命令行事件消费者 | 执行命令行命令的WMI消费者类型 | | `ActiveScriptEventConsumer` | 活动脚本事件消费者 | 执行VBScript或JScript脚本的WMI消费者类型 | | `NTEventLogEventConsumer` | NT事件日志消费者 | 向Windows事件日志写入条目的WMI消费者类型 | | `SMTPEventConsumer` | SMTP事件消费者 | 通过SMTP发送电子邮件的WMI消费者类型 | | `LogFileEventConsumer` | 日志文件事件消费者 | 向日志文件写入条目的WMI消费者类型 | | `Other` | 其他类型 | 其他未分类的WMI消费者类型 |  ---  ## 受影响资产IP (`affectAssetIp`)  - **字段名称**: 受影响资产IP - **字段ID**: `affectAssetIp` - **数据类型**: string - **校验类型**: string_t - **描述**: 受影响资产IP地址，指在安全事件中遭受攻击或面临风险的资产所对应的IP地址。该字段为字符串类型，必须符合标准的IPv4或IPv6地址格式。  ---  ## 受影响资产端口 (`affectAssetPort`)  - **字段名称**: 受影响资产端口 - **字段ID**: `affectAssetPort` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段表示攻击或风险的受影响资产的网络服务端口号，用于标识网络服务。格式要求：端口号必须是整数类型，取值范围为0-65535。  ---  ## 主目录路径 (`homePath`)  - **字段名称**: 主目录路径 - **字段ID**: `homePath` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示用户主目录的本地路径或环境变量解析路径。其值应为符合操作系统规范的文件系统路径字符串，可以包含盘符、目录分隔符（如反斜杠`\\`或正斜杠`/`）以及环境变量引用（例如`%USERPROFILE%`或`$HOME`）。  ---  ## 密码最后设置时间 (`timePasswordLastSet`)  - **字段名称**: 密码最后设置时间 - **字段ID**: `timePasswordLastSet` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 记录用户最后一次修改密码的时间，格式为yyyy-mm-dd HH:mm:ss。  ---  ## 最近发生时间 (`latestActivityTime`)  - **字段名称**: 最近发生时间 - **字段ID**: `latestActivityTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 该字段记录安全事件中最后一次活动或告警触发的时间。格式必须为标准的日期时间字符串，具体要求为：yyyy-mm-dd HH:mm:ss，例如 2024-12-27 19:28:22。  ---  ## 关闭原因 (`closeReason`)  - **字段名称**: 关闭原因 - **字段ID**: `closeReason` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于记录安全事件关闭的具体原因和解决状态。值为字符串类型，应简洁明了地描述关闭事件的原因。  ---  ## 关闭操作者 (`closeUser`)  - **字段名称**: 关闭操作者 - **字段ID**: `closeUser` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段标识执行事件关闭操作的用户或系统实体。其值为字符串类型，用于记录关闭操作的发起者。  ---  ## 告警来源设备 (`alertDevices`)  - **字段名称**: 告警来源设备 - **字段ID**: `alertDevices` - **数据类型**: array - **校验类型**: string_t - **描述**: 告警来源设备字段记录生成告警的安全设备和传感器信息集合，格式为字符串数组。每个数组元素应为描述设备名称及标识信息的字符串，通常包含设备名称和IP地址等关键信息。  ---  ## 告警名称列表 (`alertNames`)  - **字段名称**: 告警名称列表 - **字段ID**: `alertNames` - **数据类型**: array - **校验类型**: string_t - **描述**: 告警名称列表，记录安全事件生命周期中关联的所有告警规则名称集合。该字段为字符串数组，数组内每个元素为一个告警名称字符串。  ---  ## 告警ID列表 (`alertIds`)  - **字段名称**: 告警ID列表 - **字段ID**: `alertIds` - **数据类型**: array - **校验类型**: string_t - **描述**: 记录安全事件关联的所有告警唯一标识符集合。该字段为字符串数组，数组内每个元素应为表示告警唯一标识符的字符串。  ---  ## 告警类型列表 (`alertTypes`)  - **字段名称**: 告警类型列表 - **字段ID**: `alertTypes` - **数据类型**: array - **校验类型**: string_t - **描述**: 记录安全事件关联的所有告警分类类型集合。字段值为字符串数组，每个数组元素为一个告警分类类型字符串。  ---  ## 告警数量 (`alertCount`)  - **字段名称**: 告警数量 - **字段ID**: `alertCount` - **数据类型**: integer - **校验类型**: integer_t - **描述**: 该字段用于统计安全事件关联的告警总数。其值应为非负整数，表示告警的具体数量。  ---  ## 攻击者 (`attacker`)  - **字段名称**: 攻击者 - **字段ID**: `attacker` - **数据类型**: array - **校验类型**: ip_t - **描述**: 攻击者是指在攻击活动中使用的所有唯一源IP地址集合，用于标识攻击来源。该字段为数组类型，每个元素必须符合IP地址格式要求，即有效的IPv4或IPv6地址。  ---  ## 受害者 (`victim`)  - **字段名称**: 受害者 - **字段ID**: `victim` - **数据类型**: array - **校验类型**: ip_t - **描述**: 记录受攻击影响的所有唯一目标IP地址集合，以数组形式存储。数组中的每个元素必须是有效的IPv4或IPv6地址格式。IPv4地址格式为点分十进制（如：192.168.1.1），IPv6地址格式需符合标准表示法（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334或压缩格式）。  ---  ## 来源IP列表 (`srcAddrList`)  - **字段名称**: 来源IP列表 - **字段ID**: `srcAddrList` - **数据类型**: array - **校验类型**: ip_t - **描述**: 该字段记录安全事件中所有唯一源IP地址的集合。字段值为字符串数组，每个数组元素必须是一个合法的IPv4或IPv6地址。  ---  ## 目的IP列表 (`destAddrList`)  - **字段名称**: 目的IP列表 - **字段ID**: `destAddrList` - **数据类型**: array - **校验类型**: ip_t - **描述**: 目的IP列表记录安全事件中所有唯一目的IP地址的集合。该字段为数组类型，每个元素必须是合法的IPv4或IPv6地址格式。  ---  ## 查询状态 (`queryStatus`)  - **字段名称**: 查询状态 - **字段ID**: `queryStatus` - **数据类型**: string - **校验类型**: string_t - **描述**: DNS协议查询请求的响应状态码，用于表示DNS查询操作的结果。常见的状态码中，0通常表示DNS查询成功。该字段为字符串类型，具体取值遵循DNS协议标准定义的状态码。  ---  ## 查询类别 (`queryClass`)  - **字段名称**: 查询类别 - **字段ID**: `queryClass` - **数据类型**: enum - **校验类型**: string_t - **描述**: DNS查询所适用的网络类别。可选值包括：IN (Internet类别)、CH (Chaos类别)、HS (Hesiod类别)、NONE (无类别)、ANY (任意类别)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `IN` | Internet类别 | Internet协议类别，绝大多数DNS查询使用此类别 | | `CH` | Chaos类别 | Chaos网络类别，用于特定系统查询，可能表示侦察活动 | | `HS` | Hesiod类别 | Hesiod系统类别，用于特定网络服务 | | `NONE` | 无类别 | 无特定协议类别，用于更新操作 | | `ANY` | 任意类别 | 任意协议类别，可能表示异常查询 |  ---  ## 文件创建时间 (`fileCreateTime`)  - **字段名称**: 文件创建时间 - **字段ID**: `fileCreateTime` - **数据类型**: string - **校验类型**: string_t - **描述**: 文件最初创建的时间。格式必须为yyyy-mm-dd HH:mm:ss，例如：2023-10-15 14:30:00。  ---  ## 威胁组织名称 (`threatActorOrg`)  - **字段名称**: 威胁组织名称 - **字段ID**: `threatActorOrg` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段用于记录已知恶意组织或威胁行为者团体的名称。  ---  ## 网卡型号 (`nicModel`)  - **字段名称**: 网卡型号 - **字段ID**: `nicModel` - **数据类型**: string - **校验类型**: string_t - **描述**: 网卡型号，指网络接口控制器（NIC）的硬件型号标识，用于唯一标识网卡设备，通常包含制造商、接口类型和速率规格等信息。  ---  ## 特权模式运行 (`privilegedRun`)  - **字段名称**: 特权模式运行 - **字段ID**: `privilegedRun` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 该字段表示容器是否以特权模式运行，具有对主机的访问权限，基于Docker运行时安全标准。其格式为布尔值，仅允许取 `true` 或 `false` 两种值。  ---  ## 共享属性 (`shareProperty`)  - **字段名称**: 共享属性 - **字段ID**: `shareProperty` - **数据类型**: enum - **校验类型**: string_t - **描述**: 共享属性用于定义各类资产的共享权限和范围分类。本字段为枚举类型，其值必须为预定义的选项之一，不可随意填写。可选值包括：no_sharing (禁止共享)、internal_share (内部共享)、department_share (部门共享)、partner_share (合作伙伴共享)、public_share (公开共享)。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `no_sharing` | 禁止共享 | 资产禁止任何形式的共享，仅限所有者使用 | | `internal_share` | 内部共享 | 资产可在组织内部共享，但禁止向外部提供 | | `department_share` | 部门共享 | 资产可在特定部门或业务单元内共享 | | `partner_share` | 合作伙伴共享 | 资产可与授权的业务合作伙伴共享 | | `public_share` | 公开共享 | 资产可对外公开共享，需符合相关法律法规 | | `conditional_share` | 条件共享 | 资产在满足特定条件时可共享，如认证授权后 |  ---  ## 开放等级 (`openLevel`)  - **字段名称**: 开放等级 - **字段ID**: `openLevel` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示各类资产（数据、API、服务等）的开放程度，用于定义信息的访问和传播范围。其值为预定义的枚举类型，必须在指定范围内选取。可选值包括：confidential (机密等级)，表示高度敏感，仅限极少数授权人员访问；internal_use (内部使用)，表示仅限于组织内部人员使用；limited_disclosure (受限公开)，表示可在特定条件下向外部有限实体公开；public_disclosure (公开等级)，表示可向公众公开；open_standard (开放标准)，表示遵循开放标准，鼓励广泛使用和互操作。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `confidential` | 机密等级 | 最高敏感度资产，访问受到严格限制 | | `internal_use` | 内部使用 | 限于组织内部使用的资产，禁止对外披露 | | `limited_disclosure` | 受限公开 | 在特定条件下可向外部披露的资产 | | `public_disclosure` | 公开等级 | 可向公众开放的资产，符合开放标准 | | `open_standard` | 开放标准 | 遵循开放标准，可自由使用和分发的资产 |  ---  ## 资产MAC地址 (`assetMacAddress`)  - **字段名称**: 资产MAC地址 - **字段ID**: `assetMacAddress` - **数据类型**: string - **校验类型**: mac_t - **描述**: 资产的媒体访问控制地址，用于唯一标识网络设备。格式必须为小写字母和数字组成的MAC地址，采用冒号分隔的六组十六进制数，每组两位，格式为xx:xx:xx:xx:xx:xx。  ---  ## 所属监管单位 (`supervisoryUnitName`)  - **字段名称**: 所属监管单位 - **字段ID**: `supervisoryUnitName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示对资产具有监管权限的单位名称。  ---  ## 重要程度 (`assetImportance`)  - **字段名称**: 重要程度 - **字段ID**: `assetImportance` - **数据类型**: enum - **校验类型**: string_t - **描述**: 资产的重要程度等级，用于标识资产在网络安全防护中的优先级和价值。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `common` | 普通资产 | 普通资产 | | `important` | 重要资产 | 重要资产 | | `core` | 核心资产 | 核心资产 | | `classified` | 涉密资产 | 涉密资产 | | `other` | 其它资产 | 其它资产 |  ---  ## 安全域 (`netId`)  - **字段名称**: 安全域 - **字段ID**: `netId` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所属安全域的唯一标识，主要用于解决安全域冲突。  ---  ## 部门负责人名称 (`departmentHeadName`)  - **字段名称**: 部门负责人名称 - **字段ID**: `departmentHeadName` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示部门负责人的姓名。  ---  ## 部门负责人手机号 (`departmentHeadPhone`)  - **字段名称**: 部门负责人手机号 - **字段ID**: `departmentHeadPhone` - **数据类型**: string - **校验类型**: string_t - **描述**: 部门负责人的手机号码。格式要求：必须是有效的手机号码格式。  ---  ## 部门负责人邮箱 (`departmentHeadMail`)  - **字段名称**: 部门负责人邮箱 - **字段ID**: `departmentHeadMail` - **数据类型**: string - **校验类型**: string_t - **描述**: 部门负责人的电子邮箱地址，用于接收相关通知和联系。格式要求：必须符合标准的电子邮件地址格式，包含有效的用户名和域名部分，使用@符号分隔。  ---  ## 维保开始时间 (`maintainStartTime`)  - **字段名称**: 维保开始时间 - **字段ID**: `maintainStartTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 维保开始时间是指资产维护保养的开始时间，采用标准的日期时间格式，格式要求为yyyy-mm-dd HH:mm:ss。  ---  ## 维保结束时间 (`maintainEndTime`)  - **字段名称**: 维保结束时间 - **字段ID**: `maintainEndTime` - **数据类型**: string - **校验类型**: datetime_string_t - **描述**: 资产维护保养的结束时间，采用标准的日期时间格式，格式要求为yyyy-mm-dd HH:mm:ss。  ---  ## 资产区域 (`assetRegion`)  - **字段名称**: 资产区域 - **字段ID**: `assetRegion` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产的逻辑部署位置，例如DMZ区、内网等。  ---  ## 机密性 (`assetConfidentiality`)  - **字段名称**: 机密性 - **字段ID**: `assetConfidentiality` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示资产的机密性等级，用于评估未经授权披露信息可能造成的潜在影响程度。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `veryHigh` | 非常高 | 非常高 | | `high` | 高 | 高 | | `medium` | 中 | 中 | | `low` | 低 | 低 | | `ignorable` | 可忽略 | 可忽略 |  ---  ## 完整性 (`assetIntegrity`)  - **字段名称**: 完整性 - **字段ID**: `assetIntegrity` - **数据类型**: enum - **校验类型**: string_t - **描述**: 完整性等级，表示资产未经授权篡改的潜在影响程度。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `veryHigh` | 非常高 | 非常高 | | `high` | 高 | 高 | | `medium` | 中 | 中 | | `low` | 低 | 低 | | `ignorable` | 可忽略 | 可忽略 |  ---  ## 可用性 (`assetUsability`)  - **字段名称**: 可用性 - **字段ID**: `assetUsability` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示资产能够按预期运行并提供服务的程度。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `veryHigh` | 非常高 | 非常高 | | `high` | 高 | 高 | | `medium` | 中 | 中 | | `low` | 低 | 低 | | `ignorable` | 可忽略 | 可忽略 |  ---  ## 是否等保资产 (`isCriticalProtection`)  - **字段名称**: 是否等保资产 - **字段ID**: `isCriticalProtection` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 表示资产是否被归类为需要特殊保护措施的关键基础设施。该字段为布尔类型，取值为 true 或 false。  ---  ## 等保等级 (`protectionLevel`)  - **字段名称**: 等保等级 - **字段ID**: `protectionLevel` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示根据关键信息基础设施保护分级制度确定的资产等级。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `0` | 非等保系统 | 非等保系统 | | `1` | 第一级(自主保护级) | 第一级(自主保护级) | | `2` | 第二级(指导保护级) | 第二级(指导保护级) | | `3` | 第三级(监督保护级) | 第三级(监督保护级) | | `4` | 第四级(强制保护级) | 第四级(强制保护级) | | `5` | 第五级(专控保护级) | 第五级(专控保护级) |  ---  ## IDC服务商 (`idc`)  - **字段名称**: IDC服务商 - **字段ID**: `idc` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示托管资产的互联网数据中心(IDC)的服务提供商名称。字段值为字符串类型，需使用规范、完整的数据中心服务商名称。  ---  ## 是否关基资产 (`isCriticalInfra`)  - **字段名称**: 是否关基资产 - **字段ID**: `isCriticalInfra` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 表示资产是否属于国家标准定义的关键基础设施。该字段为布尔类型，仅接受 true 或 false 两种取值。  ---  ## 是否涉密 (`isClassified`)  - **字段名称**: 是否涉密 - **字段ID**: `isClassified` - **数据类型**: boolean - **校验类型**: boolean_t - **描述**: 表示资产是否包含或处理涉密信息。该字段为布尔类型，取值必须为 true 或 false，分别代表“是”与“否”。  ---  ## 机柜位置 (`cabinetPosition`)  - **字段名称**: 机柜位置 - **字段ID**: `cabinetPosition` - **数据类型**: string - **校验类型**: string_t - **描述**: 机柜位置用于标识资产所在机柜的物理位置。  ---  ## 单位直属性质 (`unitAffiliation`)  - **字段名称**: 单位直属性质 - **字段ID**: `unitAffiliation` - **数据类型**: enum - **校验类型**: string_t - **描述**: 该字段表示资产所属单位的直属监管关系分类，用于标识单位在行政管理层级中的隶属关系。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `central_government` | 中央直属 | 由中共中央、国务院或其组成部门直接管理和领导的机构。 | | `provincial` | 省直属 | 由省、自治区、直辖市政府或党委直接管理和领导的机构。 | | `municipal` | 市直属 | 由设区的市（地级市）政府或党委直接管理和领导的机构。 | | `district_county` | 区县直属 | 由市辖区、县级市或县政府直接管理和领导的机构。 | | `other` | 其他 | 不属于上述明确级别的其他隶属关系。 |  ---  ## 负责人 (`assetOwnerName`)  - **字段名称**: 负责人 - **字段ID**: `assetOwnerName` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产责任人的姓名。  ---  ## 负责人联系方式 (`assetOwnerPhone`)  - **字段名称**: 负责人联系方式 - **字段ID**: `assetOwnerPhone` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产负责人的联系方式，用于标识资产责任人的联系电话号码。  ---  ## 负责人邮箱 (`assetOwnerMail`)  - **字段名称**: 负责人邮箱 - **字段ID**: `assetOwnerMail` - **数据类型**: string - **校验类型**: string_t - **描述**: 负责人邮箱，用于标识资产负责人的电子邮箱地址。格式必须符合标准电子邮件地址规范，包含有效的用户名和域名部分。  ---  ## 资产所处省代码 (`assetGeoProvinceCode`)  - **字段名称**: 资产所处省代码 - **字段ID**: `assetGeoProvinceCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所在省份的行政区划代码，采用国家标准的行政区划代码格式。  ---  ## 资产所处市代码 (`assetGeoCityCode`)  - **字段名称**: 资产所处市代码 - **字段ID**: `assetGeoCityCode` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产所在城市的行政区划代码，采用国家标准的行政区划编码格式。  ---  ## 资产所处城市 (`assetGeoCity`)  - **字段名称**: 资产所处城市 - **字段ID**: `assetGeoCity` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产当前所在的城市名称，使用字符串格式表示。  ---  ## 公司 (`company`)  - **字段名称**: 公司 - **字段ID**: `company` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段记录软件供应商或服务提供商的法定注册公司全称。应采用标准的公司全名，避免使用简称或缩写。  ---  ## 产品名称 (`product`)  - **字段名称**: 产品名称 - **字段ID**: `product` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示与进程或文件相关联的软件或应用程序的产品名称。格式为字符串，通常包含软件供应商和产品名称，支持包含注册商标符号（如®）等特殊字符。  ---  ## 服务路径 (`serviceImage`)  - **字段名称**: 服务路径 - **字段ID**: `serviceImage` - **数据类型**: string - **校验类型**: string_t - **描述**: 服务所在的进程文件的完整路径及参数，采用字符串格式表示，支持包含文件名和启动参数。  ---  ## 启动类型 (`startType`)  - **字段名称**: 启动类型 - **字段ID**: `startType` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示服务或程序的启动类型，用于描述其启动方式，例如自动、手动或禁用。  ---  ## 原启动方式 (`oldStartType`)  - **字段名称**: 原启动方式 - **字段ID**: `oldStartType` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段记录修改前的原始启动方式，用于标识系统或服务在变更前的启动配置状态。  ---  ## 新启动方式 (`newStartType`)  - **字段名称**: 新启动方式 - **字段ID**: `newStartType` - **数据类型**: string - **校验类型**: string_t - **描述**: 新启动方式是指服务配置修改后的新启动方式。  ---  ## 执行方式 (`executeType`)  - **字段名称**: 执行方式 - **字段ID**: `executeType` - **数据类型**: string - **校验类型**: string_t - **描述**: 该字段表示命令的执行方式，用于标识命令是通过何种机制或协议执行的，例如通过WinRM（Windows远程管理）进行本地执行或远程执行。该字段为字符串类型，应使用有意义的描述性值，例如\"local\"表示本地执行，\"remote\"表示远程执行。  ---  ## 资产使用人联系邮箱 (`assetUserMail`)  - **字段名称**: 资产使用人联系邮箱 - **字段ID**: `assetUserMail` - **数据类型**: string - **校验类型**: string_t - **描述**: 资产使用人的联系邮箱，用于安全联络。格式要求：必须符合标准邮箱地址格式，包含@符号和有效域名。  ---  ## 资产防护状态 (`assetProtectStatus`)  - **字段名称**: 资产防护状态 - **字段ID**: `assetProtectStatus` - **数据类型**: enum - **校验类型**: string_t - **描述**: 资产安全防护机制或服务的运行状态。  ### 枚举值  | 值 | 标签 | 描述 | |------|------|------| | `under_protection` | 防护中 | 资产的安全防护服务（如防火墙、终端防护、入侵检测等）正在正常运行并生效 | | `unprotected` | 未防护 | 资产未启用或未部署任何主动的安全防护措施 | | `unknown` | 未知 | 资产的防护状态未能被检测或获取，安全状况不明确 |  ---  ## 关联ID (`relateId`)  - **字段名称**: 关联ID - **字段ID**: `relateId` - **数据类型**: string - **校验类型**: string_t - **描述**: 关联ID用于关联相关安全事件或资产信息的唯一标识符，格式为字符串。  ---  ## WMI名称 (`wmiName`)  - **字段名称**: WMI名称 - **字段ID**: `wmiName` - **数据类型**: string - **校验类型**: string_t - **描述**: WMI名称是Windows Management Instrumentation的类名、属性名或命名空间路径。其格式通常遵循WMI的命名规范，例如类名可能为Win32_Process、命名空间路径可能为root\\cimv2。  ---  ## 证书颁发者 (`certIssuer`)  - **字段名称**: 证书颁发者 - **字段ID**: `certIssuer` - **数据类型**: string - **校验类型**: string_t - **描述**: 证书颁发者的名称，即颁发证书的机构或实体的标识。该字段为字符串类型，通常包含证书颁发机构的可辨识名称（DN）或其通用名称（CN）。取值应符合X.509证书规范中对颁发者名称的格式约定。  ---  ## 会话ID (`sessionId`)  - **字段名称**: 会话ID - **字段ID**: `sessionId` - **数据类型**: string - **校验类型**: string_t - **描述**: 会话ID用于标识网络连接或应用会话的唯一全局标识符。  ---  ## 软件版本 (`softwareVersion`)  - **字段名称**: 软件版本 - **字段ID**: `softwareVersion` - **数据类型**: string - **校验类型**: string_t - **描述**: 软件版本号，用于标识软件发布的版本信息。通常遵循主版本号.次版本号.修订号（如：15.6.1）或包含字母前缀（如：v15.6.1）的格式。  ---  ## 设备厂商 (`deviceVendor`)  - **字段名称**: 设备厂商 - **字段ID**: `deviceVendor` - **数据类型**: string - **校验类型**: string_t - **描述**: 硬件设备或软件产品的制造商或供应商名称，用于资产识别、漏洞影响范围分析和供应链安全管理。  ---  ## 响应体 (`responseMsg`)  - **字段名称**: 响应体 - **字段ID**: `responseMsg` - **数据类型**: string - **校验类型**: string_t - **描述**: 响应体记录网络请求、系统处理请求、回复请求或发起操作行为后返回的消息内容。  ---  ## 转换后的源MAC地址 (`srcTransMacAddress`)  - **字段名称**: 转换后的源MAC地址 - **字段ID**: `srcTransMacAddress` - **数据类型**: string - **校验类型**: mac_t - **描述**: 转换后的源MAC地址，指在二层网络传输过程中，经过MAC地址转换（如代理、隧道封装）或受网络攻击（如ARP欺骗）影响后，数据包中呈现的源MAC地址。该字段必须符合标准的MAC地址格式，即六个两位十六进制数，以冒号分隔，格式为：xx:xx:xx:xx:xx:xx，其中x为0-9或a-f。  ---",[5,9,15,19,23,27,32],{"typeName":6,"type":7,"description":8,"pattern":-1,"maxlength":-1},"integer_t","integer","Signed integer value.",{"typeName":10,"type":11,"description":12,"pattern":13,"maxlength":14},"mac_t","string","Media Access Control (MAC) address. For example: 18:36:F3:98:4F:9A.","^([0-9A-Fa-f]{2}[:-]){5}([0-9A-Fa-f]{2})$",32,{"typeName":16,"type":17,"description":18,"pattern":-1,"maxlength":-1},"long_t","long","8-byte long, signed integer value.",{"typeName":20,"type":11,"description":21,"pattern":-1,"maxlength":22},"string_t","UTF-8 encoded byte sequence.",65535,{"typeName":24,"type":25,"description":26,"pattern":-1,"maxlength":-1},"boolean_t","boolean","Boolean value. One of true or false.",{"typeName":28,"type":11,"description":29,"pattern":30,"maxlength":31},"ip_t","Internet Protocol address (IP address), in either IPv4 or IPv6 format. For example, 192.168.200.24 or 2001:0db8:85a3:0000:0000:8a2e:0370:7334.","((^\\s*((([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5]).){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5]))\\s*$)|(^\\s*((([0-9A-Fa-f]{1,4}:){7}([0-9A-Fa-f]{1,4}|:))|(([0-9A-Fa-f]{1,4}:){6}(:[0-9A-Fa-f]{1,4}|((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){5}(((:[0-9A-Fa-f]{1,4}){1,2})|:((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){4}(((:[0-9A-Fa-f]{1,4}){1,3})|((:[0-9A-Fa-f]{1,4})?:((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){3}(((:[0-9A-Fa-f]{1,4}){1,4})|((:[0-9A-Fa-f]{1,4}){0,2}:((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){2}(((:[0-9A-Fa-f]{1,4}){1,5})|((:[0-9A-Fa-f]{1,4}){0,3}:((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){1}(((:[0-9A-Fa-f]{1,4}){1,6})|((:[0-9A-Fa-f]{1,4}){0,4}:((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3}))|:))|(:(((:[0-9A-Fa-f]{1,4}){1,7})|((:[0-9A-Fa-f]{1,4}){0,5}:((25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)(.(25[0-5]|2[0-4]\\d|1\\d\\d|[1-9]?\\d)){3}))|:)))(%.+)?\\s*$))",40,{"typeName":33,"type":11,"description":34,"pattern":35,"maxlength":-1},"datetime_string_t","Date and time in the format yyyy-MM-dd HH:mm:ss, using 24-hour time.","^\\d{4}-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01]) (2[0-3]|[01][0-9]):[0-5][0-9]:[0-5][0-9]$",[37,42,47,52,57,62,67,72,77,82,87,92,97,102,107,112,117,122,127,132,137,151,156,161,166,171,176,181,186,191,196,216,221,226,231,236,261,266,271,276,281,286,290,295,300,396,401,423,428,433,438,443,448,467,472,477,520,525,530,535,540,585,590,595,600,605,610,632,636,641,670,675,984,989,994,999,1004,1009,1014,1019,1041,1046,1051,1056,1061,1066,1071,1076,1081,1086,1091,1096,1101,1106,1111,1116,1121,1126,1131,1172,1177,1182,1187,1192,1197,1202,1207,1212,1217,1222,1227,1232,1237,1242,1335,1340,1345,1350,1355,1360,1365,1370,1375,1392,1397,1402,1431,1460,1464,1469,1492,1497,1502,1507,1512,1517,1522,1527,1532,1537,1542,1547,1552,1557,1562,1609,1614,1619,1624,1629,1634,1639,1644,1649,1654,1659,1708,1713,1718,1723,1728,1733,1738,1743,1748,1753,1758,1763,1773,1778,1782,1787,1792,1797,1802,1807,1812,1817,1822,1827,1832,1842,1847,1852,1857,1862,1867,1872,1877,1882,1887,1892,1897,1902,1907,1912,1917,1922,1927,1932,1937,1942,1947,1952,1957,2004,2009,2014,2019,2024,2029,2034,2039,2044,2048,2061,2117,2122,2127,2132,2137,2142,2147,2353,2358,2363,2368,2373,2378,2383,2388,2393,2415,2420,2425,2430,2435,2440,2445,2465,2470,2475,2480,2485,3288,3293,3298,3303,3308,3313,3334,3359,3364,3369,3374,3379,3384,3389,3394,3399,3404,3409,3414,3419,3424,3448,3453,3458,3463,3468,3473,3569,3574,3579,3584,3589,3594,3599,3604,3609,3614,3619,3624,3629,3634,3639,3644,3649,3654,3659,3664,3669,3674,3679,3684,3689,3694,3699,3704,3709,3714,3719,3724,3729,3734,3739,3744,3877,3882,4052,4057,4062,4067,4072,4077,4082,4087,4092,4097,4102,4107,4112,4117,4122,4127,4132,4137,4142,4147,4152,4157,4162,4167,4172,4177,4182,4187,4206,4211,4216,4221,4226,4231,4236,4241,4246,4251,4256,4261,4282,4287,4292,4297,4302,4357,4362,4367,4372,4377,4382,4387,4392,4397,4402,4407,4412,4417,4422,4436,4441,4446,4475,4480,4485,4490,4495,4500,4505,4553,4558,4563,4592,4597,4602,4622,4627,4632,4637,4642,4647,4652,4694,4699,4704,4709,4714,4719,4837,4842,4847,4852,4857,4862,4867,4872,4877,4882,4887,4932,4936,4941,4946,4951,4956,4961,4966,4971,4976,4981,4986,4991,5004,5009,5014,5045,5050,5055,5060,5077,5082,5087,5124,5129,5134,5155,5160,5165,5170,5175,5180,5185,5190,5195,5200,5205,5210,5215,5220,5225,5230,5235,5240,5245,5250,5255,5260,5475,5480,5485,5490,5495,5500,5505,5510,5515,5520,5525,5530,5535,5540,5545,5550,5555,5560,5565,5570,5575,5580,5585,5590,5595,5600,5605,5610,5615,5620,5625,5630,5635,5640,5645,5650,5655,5660,5665,5670,5675,5680,5685,5690,5695,5700,5705,5710,5724,5729,5734,5739,5744,5749,5754,5759,5763,5768,5773,5778,5783,5788,5793,5798,5802,5807,5812],{"fieldName":38,"label":39,"type":11,"valid_type":20,"description":40,"enumValues":41},"sha256","文件SHA-256哈希值","文件内容的SHA-256密码学哈希值，用于唯一标识和验证文件完整性。格式要求为64位十六进制字符串，字符集为0-9、a-f（大小写不敏感）。",[],{"fieldName":43,"label":44,"type":25,"valid_type":24,"description":45,"enumValues":46},"mixedDomainMode","混合域模式","该字段表示Active Directory是否启用混合身份验证模式。字段值为布尔类型，仅接受 true 或 false 两种取值，分别代表启用和未启用状态。",[],{"fieldName":48,"label":49,"type":11,"valid_type":20,"description":50,"enumValues":51},"dbName","数据库名称","数据库管理系统(DBMS)中数据库实例的逻辑名称。字段类型为字符串，命名应清晰标识特定数据库实例。",[],{"fieldName":53,"label":54,"type":11,"valid_type":20,"description":55,"enumValues":56},"assetAlias","资产别名","资产别名，用于对资产进行自定义命名，便于查看和识别。",[],{"fieldName":58,"label":59,"type":11,"valid_type":20,"description":60,"enumValues":61},"responseHeader","响应头","响应头字段包含HTTP网络请求中服务器返回给客户端的元数据和服务器信息，用于描述响应内容（如内容类型、长度等）和服务器状态。该字段为字符串类型，其内容需符合HTTP协议标准规范。",[],{"fieldName":63,"label":64,"type":11,"valid_type":20,"description":65,"enumValues":66},"confPath","配置文件路径","配置文件路径，表示应用程序或系统服务的配置文件在系统中的完整存储路径。该路径应为绝对路径，使用POSIX标准路径格式，例如以“/”开头的Unix/Linux路径或以盘符开头的Windows路径。",[],{"fieldName":68,"label":69,"type":11,"valid_type":20,"description":70,"enumValues":71},"sshServerVersion","SSH服务器版本","该字段表示SSH服务器在协议握手过程中声明的协议版本标识，用于标识服务器支持的SSH协议版本。",[],{"fieldName":73,"label":74,"type":11,"valid_type":20,"description":75,"enumValues":76},"responseCode","响应码","响应码是网络请求后服务器返回的状态码，用于表示请求的处理结果。",[],{"fieldName":78,"label":79,"type":11,"valid_type":20,"description":80,"enumValues":81},"loginGuid","登录GUID","登录会话的全局唯一标识符，用于唯一标识一次登录会话。格式为标准的GUID格式，通常为32位十六进制数字，以连字符分隔为5组，形式如：xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx，其中每个x为0-9或a-f的十六进制字符。",[],{"fieldName":83,"label":84,"type":11,"valid_type":33,"description":85,"enumValues":86},"processStartTime","进程启动时间","进程启动时间，指操作系统成功创建进程实例的精确时间。格式要求为标准的日期时间字符串，具体格式为：yyyy-mm-dd HH:mm:ss。",[],{"fieldName":88,"label":89,"type":11,"valid_type":20,"description":90,"enumValues":91},"cvssVersion","CVSS版本","通用漏洞评分系统(CVSS)的版本标识符。此字段用于区分不同版本的CVSS评估标准，例如CVSSv2.0、CVSSv3.0或CVSSv3.1。格式通常为固定字符串“CVSSv”后跟主版本号和可选的次版本号（例如，CVSSv3.1）。",[],{"fieldName":93,"label":94,"type":11,"valid_type":20,"description":95,"enumValues":96},"oldUacValue","旧UAC值","旧UAC值，表示用户账号在更改前的用户账号控制 (UAC) 值。该值为十六进制字符串格式，通常以“0x”前缀开头，后跟一个或多个十六进制数字（0-9， A-F）。",[],{"fieldName":98,"label":99,"type":11,"valid_type":20,"description":100,"enumValues":101},"ruleId","规则ID","规则ID是触发策略的安全规则唯一标识符。其值应为字符串类型，通常由字母、数字或特定符号组成，用于在系统中唯一标识一条安全规则。",[],{"fieldName":103,"label":104,"type":11,"valid_type":20,"description":105,"enumValues":106},"httpReferer","请求Referer","HTTP请求的来源页面URL，即浏览器在发送当前请求时所来自的页面的完整地址。格式必须符合URL规范，通常以协议（如http://或https://）开头，包含域名和可选的路径、查询参数等组成部分。",[],{"fieldName":108,"label":109,"type":11,"valid_type":20,"description":110,"enumValues":111},"fileList","文件列表","记录邮件中所有附件的文件名集合，格式为以逗号分隔的字符串。文件名应仅包含合法字符，避免包含特殊字符如换行符、引号或路径分隔符。",[],{"fieldName":113,"label":114,"type":11,"valid_type":28,"description":115,"enumValues":116},"dataSourceAddress","数据来源地址","数据来源地址，指提供数据的设备网络地址。该字段必须是合法的IP地址格式，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如192.168.1.5），IPv6地址为冒号分隔的十六进制格式。",[],{"fieldName":118,"label":119,"type":11,"valid_type":20,"description":120,"enumValues":121},"otherInfo","其他","该字段用于记录与资产或事件相关的其他补充信息。",[],{"fieldName":123,"label":124,"type":11,"valid_type":33,"description":125,"enumValues":126},"timesTill","票据过期时间","票据的绝对过期时间，表示Kerberos票据在该时间点后将失效。时间格式必须符合yyyy-mm-dd HH:mm:ss的规范。",[],{"fieldName":128,"label":129,"type":11,"valid_type":20,"description":130,"enumValues":131},"machineCode","机器码","机器码是日志来源设备的唯一标识符（设备ID），主要用于设备级联追踪。该字段值应保持全局唯一性，若无现成的设备ID，可参考硬件编码或基于许可证（license）信息生成。格式上，它必须为字符串，允许使用的字符包括大写字母（A-Z）、小写字母（a-z）和数字（0-9）。长度无固定限制，但应保证其唯一性和可管理性。",[],{"fieldName":133,"label":134,"type":11,"valid_type":20,"description":135,"enumValues":136},"srcGeoCity","来源城市","该字段表示网络连接发起方IP地址所对应的城市级别行政区域名称。其值为字符串类型，该信息通常由IP地址归属地查询服务提供，无特定的格式或字符集强制要求，但建议保持名称的一致性。",[],{"fieldName":138,"label":139,"type":140,"valid_type":20,"description":141,"enumValues":142},"dnsType","DNS操作类型","enum","DNS操作类型，标识DNS协议消息的操作方向类型。该字段为枚举类型，可选值包括：query (查询) 和 response (响应)。",[143,147],{"value":144,"title":145,"description":146},"response","响应","DNS响应结果",{"value":148,"title":149,"description":150},"query","查询","DNS查询请求",{"fieldName":152,"label":153,"type":11,"valid_type":20,"description":154,"enumValues":155},"subTechniqueId","ATT&CK子技术ID","该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击子技术的唯一标识符。其格式为ATT&CK技术ID后加小数点与三位数字编号，例如 `T1566.001`。该标识符应符合MITRE ATT&CK官方规范。",[],{"fieldName":157,"label":158,"type":11,"valid_type":20,"description":159,"enumValues":160},"osUser","操作系统用户名","在操作系统层面进行身份验证或执行操作的用户标识。该字段为字符串类型，通常由字母、数字、下划线、点或连字符等字符组成。",[],{"fieldName":162,"label":163,"type":11,"valid_type":20,"description":164,"enumValues":165},"imageLoaded","加载项路径","该字段记录进程运行时加载的动态链接库或驱动模块在文件系统中的完整路径。格式为字符串，应使用操作系统标准的文件路径格式表示，例如Windows系统采用盘符加反斜杠分隔的路径（如C:\\Program Files\\...），Linux/Unix系统采用正斜杠分隔的绝对路径（如/usr/lib/...）。路径中不应包含环境变量或相对路径符号（如.、..、~）。",[],{"fieldName":167,"label":168,"type":11,"valid_type":20,"description":169,"enumValues":170},"destLoginGuid","目标登录GUID","目标系统上特定登录会话或登录请求的唯一标识符，通常为GUID（全局唯一标识符）格式。",[],{"fieldName":172,"label":173,"type":11,"valid_type":20,"description":174,"enumValues":175},"assetUserMail","资产使用人联系邮箱","资产使用人的联系邮箱，用于安全联络。格式要求：必须符合标准邮箱地址格式，包含@符号和有效域名。",[],{"fieldName":177,"label":178,"type":25,"valid_type":24,"description":179,"enumValues":180},"isDomestic","是否国产化","该字段用于标识资产是否属于国产化设备或在国内采购。",[],{"fieldName":182,"label":183,"type":7,"valid_type":6,"description":184,"enumValues":185},"peakBytesRate","峰值字节速率","峰值字节速率，表示网络接口或系统在特定时间段内传输的最大字节速率，单位为Bps（字节每秒）。该字段为整型数值，其值应大于等于0，用于量化网络流量或数据传输的最高瞬时速度。",[],{"fieldName":187,"label":188,"type":11,"valid_type":20,"description":189,"enumValues":190},"deviceSendProductName","设备产品名称","设备产品名称用于标识生成日志的软件或硬件产品的官方标准名称。格式为字符串，需使用明确、规范的官方产品名称。",[],{"fieldName":192,"label":193,"type":11,"valid_type":28,"description":194,"enumValues":195},"dhcpAddress","DHCP分配IP地址","该字段记录DHCP服务器动态分配给客户端的IP地址。该值必须符合标准的IPv4或IPv6地址格式规范。",[],{"fieldName":197,"label":198,"type":140,"valid_type":20,"description":199,"enumValues":200},"assetUsability","可用性","该字段表示资产能够按预期运行并提供服务的程度。",[201,204,207,210,213],{"value":202,"title":203,"description":203},"high","高",{"value":205,"title":206,"description":206},"low","低",{"value":208,"title":209,"description":209},"veryHigh","非常高",{"value":211,"title":212,"description":212},"medium","中",{"value":214,"title":215,"description":215},"ignorable","可忽略",{"fieldName":217,"label":218,"type":11,"valid_type":20,"description":219,"enumValues":220},"newThreadId","新线程ID","新创建线程的系统分配的唯一数字标识符。内容应为有效的数字序列，通常表示操作系统为线程分配的非负整数值。",[],{"fieldName":222,"label":223,"type":11,"valid_type":20,"description":224,"enumValues":225},"assignee","负责人","负责人字段用于标识负责安全事件调查和响应的主要责任人。其值应为字符串类型，通常为责任人的用户名、工号或姓名。",[],{"fieldName":227,"label":228,"type":11,"valid_type":20,"description":229,"enumValues":230},"srcGeoCityCode","来源城市代码","该字段表示网络请求来源的城市地理编码，用于标识来源城市。格式为字符串类型，通常使用城市名称或标准城市代码表示。",[],{"fieldName":232,"label":233,"type":11,"valid_type":20,"description":234,"enumValues":235},"phishingEmail","钓鱼邮箱","钓鱼邮箱是指用于发起网络钓鱼攻击的恶意发件人邮箱地址。字段内容必须符合标准电子邮件地址格式，即包含本地部分、@符号和域名部分。",[],{"fieldName":237,"label":238,"type":140,"valid_type":20,"description":239,"enumValues":240},"openLevel","开放等级","该字段表示各类资产（数据、API、服务等）的开放程度，用于定义信息的访问和传播范围。其值为预定义的枚举类型，必须在指定范围内选取。可选值包括：confidential (机密等级)，表示高度敏感，仅限极少数授权人员访问；internal_use (内部使用)，表示仅限于组织内部人员使用；limited_disclosure (受限公开)，表示可在特定条件下向外部有限实体公开；public_disclosure (公开等级)，表示可向公众公开；open_standard (开放标准)，表示遵循开放标准，鼓励广泛使用和互操作。",[241,245,249,253,257],{"value":242,"title":243,"description":244},"open_standard","开放标准","遵循开放标准，可自由使用和分发的资产",{"value":246,"title":247,"description":248},"internal_use","内部使用","限于组织内部使用的资产，禁止对外披露",{"value":250,"title":251,"description":252},"limited_disclosure","受限公开","在特定条件下可向外部披露的资产",{"value":254,"title":255,"description":256},"public_disclosure","公开等级","可向公众开放的资产，符合开放标准",{"value":258,"title":259,"description":260},"confidential","机密等级","最高敏感度资产，访问受到严格限制",{"fieldName":262,"label":263,"type":11,"valid_type":20,"description":264,"enumValues":265},"responseBody","响应体","该字段表示HTTP网络请求响应客户端接收到的响应内容。格式为字符串，内容通常为文本、JSON、XML或HTML等。",[],{"fieldName":267,"label":268,"type":11,"valid_type":20,"description":269,"enumValues":270},"registrar","注册商","注册商的官方名称，即提供域名注册服务的机构或公司。该字段为字符串类型，应使用完整的机构名称，不包含特殊字符。",[],{"fieldName":272,"label":273,"type":11,"valid_type":20,"description":274,"enumValues":275},"userParameters","用户参数","Active Directory用户账号的自定义配置参数。",[],{"fieldName":277,"label":278,"type":11,"valid_type":20,"description":279,"enumValues":280},"displayName","显示名称","显示名称用于用户友好展示的别名。",[],{"fieldName":282,"label":283,"type":11,"valid_type":20,"description":284,"enumValues":285},"responseOs","响应操作系统","该字段标识服务器在响应中透露的操作系统类型和版本信息。通常包含操作系统名称（如Linux、Windows）及其版本号（如Ubuntu 20.04、Windows Server 2019）。",[],{"fieldName":287,"label":287,"type":11,"valid_type":20,"description":288,"enumValues":289},"icon","该字段用于表示对象的图形化图标，通过视觉符号指代特定事物或功能。其值为图标文件的名称或路径，通常为字符串格式，例如PNG、JPG、SVG或ICO等常见图像格式的文件名。",[],{"fieldName":291,"label":292,"type":11,"valid_type":10,"description":293,"enumValues":294},"destMacAddress","目的MAC地址","目的MAC地址表示网络数据帧接收方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。",[],{"fieldName":296,"label":297,"type":11,"valid_type":20,"description":298,"enumValues":299},"dataPath","数据路径","数据路径是指数据库或应用程序数据文件的存储路径。其格式为字符串，内容应为有效的文件系统路径，支持绝对路径或相对路径表示。路径字符串通常由目录名和文件名组成，使用正斜杠（/）或反斜杠（\\）作为分隔符。",[],{"fieldName":301,"label":302,"type":140,"valid_type":20,"description":303,"enumValues":304},"unitType","单位类型","单位类型表示资产所属组织实体的行业与性质分类，用于资产归属管理、安全策略制定及合规性审计。该字段为枚举类型，其值必须为预定义的可选字符串之一，例如：party_committee (党委机关), large_state_owned_enterprise (大型国企), company (企业), public_institution (事业单位), individual (个人) 等可选值。",[305,309,312,316,320,324,328,332,336,340,344,348,352,356,360,364,368,372,376,380,384,388,392],{"value":306,"title":307,"description":308},"medical_institution","医疗机构","依法成立，从事疾病诊断、治疗活动的医院、卫生院、诊所等机构。",{"value":310,"title":119,"description":311},"other","不属于上述类别的其他类型组织机构。",{"value":313,"title":314,"description":315},"individual","个人","以自然人身份作为资产所有者或使用者，不属于任何组织机构。",{"value":317,"title":318,"description":319},"religious_group","宗教团体","由信教公民自愿组成，为团结信教公民和开展宗教活动而依法成立的社团组织。",{"value":321,"title":322,"description":323},"impartial_organization","公正机构","泛指从事独立、客观的评估、认证、仲裁等活动的第三方机构。",{"value":325,"title":326,"description":327},"foreign_cultural_center","外国在华文化中心","外国政府在中国境内设立，旨在促进两国文化交流与合作的非营利性机构。",{"value":329,"title":330,"description":331},"large_state_owned_enterprise","大型国企","由国务院国有资产监督管理委员会或地方政府监管的大型国有独资或控股企业。",{"value":333,"title":334,"description":335},"overseas_institution","境外机构","在中国大陆以外地区（包括港澳台及外国）合法注册或设立的机构实体。",{"value":337,"title":338,"description":339},"district_county","区县","作为一级行政区划和行政管理层级的市辖区或县的统称，具有完整的政府职能。",{"value":341,"title":342,"description":343},"foundation","基金会","利用自然人、法人或者其他组织捐赠的财产，以从事公益事业为目的而成立的非营利性法人。",{"value":345,"title":346,"description":347},"social_organization","社会团体","中国公民自愿组成，为实现会员共同意愿，按照其章程开展活动的非营利性社会组织，需在民政部门登记。",{"value":349,"title":350,"description":351},"law_firm","律师执业机构","依法设立，为当事人提供法律服务的机构，主要包括律师事务所。",{"value":353,"title":354,"description":355},"collective_economy","集体经济","生产资料归部分劳动者共同所有的公有制经济形式，如农村集体经济组织、城镇集体企业等。",{"value":357,"title":358,"description":359},"defense_agency","国防机构","负责国家防务和武装力量建设的机构，如中央军事委员会各部门及下属单位。",{"value":361,"title":362,"description":363},"mass_organization","群团组织","人民团体和群众团体的统称，是中国共产党领导下的特定社会群体组织，如工会、共青团、妇联等。",{"value":365,"title":366,"description":367},"government","政府机关","国家各级行政机关，包括国务院各部委、地方政府及其组成部门，行使行政管理职能。",{"value":369,"title":370,"description":371},"public_institution","事业单位","由国家行政机关举办，从事教育、科技、文化、卫生等活动的社会服务组织，具有法人资格。",{"value":373,"title":374,"description":375},"private_non_enterprise","民办非企业","企业事业单位、社会团体和其他社会力量以及公民个人利用非国有资产举办的，从事非营利性社会服务活动的社会组织。",{"value":377,"title":378,"description":379},"company","企业","以营利为目的，从事商业活动的法人或非法人组织，包括私营企业、外商投资企业等。",{"value":381,"title":382,"description":383},"forensic_institution","司法鉴定机构","经司法行政机关审核登记，取得《司法鉴定许可证》，在诉讼活动中提供司法鉴定服务的法人或其他组织。",{"value":385,"title":386,"description":387},"party_committee","党委机关","中国共产党各级委员会的办事机构，属于政治领导机关。",{"value":389,"title":390,"description":391},"commission_bureau","委办局","对地方政府中委员会、办公室、局的统称，是承担具体行政管理职能的工作部门。",{"value":393,"title":394,"description":395},"notary_organization","公证机构","依法设立，不以营利为目的，依法独立行使公证职能、承担民事责任的证明机构。",{"fieldName":397,"label":398,"type":11,"valid_type":28,"description":399,"enumValues":400},"deviceAddress","设备IP地址","设备产生日志时的IP地址，用于标识日志来源设备。格式要求：必须为有效的IPv4或IPv6地址格式。",[],{"fieldName":402,"label":403,"type":140,"valid_type":20,"description":404,"enumValues":405},"unitAffiliation","单位直属性质","该字段表示资产所属单位的直属监管关系分类，用于标识单位在行政管理层级中的隶属关系。",[406,408,412,416,419],{"value":310,"title":119,"description":407},"不属于上述明确级别的其他隶属关系。",{"value":409,"title":410,"description":411},"provincial","省直属","由省、自治区、直辖市政府或党委直接管理和领导的机构。",{"value":413,"title":414,"description":415},"municipal","市直属","由设区的市（地级市）政府或党委直接管理和领导的机构。",{"value":337,"title":417,"description":418},"区县直属","由市辖区、县级市或县政府直接管理和领导的机构。",{"value":420,"title":421,"description":422},"central_government","中央直属","由中共中央、国务院或其组成部门直接管理和领导的机构。",{"fieldName":424,"label":425,"type":11,"valid_type":20,"description":426,"enumValues":427},"destGeoCountry","目的国家","目的国家，指网络连接接收方IP地址所对应的国家名称。该字段值为国家或地区的完整中文名称，例如“中国”、“美国”等。",[],{"fieldName":429,"label":430,"type":11,"valid_type":20,"description":431,"enumValues":432},"parentProcessId","父进程ID","父进程ID是操作系统分配给父进程的唯一数字标识符，通常为非负整数。",[],{"fieldName":434,"label":435,"type":11,"valid_type":20,"description":436,"enumValues":437},"wmiDestination","WMI目标","WMI事件消费者执行的目标路径，通常为文件系统路径格式，应遵循Windows或Unix-like系统的路径规范，例如使用反斜杠（\\）或正斜杠（/）作为目录分隔符，且路径应指向有效的可执行文件或脚本。",[],{"fieldName":439,"label":440,"type":11,"valid_type":20,"description":441,"enumValues":442},"subTechniqueName","ATT&CK子技术名称","该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击子技术的官方名称。名称格式应符合MITRE ATT&CK官方定义，通常为英文短语，采用驼峰命名法或空格分隔的单词组合，例如“Spearphishing Attachment”。",[],{"fieldName":444,"label":445,"type":11,"valid_type":20,"description":446,"enumValues":447},"requestBody","HTTP请求体","HTTP网络请求客户端向服务器发送请求时传递的数据内容，通常包含请求参数、表单数据或JSON体。",[],{"fieldName":449,"label":450,"type":140,"valid_type":20,"description":451,"enumValues":452},"assetImportance","重要程度","资产的重要程度等级，用于标识资产在网络安全防护中的优先级和价值。",[453,456,459,461,464],{"value":454,"title":455,"description":455},"important","重要资产",{"value":457,"title":458,"description":458},"core","核心资产",{"value":310,"title":460,"description":460},"其它资产",{"value":462,"title":463,"description":463},"common","普通资产",{"value":465,"title":466,"description":466},"classified","涉密资产",{"fieldName":468,"label":469,"type":11,"valid_type":20,"description":470,"enumValues":471},"unitId","单位ID","资产所属单位的唯一标识符。",[],{"fieldName":473,"label":474,"type":11,"valid_type":20,"description":475,"enumValues":476},"clientPrg","客户端程序","该字段用于标识连接数据库或其他服务的客户端应用程序名称，通常为客户端软件或驱动程序的名称。",[],{"fieldName":478,"label":479,"type":140,"valid_type":20,"description":480,"enumValues":481},"cloudStorageType","云存储类型","云存储类型是指云计算存储服务的标准化分类，用于标识所使用的存储服务类别。该字段为枚举类型，必须从预定义的可选值列表中选取，常见值包括：objectStorage（对象存储）、blockStorage（块存储）、fileStorage（文件存储）、archiveStorage（归档存储）和databaseStorage（数据库存储）等选项。输入值需确保与指定的枚举值完全匹配。",[482,486,488,492,496,500,504,508,512,516],{"value":483,"title":484,"description":485},"fileStorage","文件存储","基于文件的共享存储服务，如AWS EFS、Azure Files",{"value":310,"title":119,"description":487},"其他类型的存储类型",{"value":489,"title":490,"description":491},"backupStorage","备份存储","专用备份和恢复服务存储，如AWS Backup、Azure Backup",{"value":493,"title":494,"description":495},"temporaryStorage","临时存储","计算实例的临时或缓存存储，数据不持久化",{"value":497,"title":498,"description":499},"objectStorage","对象存储","基于对象的非结构化数据存储服务，如AWS S3、Azure Blob Storage",{"value":501,"title":502,"description":503},"databaseStorage","数据库存储","托管数据库服务的底层存储，如AWS RDS、Azure SQL Database存储",{"value":505,"title":506,"description":507},"blockStorage","块存储","块级存储设备，可挂载到计算实例，如AWS EBS、Azure Disk Storage",{"value":509,"title":510,"description":511},"edgeStorage","边缘存储","边缘计算场景下的分布式存储服务",{"value":513,"title":514,"description":515},"hybridStorage","混合存储","连接本地和云环境的混合存储解决方案",{"value":517,"title":518,"description":519},"archiveStorage","归档存储","低成本长期数据归档存储，如AWS Glacier、Azure Archive Storage",{"fieldName":521,"label":522,"type":11,"valid_type":20,"description":523,"enumValues":524},"originalFileName","原始文件名","原始文件名，指文件在被处理、重命名或上传前的原始名称。",[],{"fieldName":526,"label":527,"type":11,"valid_type":28,"description":528,"enumValues":529},"managementAddress","管理IP","管理IP地址，用于设备带外管理、远程访问和系统维护。该字段必须是有效的IPv4或IPv6地址格式。",[],{"fieldName":531,"label":532,"type":11,"valid_type":20,"description":533,"enumValues":534},"dataSize","数据大小","该字段表示数据库表占用的物理存储空间大小。其值为一个字符串，通常由数字和单位组成，例如“41MB”。",[],{"fieldName":536,"label":537,"type":11,"valid_type":33,"description":538,"enumValues":539},"timePasswordLastSet","密码最后设置时间","记录用户最后一次修改密码的时间，格式为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":541,"label":542,"type":140,"valid_type":20,"description":543,"enumValues":544},"queryType","查询类型","该字段标识DNS查询请求的资源记录类型。其值必须为预定义的枚举字符串，例如：A (IPv4地址记录)、AAAA (IPv6地址记录)、CNAME (规范名称记录)、MX (邮件交换记录)、TXT (文本记录)等。",[545,549,553,557,561,565,569,573,577,581],{"value":546,"title":547,"description":548},"A","IPv4地址记录","主机IPv4地址记录，最常见的DNS查询类型",{"value":550,"title":551,"description":552},"TXT","文本记录","文本信息记录，常用于DNS隧道和SPF验证",{"value":554,"title":555,"description":556},"SOA","起始授权记录","区域授权起始记录，用于DNS区域管理",{"value":558,"title":559,"description":560},"NS","域名服务器记录","权威域名服务器记录，用于DNS基础设施分析",{"value":562,"title":563,"description":564},"SRV","服务定位记录","服务定位记录，用于特定服务发现",{"value":566,"title":567,"description":568},"CNAME","规范名称记录","域名别名记录，用于域名重定向分析",{"value":570,"title":571,"description":572},"MX","邮件交换记录","邮件服务器记录，用于邮件基础设施分析",{"value":574,"title":575,"description":576},"ANY","所有记录类型","请求所有可用记录，常用于DNS侦察和放大攻击",{"value":578,"title":579,"description":580},"AAAA","IPv6地址记录","主机IPv6地址记录，用于IPv6网络检测",{"value":582,"title":583,"description":584},"PTR","指针记录","反向DNS查找记录，用于IP到域名映射",{"fieldName":586,"label":587,"type":11,"valid_type":20,"description":588,"enumValues":589},"lockoutDuration","锁定持续时间","锁定持续时间表示由于超出锁定阈值而锁定帐户的时间量，单位为分钟。该字段应为正整数，表示锁定时长（单位：分钟）。",[],{"fieldName":591,"label":592,"type":11,"valid_type":33,"description":593,"enumValues":594},"createTime","创建时间","该字段记录系统对象、文件或资源的初始创建时间。时间格式必须为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":596,"label":597,"type":25,"valid_type":24,"description":598,"enumValues":599},"isNull","是否为空","标识数据库列是否允许存储NULL值。该字段为布尔类型，取值为true或false，其中true表示允许存储NULL值，false表示不允许存储NULL值。",[],{"fieldName":601,"label":602,"type":11,"valid_type":20,"description":603,"enumValues":604},"cnvd","CNVD漏洞标识符","CNVD漏洞标识符是由国家信息安全漏洞共享平台(CNVD)颁发的漏洞唯一标识编号，用于唯一标识和追踪漏洞。其格式为固定字符串\"CNVD-\"后接年份、连字符和序列号，例如\"CNVD-2022-10627\"。该字段为字符串类型，需严格遵循\"CNVD-YYYY-NNNNN\"的格式规范，其中YYYY为四位数年份，NNNNN为漏洞序列号。",[],{"fieldName":606,"label":607,"type":11,"valid_type":20,"description":608,"enumValues":609},"softwareSerialNumber","软件序列号","软件的序列号，用于标识软件授权的唯一序列号。通常由数字、字母及连字符（-）等字符组成。",[],{"fieldName":611,"label":612,"type":140,"valid_type":20,"description":613,"enumValues":614},"IoCLevel","情报危害等级","情报IOC的危害程度评估等级，采用枚举类型表示，可选值包括：Critical（严重）、High（高）、Medium（中）、Low（低）、Info（信息）。",[615,618,621,624,628],{"value":616,"title":203,"description":617},"High","高威胁级别，与活跃攻击活动强相关，需要立即调查和响应",{"value":619,"title":206,"description":620},"Low","低威胁级别，可疑但风险有限，建议观察和记录",{"value":622,"title":212,"description":623},"Medium","中等威胁级别，与已知恶意活动相关，需要关注和监控",{"value":625,"title":626,"description":627},"Critical","严重","严重威胁级别，确认的恶意活动，需要紧急处置和遏制",{"value":629,"title":630,"description":631},"Info","信息","信息级别，仅用于参考和上下文分析，不构成直接威胁",{"fieldName":633,"label":223,"type":11,"valid_type":20,"description":634,"enumValues":635},"assetOwnerName","资产责任人的姓名。",[],{"fieldName":637,"label":638,"type":11,"valid_type":20,"description":639,"enumValues":640},"parentProcessMd5","父进程MD5","父进程可执行文件的MD5哈希值，用于唯一标识该文件。格式要求：必须是一个32位的十六进制字符串，由数字0-9及大写字母A-F组成，不包含连字符或其他分隔符。",[],{"fieldName":642,"label":643,"type":140,"valid_type":20,"description":644,"enumValues":645},"certType","证书类型","证书类型用于标识不同安全用途的数字证书的类别。本字段为枚举类型，其值必须为预设的可选值之一，具体包括：SSL（SSL/TLS证书）、CodeSigning（代码签名证书）、ClientAuth（客户端身份证书）、Email（电子邮件证书）、EVSSL（扩展验证SSL证书）及其他可能的指定类型。",[646,650,654,658,662,666],{"value":647,"title":648,"description":649},"Email","电子邮件证书","用于电子邮件加密和数字签名",{"value":651,"title":652,"description":653},"ClientAuth","客户端身份证书","用于客户端身份验证和双向SSL认证",{"value":655,"title":656,"description":657},"SelfSigned","自签名证书","未经第三方证书颁发机构签名的证书",{"value":659,"title":660,"description":661},"SSL","SSL/TLS证书","用于网站和服务器的安全通信加密",{"value":663,"title":664,"description":665},"CodeSigning","代码签名证书","用于软件和代码的数字签名验证",{"value":667,"title":668,"description":669},"EVSSL","扩展验证SSL证书","扩展验证型SSL证书，提供最高级别身份验证",{"fieldName":671,"label":672,"type":11,"valid_type":20,"description":673,"enumValues":674},"isp","网络服务提供商","该字段标识互联网服务提供商的名称，用于记录网络流量或事件来源的运营商信息。",[],{"fieldName":676,"label":677,"type":140,"valid_type":20,"description":678,"enumValues":679},"incidentType","安全事件类型","安全事件类型字段用于标识安全事件的主要攻击分类和技术类别，采用层级路径格式表示。该字段为枚举类型，必须从预定义的可选值中选择，每个值均为一个字符串形式的路径。",[680,684,688,692,696,700,704,708,712,716,720,724,728,732,736,740,744,748,752,756,760,764,768,772,776,780,784,788,792,796,800,804,808,812,816,820,824,828,832,836,840,844,848,852,856,860,864,868,872,876,880,884,888,892,896,900,904,908,912,916,920,924,928,932,936,940,944,948,952,956,960,964,968,972,976,980],{"value":681,"title":682,"description":683},"/Malware/MaliciousCodeHostingSite","恶意代码宿主站点事件","恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码；",{"value":685,"title":686,"description":687},"/DevOps/InfrastructureFailure","配套设施故障事件","配套设施故障事件:支撑网络运行的配套设施发生故障.例如：电力供应故障、照明系统故障、温湿度控制系统故障等；",{"value":689,"title":690,"description":691},"/NetAttack/SignalInterference","信号干扰事件","信号干扰事件：通过技术手段阻碍有线或无线信号在网络中正常传播；",{"value":693,"title":694,"description":695},"/NetAttack/DomainRedirect","域名转嫁事件","域名转嫁事件:把自己的域名指向一个不属于自己的IP地址，导致针对该域名的攻击都将被引向所指向的IP地址；",{"value":697,"title":698,"description":699},"/NetAttack/DNSPoisoning","DNS污染事件","DNS污染事件:利用刻意制造或无意制造的DNS数据包，把域名指向不正确的IP地址；",{"value":701,"title":702,"description":703},"/ViolateOp/PrivilegeAbuse","权限滥用事件","权限滥用事件：由于网络服务端功能开放过多或权限限制不严格，导致攻击者通过直接或间接调用权限的方式进行攻击；",{"value":705,"title":706,"description":707},"/Malware/Miner","挖矿病毒事件","挖矿病毒事件：以获得数字加密货币为目的，控制他人的计算机并植入挖矿病毒程序完成大量运算",{"value":709,"title":710,"description":711},"/InformationSec/Others","其他信息内容安全事件","其他信息内容安全事件：不在以上子类之中的信息内容安全事件。",{"value":713,"title":714,"description":715},"/AbnormalBehavior/Access","访问异常事件","访问异常事件：因网络软硬件运行环境发生变化导致不能提供服务；",{"value":717,"title":718,"description":719},"/Others/Others","其他事件","其他事件指未归为上述分类的网络安全事件。",{"value":721,"title":722,"description":723},"/InformationSec/Reactionary","反动宣传事件","反动宣传事件：利用网络传播煽动颠覆国家政权、推翻社会主义制度.煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息：",{"value":725,"title":726,"description":727},"/ViolateOp/PrivilegeEscalation","权限伪造事件","权限伪造事件：为了欺骗制造虚假权限；",{"value":729,"title":730,"description":731},"/ViolateOp/UnauthResource","资源未授权使用事件","资源未授权使用事件:未经授权访问资源；",{"value":733,"title":734,"description":735},"/DataSec/DataTampering","数据篡改事件","数据篡改事件:未经授权接触或修改数据；",{"value":737,"title":738,"description":739},"/NetAttack/BGPHijack","BGP劫持攻击事件","BGP劫持攻击事件:通过BGP恶意操纵网络路由路径；",{"value":741,"title":742,"description":743},"/DataSec/DataLeakage","数据泄露事件","数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露：",{"value":745,"title":746,"description":747},"/DevOps/TechnicalFailure","技术故障事件","技术故障事件：网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障，例如：硬件故障、软件故障、过载等；",{"value":749,"title":750,"description":751},"/NetAttack/DomainHijack","域名劫持事件","域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址（网站）；",{"value":753,"title":754,"description":755},"/ViolateOp/Deliberate","故意违规操作事件","故意违规操作事件：故意执行非法操作；",{"value":757,"title":758,"description":759},"/Majeure/PublicHealth","公共卫生事件","公共卫生事件：传染病疫情等导致信息和信息系统受损；",{"value":761,"title":762,"description":763},"/Malware/Worm","网络蠕虫事件","网络端虫事件：利用网络缺陷，蓄意制造或通过网络自动复制并传播网络蠕虫；",{"value":765,"title":766,"description":767},"/NetAttack/BackdoorImplantation","后门植入事件","后门植入事件：非法在网络中创建能够持续获取其管理权限的后门；",{"value":769,"title":770,"description":771},"/Malware/MaliciousCodeEmbedded","恶意代码内嵌网页事件","恶意代码内嵌网页事件：在访问被嵌入恶意代码而受到污损的网页时，该恶意代码在访问该网页的计算机系统中安装恶意软件；",{"value":773,"title":774,"description":775},"/Malware/Botnet","僵尸网络事件","僵尸网络事件：利用僵尸工具程序形成僵尸网络；",{"value":777,"title":778,"description":779},"/NetAttack/Scan","网络扫描探测事件","网络扫描探测事件：利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息；",{"value":781,"title":782,"description":783},"/NetAttack/VulnExploit","漏洞利用事件","漏洞利用事件：通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击；",{"value":785,"title":786,"description":787},"/DataSec/DataFake","数据假冒事件","数据假冒事件：非法或未经许可使用、伪造数据；",{"value":789,"title":790,"description":791},"/Malware/Others","其他恶意程序事件","其他恶意程序事件:不在以上子类之中的恶意程序事件。",{"value":793,"title":794,"description":795},"/AbnormalBehavior/Traffic","流量异常事件","流量异常事件：网络流量行为模式偏离正常基线；",{"value":797,"title":798,"description":799},"/NetAttack/WLANHijack","WLAN劫持事件","WLAN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限；",{"value":801,"title":802,"description":803},"/NetAttack/CompromisedHost","失陷主机事件","失陷主机事件：攻击者获得某主机的控制权后.能以该主机为跳板继续攻击组织内网其他主机；",{"value":805,"title":806,"description":807},"/InformationSec/RightsInfringement","权益侵害事件","权益侵害事件：利用网络传播的信息侵害了社会组织或公民的合法权益；",{"value":809,"title":810,"description":811},"/NetAttack/BroadcastFraud","广播欺诈事件","广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息；",{"value":813,"title":814,"description":815},"/InformationSec/Violent","暴恐宣扬事件","暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义，煽动民族仇恨、民族歧视的信息，引起社会恐慌和动乱；",{"value":817,"title":818,"description":819},"/NetAttack/WebTempering","网页篡改事件","网页篡改事件:通过恶意破坏或更改网页内容影响网站声誉或破坏网页及网站可用性；",{"value":821,"title":822,"description":823},"/NetAttack/TrafficHijack","流量劫持事件","流量劫持事件：通过恶意诱导或非法强制用户访问特定网络资源造成用户流量损失；",{"value":825,"title":826,"description":827},"/InformationSec/InformationSpamming","信息滥发事件","信息滥发事件:利用网络传播未经接收者准许的信息，例如：垃圾邮件等；",{"value":829,"title":830,"description":831},"/Majeure/NaturalDisaster","自然灾害事件","自然灾害事件：大自然的极端现象导致信息和信息系统受损，例如：地震、火山、洪水、暴风、闪电、海啸、崩塌等；",{"value":833,"title":834,"description":835},"/NetAttack/Credential","凭据攻击事件","凭据攻击事件：破解口令.解析登录口令或凭据等；",{"value":837,"title":838,"description":839},"/NetAttack/BackdoorExploit","后门利用事件","后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块、程序等，非法获取网络管理权限；",{"value":841,"title":842,"description":843},"/ViolateOp/BehaviorDenial","行为抵赖事件","行为抵赖事件:用户否认其有害行为；",{"value":845,"title":846,"description":847},"/DataSec/DataPoisoning","数据投毒事件","训练数据的概率分布，导致模型在某些特定条件下产生分类或聚类错误；",{"value":849,"title":850,"description":851},"/DataSec/PrivacyInvasion","隐私侵犯事件","隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息；",{"value":853,"title":854,"description":855},"/DataSec/PositionDetection","位置检测事件","位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置；",{"value":857,"title":858,"description":859},"/InformationSec/NetworkFraud","网络欺诈事件","网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获取信息或钱财；",{"value":861,"title":862,"description":863},"/Malware/ComputerVirus","计算机病毒事件","计算机病毒事件:制造、传播或利用恶意程序，影响计算机使用,破坏计算机功能，毁坏或窃取数据；",{"value":865,"title":866,"description":867},"/DataSec/DataIntercept","数据拦截事件","数据拦截事件:在数据到达目标接收者之前非法捕获数据；",{"value":869,"title":870,"description":871},"/ViolateOp/Copyright","版权违反事件","版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料；",{"value":873,"title":874,"description":875},"/ViolateOp/Others","其他违规操作事件","其他违规操作事件：不在以上子类之中的违规操作事件。",{"value":877,"title":878,"description":879},"/Majeure/IncidentDisaster","事故灾难事件","事故灾难事件：具有灾难性后果的事故导致信息和信息系统受损，例如：公共设施和设备事故、环境污染事故等",{"value":881,"title":882,"description":883},"/DataSec/Others","其他数据安全事件","其他数据安全事件:不在以上子类之中的数据安全事件。",{"value":885,"title":886,"description":887},"/AbnormalBehavior/Others","其他异常行为事件","其他异常行为事件:不在以上子类之中的异常行为事件。",{"value":889,"title":890,"description":891},"/ViolateOp/Misoperation","误操作事件","误操作事件:无意地执行错误操作；",{"value":893,"title":894,"description":895},"/SafetyHazard/NetVuln","网络漏洞事件","网络漏洞事件：因操作系统、应用程序或安全协议开发及设计过程中，对安全性考虑不充分而出现安全隐患；",{"value":897,"title":898,"description":899},"/DataSec/DataTheft","数据窃取事件","数据窃取事件:未经授权利用技术手段（例如窃听、间谍等）偷窃数据；",{"value":901,"title":902,"description":903},"/DevOps/PhysicalDamage","物理损害事件","物理损害事件：故意或意外的物理行动造成网络环境或网络设备损坏.例如：失火、漏水、静电、设备毁坏或丢失等；",{"value":905,"title":906,"description":907},"/Majeure/Others","其他不可抗力事件","其他不可抗力事件：不在以上子类之中的不可抗力事件。",{"value":909,"title":910,"description":911},"/NetAttack/Phishing","网络钓鱼事件","网络钓鱼事件：利用欺诈性网络技术诱使用户泄露重要数据或个人信息；",{"value":913,"title":914,"description":915},"/NetAttack/DOS","拒绝服务事件","拒绝服务事件：通过非正常使用网络资源（诸如CPU、内存、磁盘空间或网络带宽）影响或破坏网络可用性，例如：DDOS等；",{"value":917,"title":918,"description":919},"/DataSec/DataAbuse","数据滥用事件","数据滥用事件:无意或恶意滥用数据",{"value":921,"title":922,"description":923},"/DataSec/DataLoss","数据损失事件","数据损失事件：因误操作、人为蓄意或软硬件缺陷等因素导致数据损失；",{"value":925,"title":926,"description":927},"/DevOps/Others","其他设备设施故障事件","其他设备设施故障事件：不在以上子类之中的设备设施故障事件。",{"value":929,"title":930,"description":931},"/SafetyHazard/NetConfigFlaw","网络配置缺陷事件","网络配置合规缺陷事件：由于软硬件安全配置不合理或缺省配置，不符合网络安全要求而产生安全缺陷或隐患；",{"value":933,"title":934,"description":935},"/InformationSec/FalseInformation","虚假信息传播事件","虚假信息传播事件：利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序.造成负面影响；",{"value":937,"title":938,"description":939},"/Malware/Trojan","特洛伊木马事件","特洛伊木马事件：制造、传播或利用具有远程控制功能的恶意程序，实现非法窃取或截获数据；",{"value":941,"title":942,"description":943},"/InformationSec/Porn","色情传播事件","色情传播事件：利用网络传播违背社会伦理道德的淫秽色情信息；",{"value":945,"title":946,"description":947},"/NetAttack/SupplyChain","供应链攻击事件","供应链攻击事件:通过利用供应链管理中存在的脆弱性，感染合法应用来分发恶意程序：",{"value":949,"title":950,"description":951},"/NetAttack/Others","其他网络攻击事件","其他网络攻击事件:不在以上子类之中的网络攻击事件。",{"value":953,"title":954,"description":955},"/SafetyHazard/Others","其他安全隐患事件","其他安全隐患事件:不在以上子类之中的安全隐患事件。",{"value":957,"title":958,"description":959},"/Malware/BlendedAttack","混合攻击程序事件","混合攻击程序事件:利用多种方法传播和利用多种恶意程序.例如，一个计算机病毒在侵入计算机系统后在系统中安装木马程序；",{"value":961,"title":962,"description":963},"/Majeure/SocialSec","社会安全事件","社会安全事件：危害国家和社会的突发性群体性事件导致信息和信息系统受损.例如：恐怖袭击事件等；",{"value":965,"title":966,"description":967},"/ViolateOp/PersonnelAvailability","人员可用性破坏事件","人员可用性破坏事件:人力资源受损，导致人员缺失或缺席；",{"value":969,"title":970,"description":971},"/NetAttack/APT","APT事件","APT事件：通过对特定对象展开持续有效的攻击活动.这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击",{"value":973,"title":974,"description":975},"/DataSec/SocialEngineering","社会工程事件","社会工程事件:通过非技术手段（如心理学、话术等）诱导他人泄露数据或执行行动；",{"value":977,"title":978,"description":979},"/DevOps/Radiation","辐射干扰事件","辐射干扰事件：因辐射产生干扰影响网络正常运行.例如：电磁辐射、电磁脉冲、电子干扰、电压波动、热辐射等；",{"value":981,"title":982,"description":983},"/Malware/Ransomware","勒索软件事件","勒索软件事件:采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用户索取赎金；",{"fieldName":985,"label":986,"type":11,"valid_type":20,"description":987,"enumValues":988},"language","语言","该字段标识软件开发或脚本执行使用的编程语言名称，应为常见的编程语言名称，例如Python、Java、JavaScript、C++等，不包含版本号或特定方言信息。",[],{"fieldName":990,"label":991,"type":11,"valid_type":20,"description":992,"enumValues":993},"assetGeoCityCode","资产所处市代码","资产所在城市的行政区划代码，采用国家标准的行政区划编码格式。",[],{"fieldName":995,"label":996,"type":11,"valid_type":20,"description":997,"enumValues":998},"victimPort","受害者端口","受害者网络服务端口号，表示遭受威胁攻击或风险影响的受害者服务所使用的端口。格式为端口号，取值范围为0-65535，多个端口号使用英文逗号分隔。",[],{"fieldName":1000,"label":1001,"type":11,"valid_type":20,"description":1002,"enumValues":1003},"deviceName","设备名称","设备名称，用于标识日志生成设备的名称，可添加资产属性（如总部、下级等）。",[],{"fieldName":1005,"label":1006,"type":11,"valid_type":20,"description":1007,"enumValues":1008},"callTrace","函数调用栈","函数调用栈记录了线程创建时刻的函数调用序列，包含模块名和内存地址偏移。格式为由竖线“|”分隔的多个调用帧，每个调用帧的格式为“模块文件完整路径+十六进制内存偏移量”。模块路径应使用标准文件系统路径格式，内存偏移量应为不带“0x”前缀的十六进制数字。",[],{"fieldName":1010,"label":1011,"type":11,"valid_type":20,"description":1012,"enumValues":1013},"isv","独立软件开发商","该字段用于标识网站、应用程序或软件产品的独立开发服务提供商名称。",[],{"fieldName":1015,"label":1016,"type":11,"valid_type":20,"description":1017,"enumValues":1018},"objectType","对象类型","标识系统对象的分类类型，例如Directory（目录）、File（文件）、User（用户）等。该字段为字符串类型，用于明确区分系统中不同种类的资源对象。",[],{"fieldName":1020,"label":1021,"type":140,"valid_type":20,"description":1022,"enumValues":1023},"wechatSubjectType","微信主体类型","微信公众平台认证主体的类型分类。枚举类型，可选值包括：individual（个人主体）、enterprise（企业主体）、government（政府主体）、media（媒体主体）、other（其他主体）。",[1024,1027,1030,1033,1037],{"value":310,"title":1025,"description":1026},"其他主体","其他类型的微信公众号认证主体",{"value":365,"title":1028,"description":1029},"政府主体","政府机构认证的微信公众号主体",{"value":313,"title":1031,"description":1032},"个人主体","个人身份认证的微信公众号主体",{"value":1034,"title":1035,"description":1036},"enterprise","企业主体","企业或组织机构认证的微信公众号主体",{"value":1038,"title":1039,"description":1040},"media","媒体主体","媒体机构认证的微信公众号主体",{"fieldName":1042,"label":1043,"type":11,"valid_type":20,"description":1044,"enumValues":1045},"nicModel","网卡型号","网卡型号，指网络接口控制器（NIC）的硬件型号标识，用于唯一标识网卡设备，通常包含制造商、接口类型和速率规格等信息。",[],{"fieldName":1047,"label":1048,"type":11,"valid_type":20,"description":1049,"enumValues":1050},"payload","载荷内容","该字段表示攻击活动中传输的恶意载荷内容，例如注入的代码或恶意数据。",[],{"fieldName":1052,"label":1053,"type":11,"valid_type":20,"description":1054,"enumValues":1055},"runUser","执行用户","执行系统进程或服务的用户账号名称，应为有效的系统用户名。",[],{"fieldName":1057,"label":1058,"type":11,"valid_type":20,"description":1059,"enumValues":1060},"virusFamily","病毒家族","该字段表示病毒的家族分类，指具有共同代码基础、攻击手法或作者关联的病毒分组。",[],{"fieldName":1062,"label":1063,"type":11,"valid_type":20,"description":1064,"enumValues":1065},"destHostName","目标主机名","目标主机名（目标标识）指网络连接或安全事件中目标设备的网络标识，它可以是 DNS 主机名（含 FQDN）、NetBIOS 名称、本地主机名或 IP 地址；若访问时包含非标准端口，则通常应在标识后附加 :端口号（如 192.168.1.1:8080 或 host.example.com:8443）。",[],{"fieldName":1067,"label":1068,"type":11,"valid_type":20,"description":1069,"enumValues":1070},"middlewareVersion","中间件版本","该字段表示中间件软件的具体版本号。版本号通常遵循主版本号.次版本号.修订号（如 8.0.1）或类似的数字序列格式，也可能包含字母和分隔符（如 “v2.1-beta”）。",[],{"fieldName":1072,"label":1073,"type":11,"valid_type":20,"description":1074,"enumValues":1075},"sidHistory","对象SIDHistory属性","Active Directory对象的SID历史属性，用于记录用户或组对象先前使用的安全标识符。该字段为字符串类型，其值必须符合Windows安全标识符格式规范，具体格式为：以“S-1-”开头的字符串，后跟一系列由连字符分隔的数字标识符。例如：S-1-5-21-3623811015-3361044348-30300820-1013。",[],{"fieldName":1077,"label":1078,"type":25,"valid_type":24,"description":1079,"enumValues":1080},"isExecutable","是否可执行","该字段用于标识文件是否具有可执行格式（如PE、ELF）或执行权限。其值为布尔类型，仅允许取 `true` 或 `false`。",[],{"fieldName":1082,"label":1083,"type":11,"valid_type":20,"description":1084,"enumValues":1085},"componentName","组件名称","组件名称是系统内部组件的功能名称标识，用于唯一标识一个软件模块或功能单元。格式要求：必须为有效的字符串，通常采用小写字母、数字和连字符（-）的组合，遵循常见的命名约定（如Maven artifactId或软件包名称）。",[],{"fieldName":1087,"label":1088,"type":11,"valid_type":20,"description":1089,"enumValues":1090},"pipeName","管道名称","字段用于标识Windows命名管道或SMB共享管道的完整路径名称。其格式为UNC路径，通常以双反斜杠`\\\\`开头，后跟主机名或IP地址以及共享资源路径，例如`\\\\server\\pipe\\pipename`或`\\\\192.168.56.20\\IPC$`。该字段为字符串类型，需符合Windows命名管道或SMB共享的标准命名规范。",[],{"fieldName":1092,"label":1093,"type":11,"valid_type":20,"description":1094,"enumValues":1095},"techniqueId","ATT&CK技术ID","该字段表示攻击行为在MITRE ATT&CK框架中对应的具体攻击技术的唯一标识符。格式为ATT&CK技术ID标准格式，通常以字母“T”开头，后接4位数字，例如：T1566。",[],{"fieldName":1097,"label":1098,"type":11,"valid_type":20,"description":1099,"enumValues":1100},"srcGeoLatitude","来源纬度","该字段表示网络连接发起方IP地址所对应的地理纬度坐标，以字符串格式存储。纬度坐标应遵循十进制表示法，取值范围为-90.000000到90.000000，其中北纬为正，南纬为负。",[],{"fieldName":1102,"label":1103,"type":11,"valid_type":20,"description":1104,"enumValues":1105},"domainBehaviorVersion","域行为版本","域功能级别版本号，用于标识Active Directory域的功能级别，格式为整数形式的版本号。该字段为字符串类型，存储对应的版本数字。",[],{"fieldName":1107,"label":1108,"type":11,"valid_type":20,"description":1109,"enumValues":1110},"eventId","事件ID","事件ID是日志事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成。格式应为标准的UUID字符串，例如：550e8400-e29b-41d4-a716-446655440000。要求全局唯一，不可重复。",[],{"fieldName":1112,"label":1113,"type":11,"valid_type":20,"description":1114,"enumValues":1115},"grantedAccess","访问标识","访问标识表示进程或线程被授予的系统资源访问权限掩码，通常以十六进制数表示，通常以\"0x\"前缀开头，后跟十六进制数字（0-9， a-f）",[],{"fieldName":1117,"label":1118,"type":11,"valid_type":20,"description":1119,"enumValues":1120},"image","进程路径","该字段表示进程可执行文件在文件系统中的完整路径。路径格式应符合操作系统规范，通常为字符串形式，例如以斜杠（/）开头的绝对路径（Linux/Unix系统）或包含盘符和反斜杠的路径（Windows系统）。",[],{"fieldName":1122,"label":1123,"type":11,"valid_type":20,"description":1124,"enumValues":1125},"unitName","单位名称","单位名称，表示资产所属单位的名称。",[],{"fieldName":1127,"label":1128,"type":11,"valid_type":20,"description":1129,"enumValues":1130},"virusName","病毒名称","病毒的名称，用于唯一标识和识别特定的病毒或恶意软件。格式为字符串类型，通常包含病毒家族、类型、变种等层级信息。",[],{"fieldName":1132,"label":1133,"type":140,"valid_type":20,"description":1134,"enumValues":1135},"ldapOpType","LDAP操作类型","该字段表示轻量级目录访问协议(LDAP)请求的具体操作类型。其值必须为预定义的枚举字符串，有效值包括但不限于：bind (绑定操作)、unbind (解绑操作)、search (搜索操作)、compare (比较操作)、add (添加操作)。",[1136,1140,1144,1148,1152,1156,1160,1164,1168],{"value":1137,"title":1138,"description":1139},"Add","Add Operation","Add new directory entry",{"value":1141,"title":1142,"description":1143},"Delete","Delete Operation","Delete directory entry",{"value":1145,"title":1146,"description":1147},"Bind","Bind Operation","LDAP authentication and session establishment",{"value":1149,"title":1150,"description":1151},"Search","Search Operation","Directory entry search query",{"value":1153,"title":1154,"description":1155},"Extended","Extended Operation","LDAP extended operation",{"value":1157,"title":1158,"description":1159},"Compare","Comparison Operation","Attribute value comparison",{"value":1161,"title":1162,"description":1163},"Modify","Modify Operation","Modify directory entry attributes",{"value":1165,"title":1166,"description":1167},"Unbind","Unbind Operation","LDAP session termination",{"value":1169,"title":1170,"description":1171},"ModifyDn","Modify DN","Modify entry identifier",{"fieldName":1173,"label":1174,"type":7,"valid_type":6,"description":1175,"enumValues":1176},"affectAssetPort","受影响资产端口","该字段表示攻击或风险的受影响资产的网络服务端口号，用于标识网络服务。格式要求：端口号必须是整数类型，取值范围为0-65535。",[],{"fieldName":1178,"label":1179,"type":11,"valid_type":20,"description":1180,"enumValues":1181},"accountType","账号类型","账号类型，指用户账号基于功能、权限和使用场景的分类。本字段为字符串类型，通常取值为描述账号类型的文本，如“VPN账号”、“系统管理员账号”、“普通用户账号”等。根据实际业务场景填写具体类型名称。",[],{"fieldName":1183,"label":1184,"type":11,"valid_type":20,"description":1185,"enumValues":1186},"relateId","关联ID","关联ID用于关联相关安全事件或资产信息的唯一标识符，格式为字符串。",[],{"fieldName":1188,"label":1189,"type":7,"valid_type":6,"description":1190,"enumValues":1191},"destTransPort","转换后目的端口","该字段表示在目的网络地址转换（DNAT）或端口重定向过程中，目的端口号被修改后的最终端口值。格式为整数，取值范围为0到65535。",[],{"fieldName":1193,"label":1194,"type":11,"valid_type":20,"description":1195,"enumValues":1196},"srcGeoCountry","来源国家","该字段表示网络连接发起方IP地址所对应的国家或地区信息。",[],{"fieldName":1198,"label":1199,"type":11,"valid_type":20,"description":1200,"enumValues":1201},"cmdContent","命令行内容","命令行内容，指在计算机系统或终端中执行的具体命令字符串。内容通常为ASCII或UTF-8编码的可读文本。",[],{"fieldName":1203,"label":1204,"type":11,"valid_type":28,"description":1205,"enumValues":1206},"attackerAddress","攻击者","发起威胁攻击的攻击者源IP地址，格式要求：必须是符合IPv4或IPv6标准的IP地址格式，例如IPv4的点分十进制表示法（如192.168.22.35）或IPv6的冒号分隔十六进制表示法。",[],{"fieldName":1208,"label":1209,"type":11,"valid_type":20,"description":1210,"enumValues":1211},"dataRetentionPolicy","数据保留策略","数据保留策略，用于定义数据在存储系统中的保留时长和处置方式。该字段为字符串类型，用于描述具体的保留策略。常见的格式包括但不限于：以天、月、年为单位的时长描述。",[],{"fieldName":1213,"label":1214,"type":11,"valid_type":20,"description":1215,"enumValues":1216},"kernelVersion","内核版本","内核版本信息，表示操作系统内核的具体版本号。通常遵循主版本号.次版本号.修订号-发布版本的格式。",[],{"fieldName":1218,"label":1219,"type":11,"valid_type":20,"description":1220,"enumValues":1221},"sshClientVersion","SSH客户端版本","SSH客户端使用的协议版本标识，通常表示SSH协议的主版本号。",[],{"fieldName":1223,"label":1224,"type":11,"valid_type":20,"description":1225,"enumValues":1226},"tacticId","ATT&CK战术ID","攻击行为在MITRE ATT&CK框架中对应的战术阶段唯一标识符。格式必须符合ATT&CK官方定义的战术ID规范，通常以“TA”为前缀，后跟四位或五位数字，例如“TA0001”。",[],{"fieldName":1228,"label":1229,"type":11,"valid_type":20,"description":1230,"enumValues":1231},"assetUser","使用人","使用资产的人员姓名，格式为字符串类型。",[],{"fieldName":1233,"label":1234,"type":11,"valid_type":20,"description":1235,"enumValues":1236},"assetGeoCountry","资产所处国家","资产当前所在的国家名称，使用ISO 3166-1标准中的国家名称（例如：中国、美国）。取值应为完整且标准的国家名称，避免使用简称或代码。",[],{"fieldName":1238,"label":1239,"type":11,"valid_type":20,"description":1240,"enumValues":1241},"accessControlPolicy","访问控制策略","访问控制策略的配置信息，用于定义资源的访问权限规则。该字段存储具体的策略配置内容，通常包含访问控制规则、条件、动作等结构化信息。",[],{"fieldName":1243,"label":1244,"type":140,"valid_type":20,"description":1245,"enumValues":1246},"logType","日志类型","该字段标识日志事件的功能或对象实体分类。其值为预定义的枚举字符串，例如：alert（告警类日志）、traffic（网络通信类日志）、process（进程操作类日志）、command（命令执行类日志）、file（文件操作类日志）等。",[1247,1251,1255,1259,1263,1267,1271,1275,1279,1283,1287,1291,1295,1299,1303,1307,1311,1315,1319,1323,1327,1331],{"value":1248,"title":1249,"description":1250},"app","应用程序类日志","应用程序运行日志，记录应用程序启动、运行、错误和业务操作",{"value":1252,"title":1253,"description":1254},"registry","注册表操作类日志","Windows注册表操作日志，记录注册表键值创建、修改和删除操作",{"value":1256,"title":1257,"description":1258},"process","进程操作类日志","进程生命周期管理日志，记录进程创建、终止、注入等操作",{"value":1260,"title":1261,"description":1262},"module","模块操作类日志","程序模块管理日志，记录DLL、SO等模块的加载、卸载和内存映射",{"value":1264,"title":1265,"description":1266},"winrm","WinRM操作类日志","Windows远程管理日志，记录远程PowerShell命令执行和系统管理操作",{"value":1268,"title":1269,"description":1270},"thread","线程操作类日志","线程管理日志，记录线程创建、终止、挂起和优先级变更操作",{"value":1272,"title":1273,"description":1274},"command","命令执行类日志","命令行和脚本执行日志，记录系统命令、PowerShell和Shell命令执行",{"value":1276,"title":1277,"description":1278},"system_resource","系统资源类日志","系统资源使用日志，记录CPU、内存、磁盘和网络资源使用情况",{"value":1280,"title":1281,"description":1282},"wmi","WMI操作类日志","Windows管理规范操作日志，记录WMI查询、事件订阅和代码执行",{"value":1284,"title":1285,"description":1286},"file","文件操作类日志","文件系统操作日志，记录文件创建、修改、删除、访问等操作",{"value":1288,"title":1289,"description":1290},"task","任务操作类日志","计划任务和作业日志，记录定时任务创建、执行、修改和删除操作",{"value":1292,"title":1293,"description":1294},"driver","驱动操作类日志","设备驱动程序日志，记录内核驱动加载、卸载和运行状态",{"value":1296,"title":1297,"description":1298},"alert","告警类日志","安全告警事件日志，包含威胁检测、异常行为和安全风险告警",{"value":1300,"title":1301,"description":1302},"service","服务操作类日志","系统服务管理日志，记录Windows/Linux服务的创建、启动、停止和配置变更",{"value":1304,"title":1305,"description":1306},"domain","域名操作类日志","域名解析和查询日志，记录DNS查询、域名解析和网络定位操作",{"value":1308,"title":1309,"description":1310},"system_operation","系统操作类日志","系统级管理操作日志，记录系统维护、管理和控制操作",{"value":1312,"title":1313,"description":1314},"pipe","管道操作类日志","进程间通信日志，记录命名管道创建、连接、数据传输操作",{"value":1316,"title":1317,"description":1318},"config","配置操作类日志","系统配置变更日志，记录安全策略、系统设置和配置修改操作",{"value":1320,"title":1321,"description":1322},"account","账号操作类日志","用户账户管理日志，记录用户登录、注销、权限变更和账户管理操作",{"value":1324,"title":1325,"description":1326},"others","其他类型日志","未分类的其他日志类型，包含无法归入上述分类的日志事件",{"value":1328,"title":1329,"description":1330},"traffic","网络通信类日志","网络流量和通信会话日志，记录网络连接、数据传输和协议通信",{"value":1332,"title":1333,"description":1334},"status","系统状态类日志","系统运行状态日志，记录系统启动、关机、重启和运行状态变更",{"fieldName":1336,"label":1337,"type":25,"valid_type":24,"description":1338,"enumValues":1339},"privilegedRun","特权模式运行","该字段表示容器是否以特权模式运行，具有对主机的访问权限，基于Docker运行时安全标准。其格式为布尔值，仅允许取 `true` 或 `false` 两种值。",[],{"fieldName":1341,"label":1342,"type":11,"valid_type":20,"description":1343,"enumValues":1344},"pnpDeviceName","即插即用设备名","该字段用于标识Windows系统中即插即用设备的完整名称和路径信息。其值为字符串类型，通常包含设备在操作系统中的逻辑驱动器盘符、设备制造商名称、设备型号及序列号等详细信息，各组成部分之间以特定分隔符（如空格或反斜杠）连接。",[],{"fieldName":1346,"label":1347,"type":11,"valid_type":20,"description":1348,"enumValues":1349},"requestMethod","请求方法","网络请求客户端向服务器发送请求时使用的HTTP请求方法类型，如GET、POST、PUT、DELETE等标准方法。该字段值必须统一使用大写英文字母表示",[],{"fieldName":1351,"label":1352,"type":11,"valid_type":20,"description":1353,"enumValues":1354},"srcLoginId","源登录ID","源登录ID是指在网络通信中发起操作或请求时使用的用户登录标识符，用于唯一标识发起方用户。",[],{"fieldName":1356,"label":1357,"type":11,"valid_type":20,"description":1358,"enumValues":1359},"tamperedPageUrl","被篡改网页URL","该字段记录未经授权修改后的受损网页URL地址，格式需符合标准URL规范，通常包含协议类型（如http、https）、域名和路径等组成部分。",[],{"fieldName":1361,"label":1362,"type":11,"valid_type":20,"description":1363,"enumValues":1364},"executeType","执行方式","该字段表示命令的执行方式，用于标识命令是通过何种机制或协议执行的，例如通过WinRM（Windows远程管理）进行本地执行或远程执行。该字段为字符串类型，应使用有意义的描述性值，例如\"local\"表示本地执行，\"remote\"表示远程执行。",[],{"fieldName":1366,"label":1367,"type":11,"valid_type":20,"description":1368,"enumValues":1369},"processChain","进程链","进程链表示从系统初始化到当前进程的完整进程派生序列，用于追溯进程的创建来源。格式为由箭头符号“→”连接的进程名称与进程ID对，每个进程对格式为“进程名称(进程ID)”，例如：systemd(1) → sshd(4326) → bash(14617)。",[],{"fieldName":1371,"label":1372,"type":11,"valid_type":20,"description":1373,"enumValues":1374},"httpVersion","HTTP协议版本","该字段标识HTTP网络请求中使用的协议版本。格式为字符串，必须符合HTTP协议版本的标准表示格式，例如\"HTTP/1.0\"、\"HTTP/1.1\"或\"HTTP/2\"。",[],{"fieldName":1376,"label":1377,"type":140,"valid_type":20,"description":1378,"enumValues":1379},"assetProtectStatus","资产防护状态","资产安全防护机制或服务的运行状态。",[1380,1384,1388],{"value":1381,"title":1382,"description":1383},"under_protection","防护中","资产的安全防护服务（如防火墙、终端防护、入侵检测等）正在正常运行并生效",{"value":1385,"title":1386,"description":1387},"unprotected","未防护","资产未启用或未部署任何主动的安全防护措施",{"value":1389,"title":1390,"description":1391},"unknown","未知","资产的防护状态未能被检测或获取，安全状况不明确",{"fieldName":1393,"label":1394,"type":11,"valid_type":20,"description":1395,"enumValues":1396},"srcUserId","源用户ID","源用户ID是发起网络连接或操作的用户唯一标识符，通常用于标识操作主体。该字段为字符串类型，格式因系统或协议而异，常见格式包括Windows安全标识符（SID，如示例“S-1-5-18”）、用户名、用户全局唯一标识符（GUID）或数字ID等。",[],{"fieldName":1398,"label":1399,"type":11,"valid_type":20,"description":1400,"enumValues":1401},"userLoginHours","用户登录时间","用户账户的登录时间限制，定义了用户可以登录系统的时间范围。",[],{"fieldName":1403,"label":1404,"type":140,"valid_type":20,"description":1405,"enumValues":1406},"osType","操作系统类型","操作系统所属的类别。枚举字段，取值范围必须为以下预设值之一：Windows（表示Windows系统）、Linux（表示Linux系统）、Unix（表示Unix系统）、MacOS（表示macOS系统）、Android（表示Android系统）。",[1407,1411,1415,1419,1423,1427],{"value":1408,"title":1409,"description":1410},"Unix","Unix系统","Unix及类Unix操作系统",{"value":1412,"title":1413,"description":1414},"Linux","Linux系统","Linux内核操作系统发行版",{"value":1416,"title":1417,"description":1418},"MacOS","macOS系统","Apple macOS操作系统",{"value":1420,"title":1421,"description":1422},"Windows","Windows系统","Microsoft Windows操作系统家族",{"value":1424,"title":1425,"description":1426},"iOS","iOS系统","Apple iOS移动操作系统",{"value":1428,"title":1429,"description":1430},"Android","Android系统","Google Android移动操作系统",{"fieldName":1432,"label":1433,"type":140,"valid_type":20,"description":1434,"enumValues":1435},"wmiType","WMI类型","WMI事件消费者的具体类别分类，枚举类型，可选值包括：CommandLineEventConsumer（命令行事件消费者）、ActiveScriptEventConsumer（活动脚本事件消费者）、NTEventLogEventConsumer（NT事件日志消费者）、SMTPEventConsumer（SMTP事件消费者）、LogFileEventConsumer（日志文件事件消费者）等。",[1436,1440,1444,1448,1452,1456],{"value":1437,"title":1438,"description":1439},"ActiveScriptEventConsumer","活动脚本事件消费者","执行VBScript或JScript脚本的WMI消费者类型",{"value":1441,"title":1442,"description":1443},"LogFileEventConsumer","日志文件事件消费者","向日志文件写入条目的WMI消费者类型",{"value":1445,"title":1446,"description":1447},"CommandLineEventConsumer","命令行事件消费者","执行命令行命令的WMI消费者类型",{"value":1449,"title":1450,"description":1451},"SMTPEventConsumer","SMTP事件消费者","通过SMTP发送电子邮件的WMI消费者类型",{"value":1453,"title":1454,"description":1455},"NTEventLogEventConsumer","NT事件日志消费者","向Windows事件日志写入条目的WMI消费者类型",{"value":1457,"title":1458,"description":1459},"Other","其他类型","其他未分类的WMI消费者类型",{"fieldName":377,"label":1461,"type":11,"valid_type":20,"description":1462,"enumValues":1463},"公司","该字段记录软件供应商或服务提供商的法定注册公司全称。应采用标准的公司全名，避免使用简称或缩写。",[],{"fieldName":1465,"label":1466,"type":11,"valid_type":20,"description":1467,"enumValues":1468},"newFilename","新文件名","新文件名指经过重命名操作后的文件名称，包含完整的文件路径信息。该字段为字符串类型，应遵循操作系统文件路径的格式规范，通常包含目录路径和文件名，例如以正斜杠（/）开头的Unix/Linux风格路径或包含盘符和反斜杠（\\）的Windows风格路径。",[],{"fieldName":1470,"label":1471,"type":140,"valid_type":20,"description":1472,"enumValues":1473},"protectionLevel","等保等级","该字段表示根据关键信息基础设施保护分级制度确定的资产等级。",[1474,1477,1480,1483,1486,1489],{"value":1475,"title":1476,"description":1476},"0","非等保系统",{"value":1478,"title":1479,"description":1479},"1","第一级(自主保护级)",{"value":1481,"title":1482,"description":1482},"2","第二级(指导保护级)",{"value":1484,"title":1485,"description":1485},"3","第三级(监督保护级)",{"value":1487,"title":1488,"description":1488},"4","第四级(强制保护级)",{"value":1490,"title":1491,"description":1491},"5","第五级(专控保护级)",{"fieldName":1493,"label":1494,"type":11,"valid_type":20,"description":1495,"enumValues":1496},"errPath","错误日志路径","该字段表示应用程序错误日志文件的存储路径，用于记录错误日志的存储位置。路径格式应符合操作系统文件路径规范。",[],{"fieldName":1498,"label":1499,"type":11,"valid_type":20,"description":1500,"enumValues":1501},"webFramework","Web框架","该字段标识网站服务所使用的后端开发框架名称。格式为字符串，应使用框架的标准或通用名称，例如 Django, Flask, Spring Boot 等。",[],{"fieldName":1503,"label":1504,"type":11,"valid_type":20,"description":1505,"enumValues":1506},"appName","应用名称","该字段表示被访问或引用的应用名称，用于标识产生该日志的应用程序或服务。其值为字符串类型，通常为应用的自定义名称或标识符。",[],{"fieldName":1508,"label":1509,"type":11,"valid_type":20,"description":1510,"enumValues":1511},"certIssuer","证书颁发者","证书颁发者的名称，即颁发证书的机构或实体的标识。该字段为字符串类型，通常包含证书颁发机构的可辨识名称（DN）或其通用名称（CN）。取值应符合X.509证书规范中对颁发者名称的格式约定。",[],{"fieldName":1513,"label":1514,"type":7,"valid_type":6,"description":1515,"enumValues":1516},"length","长度","长度表示目标对象的大小限制，例如数据库列定义中指定的最大字符数或数值精度。",[],{"fieldName":1518,"label":1519,"type":11,"valid_type":20,"description":1520,"enumValues":1521},"dbType","数据库类型","数据库管理系统(DBMS)的类型标识，用于指明所使用的具体数据库产品。常见取值包括但不限于：MYSQL, ORACLE, SQLSERVER, POSTGRESQL, MARIADB, DB2, MONGODB, REDIS等。",[],{"fieldName":1523,"label":1204,"type":1524,"valid_type":28,"description":1525,"enumValues":1526},"attacker","array","攻击者是指在攻击活动中使用的所有唯一源IP地址集合，用于标识攻击来源。该字段为数组类型，每个元素必须符合IP地址格式要求，即有效的IPv4或IPv6地址。",[],{"fieldName":1528,"label":1529,"type":11,"valid_type":20,"description":1530,"enumValues":1531},"delegationList","委派列表","该字段表示允许用户或服务主体将其权限或委托授权给的对象列表。其值为一个字符串，内容需符合特定的服务主体名称（SPN）格式。格式通常为“服务类/主机名[:端口]”，其中服务类标识服务类型，主机名为完全限定域名（FQDN）或NetBIOS名称，端口为可选。",[],{"fieldName":1533,"label":1534,"type":11,"valid_type":20,"description":1535,"enumValues":1536},"message","描述","用于记录日志或告警的详细描述信息，以文本字符串形式存储。内容通常包含对安全事件、系统活动或异常情况的说明、上下文及关键参数。",[],{"fieldName":1538,"label":1539,"type":11,"valid_type":20,"description":1540,"enumValues":1541},"userName","用户名称","用户名称，指用户的真实姓名。",[],{"fieldName":1543,"label":1544,"type":11,"valid_type":20,"description":1545,"enumValues":1546},"env","环境变量","环境变量，指操作系统或容器中设置的环境变量，用于配置应用程序或系统的运行参数。格式为键值对，通常以字符串形式表示，多个键值对之间用逗号分隔，键和值之间用冒号分隔。",[],{"fieldName":1548,"label":1549,"type":11,"valid_type":20,"description":1550,"enumValues":1551},"assetGroup","归属资产组","该字段表示资产所属的组织组或部门名称。",[],{"fieldName":1553,"label":1554,"type":11,"valid_type":20,"description":1555,"enumValues":1556},"regValue","注册表值名称","该字段存储Windows注册表键值中存储的实际配置数据。其值为字符串类型，内容为注册表项的具体数值或配置信息。",[],{"fieldName":1558,"label":1559,"type":7,"valid_type":6,"description":1560,"enumValues":1561},"srcTransPort","转换后源端口","转换后源端口表示在网络地址转换（NAT）或端口地址转换（PAT）过程中，源端口号被修改后的值。该字段为整数类型，取值范围为0到65535，需符合TCP/UDP端口号规范。",[],{"fieldName":1563,"label":1564,"type":140,"valid_type":20,"description":1565,"enumValues":1566},"cloudInstanceType","云实例类型","云实例类型表示云计算实例的标准化规格分类，用于标识实例的计算、内存、存储等资源配置特性。该字段为枚举类型，其取值必须为预定义的可选值之一，例如：generalPurpose (通用型)、computeOptimized (计算优化型)、memoryOptimized (内存优化型)、storageOptimized (存储优化型) 或 gpuAccelerated (GPU加速型) 等。",[1567,1569,1573,1577,1581,1585,1589,1593,1597,1601,1605],{"value":310,"title":119,"description":1568},"其他类型的实例类型",{"value":1570,"title":1571,"description":1572},"fpgaAccelerated","FPGA加速型","配备FPGA，适用于可定制硬件加速工作负载",{"value":1574,"title":1575,"description":1576},"generalPurpose","通用型","平衡计算、内存和网络资源的通用实例类型",{"value":1578,"title":1579,"description":1580},"burstable","突发性能型","提供基准性能并可突发至更高性能的实例类型",{"value":1582,"title":1583,"description":1584},"micro","微型实例","低配置实例，适用于轻量级工作负载和测试环境",{"value":1586,"title":1587,"description":1588},"highPerformanceCompute","高性能计算型","专为高性能计算工作负载优化的实例类型",{"value":1590,"title":1591,"description":1592},"memoryOptimized","内存优化型","高内存容量，适用于内存密集型应用",{"value":1594,"title":1595,"description":1596},"storageOptimized","存储优化型","高存储性能和容量，适用于I/O密集型工作负载",{"value":1598,"title":1599,"description":1600},"computeOptimized","计算优化型","高性能处理器，适用于计算密集型工作负载",{"value":1602,"title":1603,"description":1604},"edgeOptimized","边缘优化型","专为边缘计算场景优化的实例类型",{"value":1606,"title":1607,"description":1608},"gpuAccelerated","GPU加速型","配备GPU，适用于图形处理、机器学习和高性能计算",{"fieldName":1610,"label":1611,"type":11,"valid_type":20,"description":1612,"enumValues":1613},"developer","开发者","该字段用于标识移动应用、软件产品或系统组件等的开发实体名称，通常指公司、组织或个人的正式名称。",[],{"fieldName":1615,"label":1616,"type":11,"valid_type":33,"description":1617,"enumValues":1618},"maintainEndTime","维保结束时间","资产维护保养的结束时间，采用标准的日期时间格式，格式要求为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":1620,"label":1621,"type":11,"valid_type":20,"description":1622,"enumValues":1623},"copyright","版权信息","该字段用于声明数字内容的版权归属信息，需使用字符串格式提供明确的版权所有者名称、机构或相关声明文本。",[],{"fieldName":1625,"label":1626,"type":11,"valid_type":20,"description":1627,"enumValues":1628},"bccUserName","密送人","该字段记录邮件密送接收方的邮箱地址集合，多个地址应以英文分号分隔。每个邮箱地址需符合标准的电子邮件地址格式，通常包含本地部分、@符号和域名部分。",[],{"fieldName":1630,"label":1631,"type":11,"valid_type":20,"description":1632,"enumValues":1633},"publicKey","公钥信息","公钥信息字段表示数字证书中包含的公钥技术参数，用于标识加密算法或密钥类型。",[],{"fieldName":1635,"label":1636,"type":11,"valid_type":6,"description":1637,"enumValues":1638},"maxPasswordAge","最大密码使用天数","最大密码使用天数，表示密码策略要求的密码最长有效天数，超过此天数后密码必须修改。该字段值为整数，单位为天。",[],{"fieldName":1640,"label":1641,"type":11,"valid_type":10,"description":1642,"enumValues":1643},"srcTransMacAddress","转换后的源MAC地址","转换后的源MAC地址，指在二层网络传输过程中，经过MAC地址转换（如代理、隧道封装）或受网络攻击（如ARP欺骗）影响后，数据包中呈现的源MAC地址。该字段必须符合标准的MAC地址格式，即六个两位十六进制数，以冒号分隔，格式为：xx:xx:xx:xx:xx:xx，其中x为0-9或a-f。",[],{"fieldName":1645,"label":1646,"type":11,"valid_type":20,"description":1647,"enumValues":1648},"destProcessId","目标进程ID","目标进程ID，指跨进程操作或注入操作中目标进程的PID。其值为进程标识符，通常为非负整数形式的字符串。",[],{"fieldName":1650,"label":1651,"type":11,"valid_type":20,"description":1652,"enumValues":1653},"pluginPath","插件路径","插件路径字段表示应用程序插件模块的安装路径，其值为一个字符串，通常是一个操作系统文件系统的绝对路径。格式上，它应符合操作系统文件路径的规范，例如在Unix/Linux系统中以正斜杠（/）开头，在Windows系统中可能包含盘符和反斜杠（\\）。",[],{"fieldName":1655,"label":1656,"type":11,"valid_type":20,"description":1657,"enumValues":1658},"sm3","文件SM3哈希值","文件SM3哈希值，使用SM3算法计算的文件内容密码学哈希值。该值为固定长度的十六进制字符串，长度为64个字符，由数字0-9和小写字母a-f组成。",[],{"fieldName":1660,"label":1661,"type":140,"valid_type":20,"description":1662,"enumValues":1663},"phishingType","钓鱼类型","该字段表示网络钓鱼攻击的具体传播渠道分类，必须从预定义的枚举值中选择。可选值包括：emailPhishing (邮件钓鱼)、smsPhishing (短信钓鱼)、instantMessagingPhishing (即时通讯钓鱼)、socialMediaPhishing (社交媒体钓鱼)、qrCodePhishing (二维码钓鱼)等选项。",[1664,1668,1672,1676,1680,1684,1688,1692,1696,1700,1704],{"value":1665,"title":1666,"description":1667},"smsPhishing","短信钓鱼","通过手机短信发送虚假中奖、退税等信息，诱骗用户点击恶意链接",{"value":1669,"title":1670,"description":1671},"maliciousAdPhishing","恶意广告钓鱼","在搜索引擎、中小网站或网页中投放恶意广告，用户点击后触发恶意代码或跳转至钓鱼网站",{"value":1673,"title":1674,"description":1675},"multiChannelPhishing","多渠道钓鱼","攻击始于电子邮件等渠道，随后扩展到短信、即时通讯、社交媒体等多种渠道协同进行的钓鱼攻击",{"value":1677,"title":1678,"description":1679},"forumBlogPhishing","论坛博客钓鱼","通过在论坛、博客、SNS网站中批量发布钓鱼网站链接进行传播",{"value":1681,"title":1682,"description":1683},"instantMessagingPhishing","即时通讯钓鱼","通过QQ、MSN、阿里旺旺等客户端聊天工具或Slack等云协作工具发送钓鱼链接",{"value":1685,"title":1686,"description":1687},"qrCodePhishing","二维码钓鱼","通过伪装成优惠、返利等内容的二维码，诱骗用户扫描后访问钓鱼网站",{"value":1689,"title":1690,"description":1691},"voicePhishing","语音钓鱼","通过语音电话进行网络钓鱼攻击",{"value":1693,"title":1694,"description":1695},"emailPhishing","邮件钓鱼","通过垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件传播恶意链接或附件",{"value":1697,"title":1698,"description":1699},"socialMediaPhishing","社交媒体钓鱼","通过微博、Twitter、Facebook、Instagram等社交平台及广告功能散布钓鱼链接",{"value":1701,"title":1702,"description":1703},"websiteSpoofing","网站仿冒","通过误植域名（Typosquatting）或完全仿冒知名网站，诱使用户在虚假网站上输入敏感信息",{"value":1705,"title":1706,"description":1707},"wifiPhishing","WiFi钓鱼","架设与公共WiFi热点同名的虚假网络，窃取接入用户的个人资料",{"fieldName":1709,"label":1710,"type":11,"valid_type":20,"description":1711,"enumValues":1712},"algorithm","加密算法","该字段表示用于数据加密的安全算法类型，通常采用标准算法名称标识，如AES-256等。",[],{"fieldName":1714,"label":1715,"type":11,"valid_type":20,"description":1716,"enumValues":1717},"departmentHeadName","部门负责人名称","该字段表示部门负责人的姓名。",[],{"fieldName":1719,"label":1720,"type":11,"valid_type":20,"description":1721,"enumValues":1722},"imageName","镜像名称","镜像名称，指容器运行时使用的完整镜像标识，需包含仓库地址、镜像名称及标签三部分。格式要求为字符串，通常遵循`[仓库地址/]镜像名:标签`的规范。",[],{"fieldName":1724,"label":1725,"type":11,"valid_type":20,"description":1726,"enumValues":1727},"assetGeoProvince","资产所处省份","资产当前所在的省份名称，应遵循国家行政区划标准命名。",[],{"fieldName":1729,"label":1730,"type":25,"valid_type":24,"description":1731,"enumValues":1732},"signed","是否签名","标识目标对象是否包含有效的数字签名证书。该字段为布尔类型，取值为 true 或 false，表示“是”或“否”。",[],{"fieldName":1734,"label":1735,"type":11,"valid_type":20,"description":1736,"enumValues":1737},"systemIncludeDevList","设备清单","设备资产清单，包含设备类型、型号、序列号等唯一标识信息，用于资产跟踪、库存管理和安全审计。应包含设备品牌、型号、序列号等关键信息，多个设备信息可使用逗号或分号分隔。",[],{"fieldName":1739,"label":1740,"type":11,"valid_type":20,"description":1741,"enumValues":1742},"parentCommandLine","父进程命令行","父进程启动时传入的完整命令行字符串。",[],{"fieldName":1744,"label":1745,"type":11,"valid_type":20,"description":1746,"enumValues":1747},"columnType","列类型","列类型表示数据库列的数据类型分类，例如数值型、字符型、日期型等。",[],{"fieldName":1749,"label":1750,"type":11,"valid_type":20,"description":1751,"enumValues":1752},"lockoutThreshold","锁定阈值","锁定阈值表示账号被锁定前允许的无效登录尝试次数。格式为字符串类型，应使用整数表示。取值应为大于或等于0的整数，其中0通常表示不启用锁定功能。",[],{"fieldName":1754,"label":1755,"type":7,"valid_type":6,"description":1756,"enumValues":1757},"minPasswordLength","最小密码长度","最小密码长度，表示密码策略要求的最小密码字符数，非负整数。",[],{"fieldName":1759,"label":1760,"type":11,"valid_type":20,"description":1761,"enumValues":1762},"validTime","有效时间","有效时间表示证书的有效期时间范围，格式为yyyy-mm-dd至yyyy-mm-dd，其中起始日期和结束日期均需符合标准日期格式，且结束日期必须晚于起始日期。",[],{"fieldName":1764,"label":1765,"type":140,"valid_type":20,"description":1766,"enumValues":1767},"assetIntegrity","完整性","完整性等级，表示资产未经授权篡改的潜在影响程度。",[1768,1769,1770,1771,1772],{"value":202,"title":203,"description":203},{"value":205,"title":206,"description":206},{"value":208,"title":209,"description":209},{"value":211,"title":212,"description":212},{"value":214,"title":215,"description":215},{"fieldName":1774,"label":1775,"type":11,"valid_type":20,"description":1776,"enumValues":1777},"commandLine","进程命令行","进程命令行是启动进程时传入的完整命令行字符串，用于记录执行进程的具体命令和参数。",[],{"fieldName":1332,"label":1779,"type":11,"valid_type":20,"description":1780,"enumValues":1781},"状态","标识操作、请求或系统组件的当前执行状态。该字段为字符串类型，通常用于表示事务或流程的结果。",[],{"fieldName":1783,"label":1784,"type":17,"valid_type":16,"description":1785,"enumValues":1786},"pktsIn","流进数据包数","该字段统计网络接口或会话在入方向接收到的数据包总数。其值为非负长整型数字，表示数据包的绝对数量。",[],{"fieldName":1788,"label":1789,"type":11,"valid_type":20,"description":1790,"enumValues":1791},"supervisoryUnitName","所属监管单位","该字段表示对资产具有监管权限的单位名称。",[],{"fieldName":1793,"label":1794,"type":11,"valid_type":20,"description":1795,"enumValues":1796},"assetGeoProvinceCode","资产所处省代码","资产所在省份的行政区划代码，采用国家标准的行政区划代码格式。",[],{"fieldName":1798,"label":1799,"type":11,"valid_type":20,"description":1800,"enumValues":1801},"orgId","组织架构","该字段表示资产所属的组织架构标识，格式为字符串类型，通常由系统自动生成或分配，用于唯一标识组织架构。",[],{"fieldName":1803,"label":1804,"type":11,"valid_type":20,"description":1805,"enumValues":1806},"processId","进程ID","进程ID是操作系统分配给进程的唯一数字标识符，用于在操作系统中唯一标识一个正在运行的进程。该字段为字符串类型，通常由数字组成，长度和具体值取决于操作系统和进程状态。",[],{"fieldName":1808,"label":1809,"type":11,"valid_type":20,"description":1810,"enumValues":1811},"vpcId","虚拟私有云ID","虚拟私有云(VPC)的唯一标识符，由云服务商分配。",[],{"fieldName":1813,"label":1814,"type":11,"valid_type":20,"description":1815,"enumValues":1816},"appletId","小程序ID","小程序ID是用于唯一标识一个小程序的字符串标识符。",[],{"fieldName":1818,"label":1819,"type":11,"valid_type":20,"description":1820,"enumValues":1821},"smbClientVersion","SMB客户端版本","该字段表示客户端使用的SMB协议版本标识。其值为字符串类型，通常由客户端在建立SMB会话时协商或声明，用于标识其支持的SMB协议版本。",[],{"fieldName":1823,"label":1824,"type":11,"valid_type":20,"description":1825,"enumValues":1826},"affectAssetIp","受影响资产IP","受影响资产IP地址，指在安全事件中遭受攻击或面临风险的资产所对应的IP地址。该字段为字符串类型，必须符合标准的IPv4或IPv6地址格式。",[],{"fieldName":1828,"label":1829,"type":11,"valid_type":20,"description":1830,"enumValues":1831},"product","产品名称","该字段表示与进程或文件相关联的软件或应用程序的产品名称。格式为字符串，通常包含软件供应商和产品名称，支持包含注册商标符号（如®）等特殊字符。",[],{"fieldName":1833,"label":1834,"type":140,"valid_type":20,"description":1835,"enumValues":1836},"assetConfidentiality","机密性","该字段表示资产的机密性等级，用于评估未经授权披露信息可能造成的潜在影响程度。",[1837,1838,1839,1840,1841],{"value":202,"title":203,"description":203},{"value":205,"title":206,"description":206},{"value":208,"title":209,"description":209},{"value":211,"title":212,"description":212},{"value":214,"title":215,"description":215},{"fieldName":1843,"label":1844,"type":11,"valid_type":28,"description":1845,"enumValues":1846},"srcTransAddress","转换后源IP地址","转换后源IP地址是指经过网络地址转换（NAT）、代理服务器或VPN隧道封装处理后，数据包在网络层呈现的源IP地址。该字段必须符合IP地址格式规范，即点分十进制表示的IPv4地址（例如：192.168.1.1）或符合RFC标准的IPv6地址。",[],{"fieldName":1848,"label":1849,"type":11,"valid_type":20,"description":1850,"enumValues":1851},"dbVersion","数据库版本","数据库管理系统(DBMS)的版本号，通常由主版本号、次版本号等数字和点号组成，格式因具体数据库产品而异，如“15.1”、“5.7.38”。",[],{"fieldName":1853,"label":1854,"type":11,"valid_type":20,"description":1855,"enumValues":1856},"suggestion","处置建议","该字段用于提供针对威胁攻击的标准化响应和修复建议指导，其内容为字符串文本。建议内容应清晰、专业、具有可操作性，用于指导安全人员或系统进行后续处置。",[],{"fieldName":1858,"label":1859,"type":11,"valid_type":20,"description":1860,"enumValues":1861},"regNewName","注册表新键名","注册表操作事件中修改后的注册表键名，为字符串类型。该字段应遵循操作系统的注册表键名命名规范，通常可包含字母、数字、下划线、连字符、点以及反斜杠路径分隔符。",[],{"fieldName":1863,"label":1864,"type":11,"valid_type":33,"description":1865,"enumValues":1866},"updateTime","更新时间","数据信息最后更新的时间戳，采用标准时间格式，格式要求为：yyyy-mm-dd HH:mm:ss。",[],{"fieldName":1868,"label":1869,"type":11,"valid_type":20,"description":1870,"enumValues":1871},"osName","操作系统","该字段表示目标设备或系统所使用的操作系统具体发行版名称和版本标识信息。格式为字符串，通常包含操作系统名称和版本号。",[],{"fieldName":1873,"label":1874,"type":11,"valid_type":20,"description":1875,"enumValues":1876},"storageInfo","存储信息","存储设备配置、容量和状态信息的文本描述。内容应包含设备类型、总容量、已用容量、剩余容量及文件系统等关键信息。",[],{"fieldName":1878,"label":1879,"type":11,"valid_type":20,"description":1880,"enumValues":1881},"url","URL地址","URL地址用于记录统一资源定位符(URL)的完整地址信息。该字段为字符串类型，需符合标准的URL格式规范，通常包含协议（如http、https）、主机名、路径及可选的查询参数和片段标识符等组成部分。",[],{"fieldName":1883,"label":1884,"type":11,"valid_type":20,"description":1885,"enumValues":1886},"passwordHistoryLength","密码历史记录大小","该字段指定密码策略中保存的历史密码数量，用于防止用户重复使用旧密码。取值应为非负整数，表示系统保留的最近密码记录条数。",[],{"fieldName":1888,"label":1889,"type":11,"valid_type":20,"description":1890,"enumValues":1891},"destGeoLatitude","目的纬度","目的纬度表示网络连接接收方IP地址所对应的地理纬度坐标。该值为字符串类型，通常以十进制小数形式表示，取值范围为-90.000000到90.000000。",[],{"fieldName":1893,"label":1894,"type":11,"valid_type":33,"description":1895,"enumValues":1896},"maintainStartTime","维保开始时间","维保开始时间是指资产维护保养的开始时间，采用标准的日期时间格式，格式要求为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":1898,"label":1899,"type":11,"valid_type":20,"description":1900,"enumValues":1901},"responseContentType","响应内容类型","响应内容类型标识网络请求响应头中的内容类型，用于描述返回数据的媒体类型格式和字符编码。格式应符合HTTP标准的内容类型规范，通常由主类型和子类型组成，可选参数包括字符编码等，例如\"application/json; charset=utf-8\"。取值应为有效的MIME类型字符串。",[],{"fieldName":1903,"label":1904,"type":11,"valid_type":20,"description":1905,"enumValues":1906},"deviceModel","设备型号","设备型号用于标识设备制造商定义的产品型号代码，精确区分不同硬件规格、功能和配置。其值为字符串，通常由字母、数字及特定符号（如连字符、下划线）组成。",[],{"fieldName":1908,"label":1909,"type":11,"valid_type":28,"description":1910,"enumValues":1911},"hostAddress","主机IP","主机IP地址，用于标识主机在网络中的位置。必须符合IPv4或IPv6地址格式规范。IPv4地址为点分十进制格式，由四个0-255的十进制数组成，以点分隔。IPv6地址为冒号分隔的十六进制数格式。",[],{"fieldName":1913,"label":1914,"type":11,"valid_type":20,"description":1915,"enumValues":1916},"md5","文件MD5","文件MD5值，表示使用MD5算法计算的文件内容哈希值。该值必须为32位十六进制字符串，不区分大小写，用于唯一标识文件内容。",[],{"fieldName":1918,"label":1919,"type":11,"valid_type":20,"description":1920,"enumValues":1921},"columnName","列名","列名是数据库表中数据列的逻辑名称，用于标识具体的数据字段。",[],{"fieldName":1923,"label":1924,"type":11,"valid_type":20,"description":1925,"enumValues":1926},"parentProcessName","父进程名称","该字段表示创建当前进程的父进程的可执行文件名称。此字段但应避免包含路径信息，仅保留纯名称。",[],{"fieldName":1928,"label":1929,"type":11,"valid_type":20,"description":1930,"enumValues":1931},"subnetId","子网ID","子网ID是云服务商分配的子网唯一标识符，用于标识特定的子网资源。",[],{"fieldName":1933,"label":1934,"type":11,"valid_type":20,"description":1935,"enumValues":1936},"commonName","通用名称","该字段表示证书主题中的通用名称(CN)，通常为证书绑定的完全限定域名，其值应为符合DNS命名规范的字符串。",[],{"fieldName":1938,"label":1939,"type":11,"valid_type":20,"description":1940,"enumValues":1941},"vulDescription","漏洞描述","漏洞的技术特性和潜在风险描述。该字段内容为文本字符串，应清晰、准确地阐述漏洞的成因、技术细节、可能被利用的方式以及可能造成的安全影响。",[],{"fieldName":1943,"label":1944,"type":11,"valid_type":20,"description":1945,"enumValues":1946},"parentProcessGuid","父进程GUID","父进程实例的全局唯一标识符，用于唯一标识操作系统中的父进程实例。该字段为字符串类型，通常采用标准的GUID格式，由32位十六进制数字组成，并以连字符分隔为5组。",[],{"fieldName":1948,"label":1949,"type":11,"valid_type":20,"description":1950,"enumValues":1951},"srcHostName","来源主机名","该字段表示网络连接或威胁攻击中发起方的主机名。主机名可以是NetBIOS名称、DNS主机名或本地配置的机器名。格式为字符串，通常遵循主机名的通用命名规范。",[],{"fieldName":1953,"label":1954,"type":11,"valid_type":20,"description":1955,"enumValues":1956},"dvcAction","设备处置动作","设备处置动作字段记录安全设备对检测到的威胁或异常行为采取的自动处置动作，例如阻断、放行、隔离或告警，取值应为描述处置动作的字符串。",[],{"fieldName":1958,"label":1959,"type":140,"valid_type":20,"description":1960,"enumValues":1961},"exfiltrationChannel","泄露渠道","该字段标识数据泄露事件中数据被传输到外部的具体渠道。其值必须为预定义的枚举字符串，可选值包括但不限于：removableMedia（可移动介质）、networkProtocols（网络协议传输）、emailSystems（邮件系统）、messagingApps（即时通讯应用）、cloudServices（云服务）等。",[1962,1966,1970,1974,1978,1980,1984,1988,1992,1996,2000],{"value":1963,"title":1964,"description":1965},"cloudServices","云服务","通过网盘、云存储等云服务上传和分享数据",{"value":1967,"title":1968,"description":1969},"databaseTools","数据库工具","通过数据库管理工具导出大量结构化数据",{"value":1971,"title":1972,"description":1973},"networkProtocols","网络协议传输","通过网络共享、FTP、SMB等协议传输数据",{"value":1975,"title":1976,"description":1977},"physicalCapture","物理捕获","通过打印、截图、剪切板、拍照等物理方式捕获数据",{"value":310,"title":119,"description":1979},"其他类型的泄露方式",{"value":1981,"title":1982,"description":1983},"messagingApps","即时通讯应用","通过微信、QQ、Telegram等即时通讯应用发送数据",{"value":1985,"title":1986,"description":1987},"applicationApis","应用API","通过应用程序API接口批量获取和传输数据",{"value":1989,"title":1990,"description":1991},"webInterfaces","Web界面","通过HTTPS网页表单、在线服务等Web界面传输数据",{"value":1993,"title":1994,"description":1995},"removableMedia","可移动介质","通过USB设备、移动硬盘、光盘等可移动介质拷贝数据",{"value":1997,"title":1998,"description":1999},"emailSystems","邮件系统","通过网页邮箱、邮件客户端等电子邮件系统发送数据",{"value":2001,"title":2002,"description":2003},"remoteConnections","远程连接","通过远程控制软件、VPN、蓝牙等远程连接传输数据",{"fieldName":2005,"label":2006,"type":11,"valid_type":20,"description":2007,"enumValues":2008},"ntlmsspDomain","NTLMSSP域名","该字段表示NTLM安全支持程序（NTLMSSP）协议中用于身份验证的域名。值为字符串类型，通常为NetBIOS名称或DNS域名，需符合操作系统及域环境的命名规范。",[],{"fieldName":2010,"label":2011,"type":11,"valid_type":33,"description":2012,"enumValues":2013},"parentProcessStartTime","父进程启动时间","父进程实例的创建时刻的精确时间，格式为 yyyy-mm-dd HH:mm:ss。",[],{"fieldName":2015,"label":2016,"type":11,"valid_type":20,"description":2017,"enumValues":2018},"requestOs","请求操作系统","标识网络请求中客户端使用的操作系统类型和版本信息。字段值为字符串类型，应包含操作系统名称及版本号，如“Windows 10”、“Mac OS X 10.13”、“Android 12”等。",[],{"fieldName":2020,"label":2021,"type":11,"valid_type":20,"description":2022,"enumValues":2023},"processGuid","进程GUID","进程实例的全局唯一标识符，通常采用UUID格式，符合标准的UUID v4格式规范，即32位十六进制数字，以连字符分隔为5组。",[],{"fieldName":2025,"label":2026,"type":11,"valid_type":20,"description":2027,"enumValues":2028},"processName","进程名称","进程可执行文件的基本名称，不包含路径信息。",[],{"fieldName":2030,"label":2031,"type":11,"valid_type":20,"description":2032,"enumValues":2033},"parentImage","父进程路径","该字段表示父进程可执行文件在文件系统中的完整路径。其值应为符合操作系统规范的字符串格式，通常为绝对路径，例如以斜杠（/）开头的Unix/Linux路径或以盘符（如C:\\）开头的Windows路径。路径中不应包含非法字符，且长度应在系统允许的范围内。示例：/usr/bin/bash 或 C:\\Windows\\System32\\cmd.exe。",[],{"fieldName":2035,"label":2036,"type":11,"valid_type":20,"description":2037,"enumValues":2038},"closeReason","关闭原因","该字段用于记录安全事件关闭的具体原因和解决状态。值为字符串类型，应简洁明了地描述关闭事件的原因。",[],{"fieldName":2040,"label":2041,"type":11,"valid_type":20,"description":2042,"enumValues":2043},"fileVersion","文件版本","文件版本号，通常用于标识软件的更新或补丁版本。格式通常为由点分隔的数字序列，例如“主版本号.次版本号.修订号.构建号”。",[],{"fieldName":2045,"label":263,"type":11,"valid_type":20,"description":2046,"enumValues":2047},"responseMsg","响应体记录网络请求、系统处理请求、回复请求或发起操作行为后返回的消息内容。",[],{"fieldName":2049,"label":2050,"type":140,"valid_type":20,"description":2051,"enumValues":2052},"incidentLevel","事件级别","安全事件的严重程度等级，用于评估事件的影响范围和紧急程度。取值范围为枚举类型，可选值包括：Critical（严重）、High（高）、Medium（中）、Low（低），需严格使用给定的枚举值。",[2053,2055,2057,2059],{"value":616,"title":203,"description":2054},"对业务运营有显著影响的安全事件，需要优先处理",{"value":619,"title":206,"description":2056},"影响较小的安全事件，可按照常规流程处理",{"value":622,"title":212,"description":2058},"对业务有一定影响的安全事件，需要按计划处理",{"value":625,"title":626,"description":2060},"造成重大业务影响的安全事件，需要立即响应",{"fieldName":2062,"label":2063,"type":140,"valid_type":20,"description":2064,"enumValues":2065},"icmpType","ICMP类型","该字段表示ICMP协议报文类型代码，用于标识ICMP消息的具体类型。其值必须为预定义的枚举字符串，常见的可选值包括：EchoReply (回显应答)、DestinationUnreachable (目的不可达)、SourceQuench (源站抑制)、Redirect (重定向)、EchoRequest (回显请求)等。",[2066,2069,2073,2076,2079,2083,2086,2089,2092,2096,2099,2103,2106,2109,2112,2115],{"value":2067,"title":2068,"description":2068},"AddressMaskReply","地址掩码应答",{"value":2070,"title":2071,"description":2072},"SourceQuench","源站抑制","源站抑制（拥塞控制）",{"value":2074,"title":2075,"description":2075},"ParameterProblem","参数问题",{"value":2077,"title":2078,"description":2078},"TimeExceeded","超时",{"value":2080,"title":2081,"description":2082},"EchoRequest","回显请求","回显请求（Ping请求）",{"value":2084,"title":2085,"description":2085},"InformationRequest","信息请求",{"value":2087,"title":2088,"description":2088},"InformationReply","信息应答",{"value":2090,"title":2091,"description":2091},"RouterSolicitation","路由器请求",{"value":2093,"title":2094,"description":2095},"Redirect","重定向","路由重定向",{"value":2097,"title":2098,"description":2098},"Timestamp","时间戳",{"value":2100,"title":2101,"description":2102},"EchoReply","回显应答","回显应答（Ping应答）",{"value":2104,"title":2105,"description":2105},"DestinationUnreachable","目的不可达",{"value":2107,"title":2108,"description":2108},"AddressMaskRequest","地址掩码请求",{"value":2110,"title":2111,"description":2111},"TimestampReply","时间戳应答",{"value":2113,"title":2114,"description":2114},"RouterAdvertisement","路由器通告",{"value":1457,"title":119,"description":2116},"其他未知的ICMP类型",{"fieldName":2118,"label":2119,"type":11,"valid_type":20,"description":2120,"enumValues":2121},"netId","安全域","资产所属安全域的唯一标识，主要用于解决安全域冲突。",[],{"fieldName":2123,"label":2124,"type":11,"valid_type":20,"description":2125,"enumValues":2126},"processMd5","进程MD5","进程可执行文件的MD5哈希值，用于唯一标识和校验文件。该值为32个字符的十六进制字符串，由数字0-9和小写字母a-f组成，格式必须符合标准的MD5摘要算法输出格式。",[],{"fieldName":2128,"label":2129,"type":1524,"valid_type":20,"description":2130,"enumValues":2131},"alertTypes","告警类型列表","记录安全事件关联的所有告警分类类型集合。字段值为字符串数组，每个数组元素为一个告警分类类型字符串。",[],{"fieldName":2133,"label":2134,"type":11,"valid_type":20,"description":2135,"enumValues":2136},"assetSource","资产来源","资产来源，表示资产的获取途径，例如发现资产的设备IP地址或手工录入的操作人员名称。",[],{"fieldName":2138,"label":2139,"type":11,"valid_type":20,"description":2140,"enumValues":2141},"assetDescription","资产描述","资产描述是对资产的详细说明，包括但不限于资产类型、主要用途、所属部门、使用人及其他相关信息。此字段为字符串类型，内容应简明扼要，准确反映资产特征和状态。",[],{"fieldName":2143,"label":2144,"type":11,"valid_type":20,"description":2145,"enumValues":2146},"subnetMask","子网掩码","子网掩码用于在IP地址中划分网络部分和主机部分。该字段为字符串类型，其值必须是有效的点分十进制格式的IPv4子网掩码，由四段0-255之间的十进制数组成，中间用点号分隔。",[],{"fieldName":2148,"label":2149,"type":140,"valid_type":20,"description":2150,"enumValues":2151},"tiSubcategory","威胁情报子分类","该字段表示威胁情报IOC的情报子分类，用于标识具体的威胁类型或归属类别。格式为字符串枚举类型，必须从预定义的可选值中选择，例如：/WhiteList/Others 表示白名单，/C2/Sinkhole 表示安全机构接管的C2服务器，/C2/Trojan 表示木马类恶意文件回连，/C2/Virus 表示病毒类恶意文件回连，/C2/Worm 表示蠕虫类恶意文件回连。所有可选值均采用分层路径格式进行组织。",[2152,2156,2160,2164,2168,2172,2176,2180,2184,2187,2191,2195,2198,2202,2206,2210,2214,2218,2221,2225,2229,2233,2237,2241,2245,2249,2253,2257,2261,2265,2269,2273,2277,2281,2285,2289,2293,2297,2301,2305,2309,2313,2317,2321,2325,2329,2333,2337,2341,2345,2349],{"value":2153,"title":2154,"description":2155},"/Spam/Others","其他垃圾信息","其他类型的垃圾信息和骚扰内容源",{"value":2157,"title":2158,"description":2159},"/Info/IDC","IDC服务器","互联网数据中心服务器和托管服务",{"value":2161,"title":2162,"description":2163},"/Info/DNS","DNS服务器","域名系统服务器和解析服务",{"value":2165,"title":2166,"description":2167},"/PUA/ADHost","广告软件地址","广告软件和相关跟踪服务的网络地址",{"value":2169,"title":2170,"description":2171},"/Phishing/Others","钓鱼地址","网络钓鱼攻击和欺诈网站地址",{"value":2173,"title":2174,"description":2175},"/Info/DDNS","动态域名","动态域名解析服务地址",{"value":2177,"title":2178,"description":2179},"/Spam/Email","垃圾邮件","垃圾邮件发送源和相关基础设施",{"value":2181,"title":2182,"description":2183},"/Info/Bogon","保留地址","未分配和保留的IP地址空间",{"value":705,"title":2185,"description":2186},"矿池回连","加密货币挖矿恶意软件的矿池连接通信",{"value":2188,"title":2189,"description":2190},"/Info/Proxy","代理地址","代理服务器和匿名访问服务",{"value":2192,"title":2193,"description":2194},"/Info/CDN","CDN服务器","内容分发网络服务器和边缘节点",{"value":717,"title":2196,"description":2197},"其他类未知情报","未分类和其他类型的威胁情报",{"value":2199,"title":2200,"description":2201},"/Exploit/WebExploit","Web漏洞利用","针对Web应用程序漏洞的攻击利用活动",{"value":2203,"title":2204,"description":2205},"/C2/PasswordSteal","密码窃取类恶意文件回连","密码窃取恶意软件的命令与控制通信，用于凭证收集",{"value":2207,"title":2208,"description":2209},"/Info/BTTracker","BT服务器","BitTorrent跟踪器和P2P文件共享服务",{"value":2211,"title":2212,"description":2213},"/PUA/Porn","色情网站","成人内容和可能包含恶意软件的网络地址",{"value":2215,"title":2216,"description":2217},"/C2/Trojan","木马类恶意文件回连","木马类恶意软件的命令与控制通信，用于远程控制受感染系统",{"value":789,"title":2219,"description":2220},"其他恶意域名回连","其他类型的恶意软件域名连接活动",{"value":2222,"title":2223,"description":2224},"/Info/Others","其他类信息情报","其他信息类威胁情报标识",{"value":2226,"title":2227,"description":2228},"/C2/Rootkit","Rootkit类恶意文件回连","Rootkit的命令与控制通信，用于隐藏恶意活动",{"value":2230,"title":2231,"description":2232},"/BruteForce/HTTP","HTTP暴力破解","针对Web应用的HTTP协议暴力破解攻击",{"value":2234,"title":2235,"description":2236},"/Spider/Others","爬虫地址","网络爬虫和自动化内容采集活动",{"value":2238,"title":2239,"description":2240},"/Scanner/Others","扫描地址","网络扫描和侦察活动源地址",{"value":2242,"title":2243,"description":2244},"/Info/VPN","VPN地址","虚拟专用网络服务和出口节点",{"value":2246,"title":2247,"description":2248},"/PUA/HackTool","黑客攻击回连","黑客工具和攻击框架相关的网络连接",{"value":2250,"title":2251,"description":2252},"/WhiteList/Others","白名单","可信实体和资源的白名单标识，用于减少误报",{"value":2254,"title":2255,"description":2256},"/C2/Sinkhole","安全机构接管C2","被安全机构接管的命令与控制服务器，用于威胁研究和监测",{"value":2258,"title":2259,"description":2260},"/Suspicious/DGA","DGA地址","域名生成算法（DGA）生成的恶意域名",{"value":2262,"title":2263,"description":2264},"/Compromised/Others","傀儡机","被入侵并控制的傀儡主机和僵尸节点",{"value":2266,"title":2267,"description":2268},"/BruteForce/Credenti","撞库攻击","使用泄露凭证进行撞库攻击的源地址",{"value":2270,"title":2271,"description":2272},"/C2/Spyware","间谍软件类恶意文件回连","间谍软件的命令与控制通信，用于情报收集和监视",{"value":2274,"title":2275,"description":2276},"/BruteForce/Others","其他暴力破解","其他类型的暴力破解和凭证填充攻击",{"value":2278,"title":2279,"description":2280},"/C2/Backdoor","后门类恶意文件回连","后门程序的命令与控制通信，提供未授权系统访问",{"value":2282,"title":2283,"description":2284},"/PUA/MonitoringTool","监控工具回连","监控和监视软件的网络通信活动",{"value":2286,"title":2287,"description":2288},"/C2/Worm","蠕虫类恶意文件回连","网络蠕虫的命令与控制通信，通过网络传播感染",{"value":2290,"title":2291,"description":2292},"/Suspicious/Others","其他可疑地址","其他可疑和潜在恶意的网络地址",{"value":2294,"title":2295,"description":2296},"/Exploit/Others","其他类漏洞利用","其他类型的漏洞利用和攻击活动",{"value":2298,"title":2299,"description":2300},"/Info/Tor","Tor网络地址","Tor匿名网络节点和出口中继",{"value":2302,"title":2303,"description":2304},"/C2/DDoS","DDoS类恶意文件回连","DDoS僵尸网络的命令与控制通信，用于分布式拒绝服务攻击",{"value":2306,"title":2307,"description":2308},"/C2/Ransomware","勒索软件类恶意文件回连","勒索软件的命令与控制通信，用于数据加密和勒索支付",{"value":2310,"title":2311,"description":2312},"/Spam/Message","垃圾信息","即时消息和社交媒体垃圾信息源",{"value":2314,"title":2315,"description":2316},"/C2/Virus","病毒类恶意文件回连","计算机病毒的命令与控制通信，具有自我复制能力",{"value":2318,"title":2319,"description":2320},"/Exploit/HostExploit","主机漏洞利用","针对操作系统和主机软件漏洞的攻击利用",{"value":2322,"title":2323,"description":2324},"/BruteForce/Services","服务暴力破解","针对网络服务的暴力破解攻击源",{"value":2326,"title":2327,"description":2328},"/Info/SEC","搜索引擎爬虫地址","搜索引擎爬虫和索引服务地址",{"value":2330,"title":2331,"description":2332},"/Info/EDU","教育网","教育机构和学术网络地址",{"value":2334,"title":2335,"description":2336},"/C2/Others","其他C2回连","其他类型的命令与控制服务器通信",{"value":2338,"title":2339,"description":2340},"/Info/DynamicIP","动态IP","动态分配的IP地址范围",{"value":2342,"title":2343,"description":2344},"/PUA/Gambling","博彩网站","在线赌博和相关欺诈活动的网络地址",{"value":2346,"title":2347,"description":2348},"/PUA/Others","其他类不受欢迎地址回连","其他可能不需要的应用程序网络连接",{"value":2350,"title":2351,"description":2352},"/C2/KeyLogger","键盘记录类恶意文件回连","键盘记录器的命令与控制通信，用于捕获用户输入",{"fieldName":2354,"label":2355,"type":11,"valid_type":20,"description":2356,"enumValues":2357},"softwareName","软件名称","该字段用于标识在系统或设备上安装的软件产品的官方名称。",[],{"fieldName":2359,"label":2360,"type":7,"valid_type":6,"description":2361,"enumValues":2362},"synCount","SYN包数量","该字段统计TCP三次握手过程中发送的同步(SYN)数据包数量。其值为非负整数，表示特定时间窗口或连接中观察到的SYN包总数。",[],{"fieldName":2364,"label":2365,"type":1524,"valid_type":20,"description":2366,"enumValues":2367},"installedComponents","已安装组件","已安装组件清单，描述软件产品中已安装的功能组件、插件和依赖模块的完整信息。每个数组元素应为字符串类型，建议包含组件名称和版本号等关键标识信息。",[],{"fieldName":2369,"label":2370,"type":11,"valid_type":20,"description":2371,"enumValues":2372},"gpuModel","GPU型号","图形处理器型号标识，包含厂商、架构和计算能力规格信息。该字段为字符串类型，通常为制造商定义的特定型号名称。",[],{"fieldName":2374,"label":2375,"type":11,"valid_type":20,"description":2376,"enumValues":2377},"threatActorOrg","威胁组织名称","该字段用于记录已知恶意组织或威胁行为者团体的名称。",[],{"fieldName":2379,"label":2380,"type":11,"valid_type":20,"description":2381,"enumValues":2382},"destGeoRegion","目的地区","该字段表示网络连接接收方IP地址所对应的中国省级行政区域名称，用于标识网络流量的地理目的地。其值应为中国省级行政区划的规范名称，例如“浙江省”、“北京市”或“新疆维吾尔自治区”等，不包含“省”、“市”、“自治区”等后缀的简称（如“浙江”、“北京”、“新疆”）也可接受。该字段为字符串类型，无特定字符集或长度限制，但应确保名称的准确性和一致性。",[],{"fieldName":2384,"label":2385,"type":11,"valid_type":20,"description":2386,"enumValues":2387},"wechatId","微信号","微信公众号的唯一标识符，用于确认公众号的唯一性。该字段为字符串类型，格式为英文字母、数字及部分特殊字符的组合，需符合微信官方对公众号ID的定义规则。",[],{"fieldName":2389,"label":2390,"type":11,"valid_type":20,"description":2391,"enumValues":2392},"podName","Pod名称","Pod名称是Kubernetes集群中Pod资源的唯一标识符。该字段为字符串类型，其命名需遵循Kubernetes命名规范。",[],{"fieldName":2394,"label":2395,"type":140,"valid_type":20,"description":2396,"enumValues":2397},"integrityLevel","完整性级别","完整性级别表示Windows安全模型中进程的权限级别，用于标识进程的信任和权限等级。该字段为枚举类型，其取值必须为预定义的字符串常量，可选值包括：Untrusted（不信任）、Low（低级别）、Medium（中级别）、High（高级别）和System（系统级别）。",[2398,2401,2405,2408,2411],{"value":616,"title":2399,"description":2400},"高级别","提升的管理员权限，需要UAC确认或管理员权限",{"value":2402,"title":2403,"description":2404},"Untrusted","不信任","匿名进程级别，最低权限，通常用于匿名网络访问",{"value":619,"title":2406,"description":2407},"低级别","受限权限级别，用于保护模式进程如Internet Explorer",{"value":622,"title":2409,"description":2410},"中级别","标准用户权限级别，大多数用户进程运行在此级别",{"value":2412,"title":2413,"description":2414},"System","系统级别","系统核心权限，Windows服务和内核组件运行级别",{"fieldName":2416,"label":2417,"type":25,"valid_type":24,"description":2418,"enumValues":2419},"isInternetAttack","是否互联网攻击","该字段用于标识攻击源是否来自互联网外部网络。字段类型为布尔值，取值为 true 或 false，其中 true 表示攻击源来自互联网，false 表示攻击源非来自互联网。",[],{"fieldName":2421,"label":2422,"type":25,"valid_type":24,"description":2423,"enumValues":2424},"initiated","是否主动发起","标识网络连接是由本地端点主动发起还是被动接受。格式必须为布尔值，只能取 true 或 false，其中 true 表示连接由本地端点主动发起，false 表示连接由本地端点被动接受。",[],{"fieldName":2426,"label":2427,"type":11,"valid_type":20,"description":2428,"enumValues":2429},"accountName","账号名","账号名是系统中用户账号的可读标识。格式为字符串，通常由字母、数字及部分特殊字符（如下划线、点号）组成。",[],{"fieldName":2431,"label":2432,"type":7,"valid_type":6,"description":2433,"enumValues":2434},"peakPackagesRate","峰值数据包速率","峰值数据包速率，记录网络接口或系统在特定时间段内每秒处理的最大数据包数量，单位是包每秒（pps）。该字段为非负整数，用于衡量网络流量的瞬时峰值负载。",[],{"fieldName":2436,"label":2437,"type":11,"valid_type":20,"description":2438,"enumValues":2439},"sql","SQL语句","SQL语句是提交给数据库执行的标准化查询语言，通常用于数据查询、插入、更新或删除操作。格式上，它必须是一个符合SQL语法规范的字符串，可以包含字母、数字、运算符、空格及特定的SQL关键字和符号。",[],{"fieldName":2441,"label":2442,"type":11,"valid_type":20,"description":2443,"enumValues":2444},"busSystemName","业务系统名称","业务系统的名称标识，用于唯一标识一个业务系统。格式要求：字符串类型，长度限制为1-128个字符，支持中英文、数字、下划线和短横线，且不能以特殊字符开头或结尾。",[],{"fieldName":2446,"label":2447,"type":140,"valid_type":20,"description":2448,"enumValues":2449},"signatureStatus","签名状态","该字段表示数字签名验证的结果状态。取值必须为以下枚举值之一：Valid（有效）、Invalid（无效）、Unsigned（未签名）或Unknown（未知）。",[2450,2454,2457,2461],{"value":2451,"title":2452,"description":2453},"Unsigned","未签名","文件或代码未包含数字签名",{"value":2455,"title":1390,"description":2456},"Unknown","签名状态无法确定",{"value":2458,"title":2459,"description":2460},"Valid","有效","数字签名验证通过",{"value":2462,"title":2463,"description":2464},"Invalid","无效","数字签名验证失败",{"fieldName":2466,"label":2467,"type":11,"valid_type":20,"description":2468,"enumValues":2469},"sslCertificate","SSL证书信息","SSL/TLS加密连接中使用的X.509数字证书的主体标识信息，通常包含颁发者、使用者通用名、组织及国家等字段。格式为符合X.509标准的证书主题专有名称（Subject Distinguished Name）字符串，例如“C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3”。其中常见属性键包括C（国家）、ST（州/省）、L（地区）、O（组织）、OU（组织单位）、CN（通用名称）等。",[],{"fieldName":2471,"label":2472,"type":11,"valid_type":20,"description":2473,"enumValues":2474},"filePermissions","文件权限","文件或目录的访问权限设置，采用类Unix系统的符号表示法，通常为9位字符，分别代表所有者、所属组和其他用户的读、写、执行权限。常见格式为类似`rw-r--r--`的字符串，其中`r`表示读，`w`表示写，`x`表示执行，`-`表示无对应权限。",[],{"fieldName":2476,"label":2477,"type":11,"valid_type":20,"description":2478,"enumValues":2479},"logPath","日志路径","日志文件在文件系统中的存储路径，用于定位应用程序或系统服务的日志文件。路径格式应符合操作系统的文件路径规范，例如Unix/Linux系统使用正斜杠（/）作为目录分隔符，路径通常以根目录（/）或当前用户目录（~）开始。",[],{"fieldName":2481,"label":2482,"type":11,"valid_type":20,"description":2483,"enumValues":2484},"assetId","资产ID","资产ID是系统中资产的全局唯一标识符，格式为字符串。",[],{"fieldName":2486,"label":2487,"type":140,"valid_type":20,"description":2488,"enumValues":2489},"ruleType","规则类型","规则类型标识安全设备（如防火墙、IDS、IPS、EDR等）产生告警时对应的安全检测规则类型，反映设备内置规则库对特定攻击模式或异常行为的分类。该字段为枚举类型，其值是一个表示威胁类别的层级路径字符串，格式通常为“/一级分类/二级分类”。",[2490,2494,2498,2502,2506,2509,2513,2517,2521,2525,2529,2533,2537,2541,2545,2549,2553,2557,2561,2565,2569,2573,2577,2581,2585,2589,2593,2597,2601,2605,2609,2613,2616,2620,2624,2628,2632,2636,2640,2644,2648,2652,2656,2660,2664,2668,2672,2676,2679,2683,2687,2691,2695,2699,2703,2707,2711,2715,2719,2723,2727,2731,2735,2739,2742,2746,2750,2754,2758,2762,2766,2770,2774,2778,2782,2785,2789,2793,2797,2801,2805,2809,2813,2817,2821,2825,2829,2833,2837,2841,2845,2849,2853,2857,2861,2865,2869,2873,2877,2880,2884,2888,2892,2896,2900,2904,2908,2912,2916,2920,2924,2928,2931,2935,2939,2943,2947,2951,2955,2959,2962,2966,2970,2974,2978,2982,2986,2990,2994,2998,3002,3006,3010,3014,3018,3022,3026,3030,3034,3038,3042,3046,3050,3054,3058,3062,3066,3070,3074,3078,3082,3086,3090,3094,3098,3102,3106,3109,3113,3117,3121,3125,3129,3133,3137,3141,3145,3149,3153,3157,3161,3165,3169,3173,3177,3181,3185,3189,3193,3197,3201,3205,3209,3213,3217,3221,3225,3229,3233,3236,3240,3244,3248,3252,3256,3260,3264,3268,3272,3276,3280,3284],{"value":2491,"title":2492,"description":2493},"/MITM/Others","中间人攻击其他类型","其他形式的中间人攻击",{"value":2495,"title":2496,"description":2497},"/Scan/VulScan","漏洞扫描","外部网络发起的针对非Web应用的漏洞扫描，包括配置错误、系统漏洞和应用漏洞，表现出自动化行为特征。攻击目标：服务器。",{"value":2499,"title":2500,"description":2501},"/SuspTraffic/AccessAnomaly","可疑流量访问异常","内网主机检测到用户访问行为异常告警：用户访问行为偏离正常基线，或检测到异常域/服务访问。",{"value":2503,"title":2504,"description":2505},"/InherentModelRisk/KnowledgeDefects","知识缺陷","模型知识的准确性、时效性或安全性不足，包括过时信息或敏感训练数据的记忆。",{"value":705,"title":2507,"description":2508},"挖矿恶意软件","内部网络主机包含恶意挖矿文件、进程或挖矿通信。例如：1. 内部网络查询矿池域名（受害者：内部源地址，无攻击者）。2. 内部网络与矿池通信（内部 -> 外部，受害者源地址，无攻击者）。3. 终端检测到挖矿程序（资产IP为受害者，无攻击者）。4. 挖矿恶意软件回连C2（内部 -> 外部，外部目标地址为攻击者，罕见情况）。",{"value":2510,"title":2511,"description":2512},"/Malware/Virus","传染性病毒","内网主机感染具有传染性的病毒。该病毒可感染可执行文件、文档文件等，使每个被感染文件均包含病毒代码。",{"value":2514,"title":2515,"description":2516},"/Malware/RootkitBootkit","Rootkit/Bootkit病毒","Rootkit和Bootkit均为旨在隐藏系统内恶意活动痕迹的恶意软件，使其难以检测和清除。Rootkit通常嵌入操作系统内核或系统文件以隐藏恶意进程、文件和注册表项；Bootkit则通过侵入系统启动过程，在系统启动时加载并执行恶意代码。",{"value":2518,"title":2519,"description":2520},"/SuspEndpoint/SuspDriver","可疑驱动","内网主机加载未知或未签名驱动程序文件。",{"value":2522,"title":2523,"description":2524},"/SuspTraffic/MaliciousDomain","可疑恶意域名","内网主机请求恶意域名。恶意域名包括挖矿域名、C2域名、钓鱼域名及：1.可疑动态域名，如3322、org；2.内网穿透代理域名，如ngrok域名；3.疑似DGA域名；4.其他类型可疑域名。",{"value":2526,"title":2527,"description":2528},"/WebAttack/InfoLeak","Web攻击-信息泄露","由于Web服务器配置不当，外部攻击者利用漏洞获取服务器敏感信息。敏感信息包括密码、密钥、证书、会话标识符、许可证、私有数据（如短信内容）、授权凭证、个人数据，以及程序文件、配置文件、日志文件、备份文件等。注意与横向移动/敏感数据泄露类型的区分。",{"value":2530,"title":2531,"description":2532},"/Malware/Fileless","无文件恶意软件","内部网络主机包含无文件恶意软件。",{"value":2534,"title":2535,"description":2536},"/SupplyChain/VectorEmbedding","向量与嵌入漏洞","使用LLM的RAG系统中存在的重大安全风险。向量/嵌入生成、存储或检索中的弱点可能导致恶意内容注入、输出操纵或敏感数据访问。",{"value":2538,"title":2539,"description":2540},"/SuspEndpoint/TraceEradication","可疑痕迹清除","内网主机发现系统存在删除、修改或隐藏日志文件、系统文件或痕迹清理工具的迹象，可能表明攻击者试图隐藏其活动。",{"value":2542,"title":2543,"description":2544},"/SuspEndpoint/PrivilegeEscalation","可疑终端权限提升","内网主机检测到用户账户尝试或成功提升权限，这可能表明攻击者正试图获取更高的系统访问权限以进行更广泛的攻击。",{"value":2546,"title":2547,"description":2548},"/SuspEndpoint/SuspCommand","可疑命令","内网主机检测到可疑命令告警。包括：1. 用户执行未授权或异常命令；2. 短时间内频繁执行特定命令，可能表明存在自动化攻击。",{"value":2550,"title":2551,"description":2552},"/Audit/Exfiltration","数据外泄审计","监测内网主机对外传输或发送数据的行为，例如：1. 上传文件至外部FTP服务器；2. 发送大邮件附件至外部邮箱；3. 同步文件至云存储；4. 向外部HTTP服务器提交数据等。审计数据传输行为而非内容本身。",{"value":2554,"title":2555,"description":2556},"/IllegalData/RightsInfringement","权利侵犯","侵犯他人合法权益的内容，包括隐私侵犯、诽谤和声誉损害。",{"value":2558,"title":2559,"description":2560},"/Malware/HackTool","黑客工具","内部网络主机包含黑客工具。这些是黑客用于渗透系统、窃取信息或执行其他恶意活动的工具。",{"value":2562,"title":2563,"description":2564},"/WebAttack/Others","Web攻击-其他类型","外部IP发起的其他类型Web攻击行为。",{"value":2566,"title":2567,"description":2568},"/SuspEndpoint/OpAbnormaly","可疑终端操作异常","内网主机的异常操作，如日志删除、授予root权限等。",{"value":2570,"title":2571,"description":2572},"/Malware/PUP","恶意PUP程序","内网主机检测到流氓软件、广告软件、灰产软件或可疑程序的通信行为。例如：1. 流氓软件外泄机器信息；2. 广告软件回连C2服务器；3. 其他可疑软件通信模式。通常用于检测内到外的流量。",{"value":2574,"title":2575,"description":2576},"/AccountRisk/SuspModify","账号可疑修改","记录异常账户变更行为，如频繁权限修改和频繁密码更改。告警目标地址为内部网络。",{"value":2578,"title":2579,"description":2580},"/ConfigRisk/Database","数据库配置风险","数据库配置不当可能导致数据泄露、服务器被攻陷等危害。风险资产位于内网（目的地址）。",{"value":2582,"title":2583,"description":2584},"/SuspEndpoint/Others","可疑终端其他异常行为","内网主机的其他异常行为。",{"value":2586,"title":2587,"description":2588},"/IllegalData/InadequateSecurityRequirements","安全要求不足","在高安全服务类型中使用的生成式AI可能产生不准确或不可靠的内容。",{"value":2590,"title":2591,"description":2592},"/Malware/Prank","恶作剧程序","内网主机存在恶作剧程序。此类程序不会对系统造成严重损害，但可能执行如更改桌面背景或播放声音等恶作剧行为。",{"value":2594,"title":2595,"description":2596},"/WebAttack/SQLInjection","Web攻击-SQL注入","外部网络针对Web应用或Web框架发起的SQL注入攻击。",{"value":2598,"title":2599,"description":2600},"/SuspEndpoint/SuspiciousSpread","可疑终端传播","内网主机通过共享文件夹、可移动介质、远程拷贝等方式传播可疑代码。",{"value":2602,"title":2603,"description":2604},"/WebAttack/CodeInjection","Web攻击-代码注入","从外部网络发起的攻击行为，利用中间件、框架或Web组件漏洞注入精心构造的可执行代码(如Java、PHP等)，实现服务器远程命令执行。",{"value":2606,"title":2607,"description":2608},"/DataLeakage/ModelTheft","模型窃取","恶意行为者未经授权访问或复制LLM模型，可能涉及对模型架构的逆向工程或专有算法与参数的提取，导致知识产权盗窃或未经授权的副本传播。",{"value":2610,"title":2611,"description":2612},"/InherentModelRisk/ReasoningLogic","推理逻辑缺陷","模型缺乏可靠的逻辑推理和因果推断能力，经常产生'幻觉'或荒谬结论。",{"value":2614,"title":1698,"description":2615},"/Phishing/SocialMediaPhishing","通过社交媒体平台冒充可信个人或组织发送链接或文件，诱骗用户执行操作的钓鱼攻击。",{"value":2617,"title":2618,"description":2619},"/SuspEndpoint/FileTempering","敏感文件篡改","内网主机文件遭到篡改。敏感主机文件包括：应用安全配置文件、防火墙配置、网络服务配置等。篡改易导致安全防护失效、权限提升等危害。",{"value":2621,"title":2622,"description":2623},"/MITM/BGPHijackingAttack","BGP劫持攻击","通过恶意宣告BGP路由来操纵互联网路径，实现误导拦截流量或篡改数据等目的。常见攻击手段包括广播虚假前缀宣告，使被攻陷路由器进一步污染其他路由器的路由信息，甚至可能传播至骨干网。",{"value":2625,"title":2626,"description":2627},"/WebAttack/XSS","跨站脚本攻击","从外部网络发起的跨站脚本(XSS)攻击。通过利用Web开发过程中遗留的漏洞，将恶意JavaScript代码注入网页，攻击访问该站点的正常用户的浏览器。",{"value":2629,"title":2630,"description":2631},"/IllegalData/ViolatingSocialistCoreValues","违反社会主义核心价值观","与社会主义核心价值观相矛盾或削弱的内容。",{"value":2633,"title":2634,"description":2635},"/PromptInjection/Indirect","间接提示注入","通过污染模型检索的外部数据源（如网页、文档）实现的注入攻击。",{"value":2637,"title":2638,"description":2639},"/InherentModelRisk/Robustness","鲁棒性缺陷","由于深度神经网络的非线性和大规模特性，AI系统易受复杂操作环境或恶意干扰影响，导致性能下降或决策错误。",{"value":2641,"title":2642,"description":2643},"/IllegalData/DiscriminatoryContent","歧视性内容","对个人或群体表现出歧视、偏见或仇恨的内容。",{"value":2645,"title":2646,"description":2647},"/Credential/PTT","票据传递攻击","攻击者获取或窃取Kerberos系统中用于身份验证的票据，随后利用这些票据代表合法用户访问网络资源。",{"value":2649,"title":2650,"description":2651},"/DataSteal/UnauthorizedAccess","未授权访问","未授权访问指攻击者在未经适当授权的情况下非法访问系统或数据的行为，通常意图窃取或破坏数据。",{"value":2653,"title":2654,"description":2655},"/Credential/PTK","凭据PTK攻击","攻击者获取用户的加密密钥，并利用该密钥加密发送至系统的数据，借此访问受限资源并执行敏感操作。",{"value":2657,"title":2658,"description":2659},"/Credential/PTH","哈希传递攻击","攻击者通过获取用户的NTLM或LM哈希值（无需明文密码），访问Windows网络中的其他机器。该方法利用了Windows域环境中的哈希传递机制，使攻击者无需用户实际密码即可访问受保护资源。",{"value":2661,"title":2662,"description":2663},"/SuspEndpoint/RemoteExec","可疑远程执行","内网主机发现系统检测到尝试使用远程执行工具或恶意利用远程服务执行未授权命令或脚本的行为。",{"value":2665,"title":2666,"description":2667},"/AgentSec/IdentitySession","身份会话滥用","攻击者利用认证、令牌管理和会话机制中的漏洞提升权限、冒充身份或越权访问数据。",{"value":2669,"title":2670,"description":2671},"/SuspEndpoint/SuspConnection","可疑连接","网络连接事件记录主机上的TCP/UDP连接，如攻击者扫描、恶意程序外联、隧道建立、横向移动及反向Shell连接等。",{"value":2673,"title":2674,"description":2675},"/WebAttack/RFI","Web攻击-远程文件包含","外部发起的攻击利用目标应用中实现的动态文件包含机制，通过操控提交参数控制应用运行时引用远程服务器上的恶意文件路径，可能实现远程代码执行、植入webshell等恶意功能。",{"value":937,"title":2677,"description":2678},"木马程序","检测到内网主机的木马通信活动。",{"value":2680,"title":2681,"description":2682},"/WebAttack/SSRF","Web攻击-SSRF","外部网络发起的服务端请求伪造（SSRF）攻击。攻击者伪造服务端请求向与其通信的内网主机发送数据，通常用于从外网探测或攻击内网服务。",{"value":2684,"title":2685,"description":2686},"/SupplyChain/Infrastructure","基础设施入侵","针对支持AI开发和部署管道的基础设施（如云服务器、Kubernetes集群）的攻击。攻击者可能利用漏洞进行未经授权的访问，导致系统/网络被入侵或模型完整性被破坏。",{"value":2688,"title":2689,"description":2690},"/WebAttack/Hotlinking","Web攻击-盗链","攻击者在外站引用目标网站资源，造成目标网站资源被非法使用或耗尽。",{"value":2692,"title":2693,"description":2694},"/Exploit/DeviceVul","设备漏洞利用","从外网发起的针对特定设备的漏洞攻击行为，包括：网络设备漏洞、安全设备漏洞、物联网设备漏洞、专用设备漏洞等。",{"value":2696,"title":2697,"description":2698},"/SuspTraffic/Tunnel","可疑隧道流量","内网主机发送或接收隧道通信数据包。隧道协议将其他协议的数据帧或数据包封装在新的数据包头中进行传输，到达目的地后解封装并转发至实际目标。例如HTTP隧道、DNS隧道和VPN等。例如：1. 检测隧道通信流量特征，如DNS隧道；2. 识别常见隧道工具特征，包括代理隧道/隐蔽隧道。内网\u003C->外网，源地址可能不同。",{"value":2700,"title":2701,"description":2702},"/WebAttack/CSRF","Web攻击-CSRF","从外部网络发起的跨站请求伪造(CSRF)攻击，利用合法用户的cookie伪造身份请求访问网站。",{"value":2704,"title":2705,"description":2706},"/AccountRisk/Others","账号其他风险","其他账户异常事件的告警",{"value":2708,"title":2709,"description":2710},"/SuspEndpoint/SuspFile","可疑文件","在内网主机上检测到可疑文件。",{"value":2712,"title":2713,"description":2714},"/WebAttack/FileWrite","Web攻击-文件写入","攻击者利用系统或应用漏洞非法写入恶意文件或植入恶意代码，可能通过文件写入行为实现系统入侵、权限提升或执行恶意操作。",{"value":2716,"title":2717,"description":2718},"/DataMisuse/GovAudit","政府审计数据滥用","针对医疗行业特定系统，组织实体未经许可获取特定数据的行为。",{"value":2720,"title":2721,"description":2722},"/WebAttack/MemoryShell","Web攻击-内存马","内存驻留型恶意软件（内存马）攻击指攻击者将恶意代码注入目标系统内存，创建常驻内存的恶意程序以实现对系统的长期控制。内存马攻击通常难以通过传统文件系统扫描和杀毒软件检测，因其在磁盘上不留痕迹。该攻击方式常用于窃取敏感信息、执行远程控制或破坏系统功能的网络攻击中。",{"value":2724,"title":2725,"description":2726},"/MITM/TrafficHijacking","流量劫持","攻击者非法截获并操纵网络流量，以获取敏感信息或控制网络资源。",{"value":2728,"title":2729,"description":2730},"/WebAttack/FileRead","Web攻击-文件读取","攻击者访问服务器上的文件，可能获取敏感信息、执行任意命令或破坏系统。",{"value":2732,"title":2733,"description":2734},"/SuspTraffic/RemoteCtrl","可疑远程控制流量","内网主机与C2服务器通信，检测流量中的远程控制特征及可疑响应，例如：1. 内网向外网发送命令行标识信息（如cmd/powershell）；2. 内网执行常见命令后向外网传输回显信息；3. 检测特定远程控制工具的通信特征。常见远程控制采用反向连接（内->外网），也存在正向连接（外->内网），受害者为内网主机。",{"value":2736,"title":2737,"description":2738},"/WebAttack/DirTraversal","Web攻击-目录遍历","由于Web服务器配置不当或Web应用对用户输入文件名安全性校验不足导致的安全漏洞，外部攻击者可通过特殊字符绕过服务器安全限制，尝试访问任意文件(包括Web根目录之外的文件)、读取敏感文件甚至执行系统命令。",{"value":2169,"title":2740,"description":2741},"其他钓鱼攻击","包括但不限于邮件钓鱼、社交媒体钓鱼、网站钓鱼等通过各类通信渠道实施的钓鱼攻击。",{"value":2743,"title":2744,"description":2745},"/SuspEndpoint/CommandAndControl","可疑端点命令与控制","命令与控制（C2）指攻击者远程发出指令并管理被入侵设备的行为，通常用于协调数据窃取、网络攻击或恶意软件传播等恶意活动。",{"value":2747,"title":2748,"description":2749},"/DevOps/DeviceError","设备故障","设备故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：设备在其生命周期内因磨损或操作使用暂时丧失规定功能。1. 突发性故障：突然发生的故障。发生时间随机且难以预测，导致设备功能完全丧失。2. 渐发性故障：因设备性能逐渐劣化引发的故障。进展缓慢且规律可循，导致功能部分丧失。",{"value":2751,"title":2752,"description":2753},"/Malware/Bot","僵尸病毒","在内网主机上检测到与僵尸病毒相关的恶意文件、进程或通信。",{"value":2755,"title":2756,"description":2757},"/ConfigRisk/Others","其他配置风险","其他配置风险事件告警。",{"value":2759,"title":2760,"description":2761},"/DataMisuse/IllegalDataCollect","非法数据收集","违反个人信息监管政策或标准的风险警示，表明可能存在非法或不合规的个人信息收集行为。",{"value":2763,"title":2764,"description":2765},"/Audit/IllegalSoft","非法软件审计","内网主机存在涉及不合规应用的进程或通信流量。包括：1. 违反国家规定的应用：涉及恶意扣费、隐私窃取、赌博、色情或破坏国家统一的内容。具体规定参见：http://report.12377.cn:13225/mainNotice.html；2. 违反组织或公司政策的应用，如禁止的游戏、即时通讯软件或股票交易应用。审计类型，默认严重级别为低。不涉及攻击者或受害者。",{"value":2767,"title":2768,"description":2769},"/Exploit/SoftVul","软件漏洞利用","从外网发起的针对常见第三方软件（如浏览器、Office程序、Adobe应用）或服务器中间件（如Redis、Apache、Nginx）的漏洞攻击。",{"value":2771,"title":2772,"description":2773},"/SuspEndpoint/DefenseEvasion","可疑终端防御规避","内网主机发现尝试通过卸载/禁用安全软件、混淆/加密数据和脚本，或滥用可信进程来隐藏和伪装其恶意软件，以绕过检测的行为。",{"value":2775,"title":2776,"description":2777},"/AccountRisk/SuspAccount","可疑账户","可疑账户指可能被用于掩盖攻击者活动、实现持久访问或执行未授权操作的账户。包括：后门账户、隐藏账户、影子账户等。",{"value":2779,"title":2780,"description":2781},"/DataSteal/Others","其他数据窃取","其他数据外泄活动。",{"value":789,"title":2783,"description":2784},"其他恶意软件","其他恶意软件告警。",{"value":2786,"title":2787,"description":2788},"/WebAttack/FileDownload","Web攻击-文件下载","攻击者利用系统或应用漏洞从目标系统非法下载敏感或恶意文件。通过文件下载行为，攻击者可能获取系统信息、窃取用户数据或传播恶意软件。",{"value":2790,"title":2791,"description":2792},"/SuspEndpoint/SuspProcess","可疑进程","检测到内网主机存在可疑进程行为，包括：1.异常进程名、异常进程创建关系、异常进程命令行参数等；2.其他异常进程行为，如权限异常、状态异常、启动方式或频率异常等。",{"value":2794,"title":2795,"description":2796},"/Audit/IllegalOp","非法操作审计","包括内网中各类未授权操作的告警，例如：1. 未知设备接入网络、非安全计算机处理涉密文件等；2. 绕过堡垒机访问生产环境；3. 其他违反法律法规和公司政策的操作。不涉及攻击者或受害者。",{"value":2798,"title":2799,"description":2800},"/AgentSec/ConfigurationManipulation","配置操纵滥用","攻击者篡改配置文件、偏好设置或加载机制，以持久操控AI系统行为或植入后门。",{"value":2802,"title":2803,"description":2804},"/DataLeakage/Sensitive","敏感信息泄露","涉及PII个人身份信息、财务数据、PHI医疗健康信息或企业机密等敏感信息的泄露事件。",{"value":2806,"title":2807,"description":2808},"/Malware/Webshell","网页后门","内网主机存在网页后门文件。文件内容具有网页后门特征，或访问该文件可能导致执行系统命令、查看文件内容等操作。需区别于网络攻击/网页后门请求，若后门扫描探测或请求尝试来自外网，则应归类为网络攻击/网页后门请求。",{"value":2810,"title":2811,"description":2812},"/Scan/WebScan","Web扫描","外部网络发起的针对Web应用漏洞的扫描活动，包括敏感目录扫描、网站后门检测、爬虫扫描、SQL注入以及其他各种Web应用漏洞扫描，表现出自动化行为特征。攻击目标：Web业务系统。",{"value":2814,"title":2815,"description":2816},"/SuspEndpoint/SuspRegistry","可疑注册表","检测内网主机对注册表进行增删改等可疑操作。",{"value":2818,"title":2819,"description":2820},"/Malware/BrowserHijacker","浏览器劫持","内网主机存在浏览器劫持行为，通常用于篡改用户浏览器设置（如搜索页和主页），以实现定向广告投放或恶意流量重定向。",{"value":2822,"title":2823,"description":2824},"/SupplyChain/PoisonBackdoor","后门投毒","需要在被投毒样本和测试样本之间创建后门模式，要求同时控制训练和测试数据。",{"value":2826,"title":2827,"description":2828},"/DataLeakage/Property","属性推断攻击","旨在从训练数据集中提取全局信息（如部分训练样本是否包含某些敏感属性）的攻击行为。",{"value":2830,"title":2831,"description":2832},"/SuspTraffic/SuspProtocol","可疑协议异常流量","可疑协议流量指检测到使用非常见或异常网络协议的流量，可能表明存在潜在安全威胁，如恶意活动或未经授权的通信。",{"value":2834,"title":2835,"description":2836},"/WebAttack/CommandExec","Web攻击-命令执行","从外部网络发起的攻击，利用具有系统命令执行功能的Web应用，通过命令拼接、黑名单绕过等技术实现服务器任意系统命令执行。",{"value":2838,"title":2839,"description":2840},"/Malware/Backdoor","后门程序","在内网主机通信流量中检测到疑似后门程序通信特征。",{"value":2842,"title":2843,"description":2844},"/Phishing/EmailPhishing","钓鱼邮件","通过伪装成合法来源发送邮件，诱导收件人点击恶意链接或提供个人信息，以窃取敏感数据或实施恶意攻击。",{"value":2846,"title":2847,"description":2848},"/SuspEndpoint/SuspProcessAccess","可疑进程访问","当进程打开另一个进程时，报告进程访问事件。此操作通常涉及对目标进程地址空间的信息查询或读写操作。可检测读取进程内存内容的黑客工具（如Lsass.exe）以窃取凭证进行哈希传递攻击。",{"value":2850,"title":2851,"description":2852},"/DataMisuse/Others","其他数据滥用行为","其他数据滥用行为。",{"value":2854,"title":2855,"description":2856},"/Audit/ConfigChange","配置变更审计","对配置修改行为的审计，包括：修改防火墙配置、修改路由表、修改DNS服务器地址、修改服务器配置参数等。审计类型，默认级别为低。不涉及攻击者或受害者。",{"value":2858,"title":2859,"description":2860},"/SupplyChain/Artifacts","第三方插件风险","由存在漏洞或被恶意篡改的第三方库、框架、插件或扩展引入的安全威胁。",{"value":2862,"title":2863,"description":2864},"/SuspTraffic/RemoteService","可疑远程服务流量","远程服务异常流量指在远程服务连接过程中检测到的异常或可疑网络流量，可能表明存在未经授权的访问尝试、数据泄露或其他恶意活动。",{"value":2866,"title":2867,"description":2868},"/SuspEndpoint/ProcessInjection","可疑进程注入","内网主机检测到异常进程注入告警。恶意代码被注入到进程中，导致其与合法进程共享地址空间。",{"value":2870,"title":2871,"description":2872},"/Exploit/DOS","拒绝服务漏洞利用","拒绝服务(DoS)漏洞攻击指外部发起的针对系统服务、应用服务或终端软件的攻击，可导致系统崩溃、服务中断或应用故障。",{"value":2874,"title":2875,"description":2876},"/AgentSec/ToolRegistration","工具注册滥用","攻击者通过污染工具描述、模式定义或标识符，利用工具注册机制中的漏洞操控AI系统行为。",{"value":925,"title":2878,"description":2879},"运维其他事件","其他运维监控事件，风险资产为内网（目的地址）。",{"value":2881,"title":2882,"description":2883},"/SupplyChain/PoisonData","数据投毒","操纵训练数据以破坏模型完整性。被污染的数据可能导致结果失真、输出偏颇、后门触发或用户信任丧失。",{"value":2885,"title":2886,"description":2887},"/DataTampering/WebsiteDefacement","网站篡改","网站篡改指攻击者未经授权修改或破坏网站内容的行为。通常涉及更改网站文本、图像或其他媒体内容以传播虚假信息、展示恶意消息、推广特定观点或品牌，甚至羞辱和损害网站声誉。网站篡改是常见的数据篡改攻击，旨在通过修改网页内容实现特定恶意目的。",{"value":2889,"title":2890,"description":2891},"/AccountRisk/SuspBehavior","账号可疑行为","账户异常行为的告警。常见场景包括：垃圾邮件发送 - 账户发送垃圾邮件（内网 -> SMTP服务器）。数据窃取 - 下载大量敏感文件（内网 -> 内网）。可疑访问 - 尝试登录关键服务器（内网 -> 内网）。攻击者未知，受害者：涉事账户。",{"value":2893,"title":2894,"description":2895},"/Malware/Keylogger","键盘记录器","内部网络主机感染了键盘记录器。这是一种专门设计用于记录用户击键的恶意软件，用于窃取密码和其他敏感信息。",{"value":2897,"title":2898,"description":2899},"/SuspTraffic/SuspContent","可疑内容","内网主机请求恶意服务（如挂马、仿冒、欺诈），或发送/接收的数据包内容包含钓鱼尝试、敏感信息等可疑元素。",{"value":2901,"title":2902,"description":2903},"/WebAttack/LFI","Web攻击-本地文件包含","外部网络发起的攻击利用目标应用中实现的动态文件包含机制，通过操控提交参数控制应用运行时路径指向本地敏感文件，可能实现敏感文件泄露、篡改或写入webshell等功能。",{"value":2905,"title":2906,"description":2907},"/DataTampering/FileTampering","文件篡改","文件篡改指攻击者未经授权修改、删除或破坏文件内容的行为。此类攻击可能导致数据损坏、信息泄露或系统不稳定。",{"value":2909,"title":2910,"description":2911},"/SuspEndpoint/SuspThread","可疑线程","内网主机存在远程线程注入等行为。",{"value":2913,"title":2914,"description":2915},"/DataTampering/HiddenLinkInjection","暗链注入","暗链注入指攻击者将恶意链接隐蔽插入网站页面的行为。这些链接通常对用户不可见，但会被搜索引擎爬虫索引，从而影响搜索结果、提升恶意网站排名或引导流量至恶意网站。暗链注入是一种数据篡改攻击，旨在利用网站可信度和流量为攻击者牟利，同时可能对被感染网站的搜索引擎优化（SEO）产生负面影响。",{"value":2917,"title":2918,"description":2919},"/DataLeakage/Membership","成员推断攻击","旨在判定特定记录是否包含在用于统计操作的数据集或机器学习模型训练数据中的攻击行为。",{"value":2921,"title":2922,"description":2923},"/Exploit/RemoteService","远程服务漏洞利用","针对网络远程服务（如远程桌面、数据库、文件共享等）的漏洞扫描和攻击尝试，旨在利用服务弱点获取目标系统控制权。",{"value":2925,"title":2926,"description":2927},"/Credential/Others","其他凭证攻击","其他凭证攻击告警。",{"value":717,"title":2929,"description":2930},"其他威胁类型","非攻击行为、业务相关异常活动等。通常风险较低且难以定性。",{"value":2932,"title":2933,"description":2934},"/DataSteal/DataDrip","数据渗出","在较长时间内小批量检索指定类型数据，总数据量达到一定阈值。",{"value":2936,"title":2937,"description":2938},"/Malware/VirusGenerator","病毒生成器","内网主机存在病毒生成器。该工具用于生成或创建新病毒，可能包含生成自定义病毒代码的功能。",{"value":2940,"title":2941,"description":2942},"/Credential/TokenHijacking","令牌劫持","攻击者拦截或复制用于身份验证的网络令牌（如OAuth令牌、JWT令牌等），随后利用这些令牌冒充合法用户执行操作。",{"value":2944,"title":2945,"description":2946},"/SuspEndpoint/ReverseShell","疑似反向Shell","内网主机发现系统检测到内部进程与外部IP的异常通信，可能表明攻击者通过反向Shell技术远程控制受控主机。",{"value":2948,"title":2949,"description":2950},"/SupplyChain/Hardware","硬件平台风险","攻击者通过篡改、伪造或利用硬件设备和固件中的漏洞，破坏构建或运行在硬件上的AI系统的安全性。",{"value":2952,"title":2953,"description":2954},"/SupplyChain/PoisonTarget","定向投毒","一种改变特定目标样本预测结果的攻击。控制训练标签的攻击者可通过标签翻转实现此目的。",{"value":2956,"title":2957,"description":2958},"/DataMisuse/OutDomain","跨域数据流动","数据从内部可信域流向外部不可信域。",{"value":761,"title":2960,"description":2961},"网络蠕虫","检测到内网主机的网络蠕虫通信活动。",{"value":2963,"title":2964,"description":2965},"/DataSteal/DatabaseConnect","数据库连接窃取","数据库连接窃取指攻击者获取数据库连接凭证以未经授权访问数据库的恶意行为，从而窃取敏感数据或执行未授权操作。",{"value":2967,"title":2968,"description":2969},"/AccountRisk/SuspLogin","账号可疑登录","此类主要包括异常行为审计，如：异常登录地点、异常登录时间、可疑登录账户和异常登录结果。告警的源地址不区分内外网，而目标地址为内部网络。默认情况下，从内部网络到外部网络的异常登录尝试不会触发告警。如果发生相关告警，应归类为：主机异常/其他。",{"value":2971,"title":2972,"description":2973},"/WebAttack/WebshellRequest","Web攻击-Webshell请求","外部攻击者尝试访问webshell以进行命令控制、文件查看等操作。注意与恶意程序/webshell后门的区分；此处主要包括webshell请求尝试和webshell页面扫描。已确认的webshell通信（如服务端响应webshell命令、服务端返回webshell单行命令或webshell木马特征）应归类至恶意程序类别。",{"value":2975,"title":2976,"description":2977},"/Credential/Steal","凭据窃取","攻击者通过多种手段（如键盘记录、钓鱼攻击、社会工程等）获取用户登录凭据，随后利用这些凭据访问系统。",{"value":2979,"title":2980,"description":2981},"/Audit/Others","其他审计","其他行为审计事件的告警",{"value":2983,"title":2984,"description":2985},"/DevOps/DatabaseError","数据库故障","数据库故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：1. 事务内部故障 2. 系统故障 3. 介质故障 4. 计算机病毒故障。",{"value":2987,"title":2988,"description":2989},"/Scan/Others","其他扫描","外部网络发起的其他类型的探测和扫描攻击事件。",{"value":2991,"title":2992,"description":2993},"/MITM/WLANHijacking","无线局域网劫持","利用应用缺陷、协议漏洞及配置错误等安全隐患劫持WiFi流量的网络行为。例如劫持后可展示低俗广告和非法内容，或导致WiFi覆盖范围内大面积断网。",{"value":2995,"title":2996,"description":2997},"/SuspEndpoint/Persistence","可疑终端持久化","内网主机发现的持久化机制，如服务创建、注册表修改和文件系统变更，可能被用于确保攻击者在系统上的长期存在。",{"value":2999,"title":3000,"description":3001},"/Audit/IllegalAccess","非法访问审计","内网主机访问禁止访问的网站。包括：1. 涉及恶意扣费、隐私窃取、赌博、暴力、色情或分裂活动的内容。具体规定参见：http://report.12377.cn:13225/mainNotice.html；2. 违反公司政策的内容，如游戏网站、招聘网站或电商平台。不涉及攻击者或受害者。",{"value":3003,"title":3004,"description":3005},"/WebAttack/FileParsingVul","Web攻击-文件解析漏洞","中间件(如IIS、Apache、Nginx等)在文件解析过程中存在漏洞，攻击者可利用该漏洞实现未授权文件解析。",{"value":3007,"title":3008,"description":3009},"/Malware/PenetrationTool","渗透工具","内网主机存在被恶意利用的渗透工具。这些工具本用于安全测试或渗透测试目的，但可能被非法用于攻击系统。",{"value":3011,"title":3012,"description":3013},"/WebAttack/XXE","XML外部实体注入攻击","从外部网络发起的XXE(XML外部实体)注入攻击。当允许外部实体引用时，构造恶意内容可导致任意文件读取、系统命令执行、内网端口扫描及对内网Web服务的攻击。",{"value":3015,"title":3016,"description":3017},"/SupplyChain/Software","软件开发工具风险","攻击者通过污染或利用AI项目开发的软件工具链依赖项，植入后门或漏洞。",{"value":3019,"title":3020,"description":3021},"/DDOS/DDOS","分布式拒绝服务攻击","从外部网络发起的DDoS攻击，针对服务器或应用程序。包括：流量型DDoS、应用层DDoS等。主要攻击特征：流量异常激增、带宽饱和；接收来自不同来源的大量SYN包、UDP包等；存在反射型DDoS特征——源端口对应常见反射服务如NTP、DNS、SSDP、Memcached等。主要影响：网络瘫痪、服务中断及业务运营停摆。",{"value":3023,"title":3024,"description":3025},"/DataSteal/DatabaseDump","数据库转储窃取","通过数据库运维工具下载数据库文件，将数据从一个数据库迁移或复制到另一个数据库的行为。",{"value":3027,"title":3028,"description":3029},"/Exploit/Shellcode","Shellcode利用","检测到特定shellcode通信的数据包特征或识别出包含shellcode签名的恶意文件。常见场景包括：反向shell载荷传输（内->外通信）；包含载荷的恶意文件（通过邮件外->内或下载链接内->外）等。",{"value":3031,"title":3032,"description":3033},"/ConfigRisk/Service","服务配置风险","SSH、FTP等网络服务存在不安全配置，包括连接IP和方法不受限制、未设置最大登录尝试次数等。风险资产位于内部网络（目标地址）。",{"value":3035,"title":3036,"description":3037},"/ConfigRisk/WeakPassword","弱密码配置风险","审计成功登录的弱密码事件；容易被攻击者猜测或暴力破解工具破解的密码被视为弱密码，如'123'、'abc'等。该账号/系统存在弱密码漏洞风险。受影响资产位于内部网络（目标地址）。",{"value":3039,"title":3040,"description":3041},"/ConfigRisk/DeviceConf","设备配置风险","设备缺乏适当的安全配置，可能导致数据泄露、服务器被入侵等危害。风险资产位于内部网络（目标地址）。",{"value":3043,"title":3044,"description":3045},"/SuspEndpoint/ImageLoaded","可疑终端镜像加载","记录特定进程中加载的模块，包括加载进程、哈希值和签名信息。",{"value":3047,"title":3048,"description":3049},"/Scan/HostScan","主机扫描","外部网络发起的针对IP段内服务器可用性的探测行为；通过ping或TCP连接尝试等方法确认目标IP是否在线并响应。攻击目标：服务器。",{"value":3051,"title":3052,"description":3053},"/SuspTraffic/MaliciousIP","恶意IP地址","内网主机与恶意IP通信。恶意IP包括矿池IP、黑产IP等。",{"value":3055,"title":3056,"description":3057},"/IllegalData/CommercialViolations","商业违规","违反商业法律法规的内容。",{"value":3059,"title":3060,"description":3061},"/SuspEndpoint/WMI","可疑WMI利用","内网主机检测到WMI利用告警。使用Windows管理规范(WMI)执行了未授权操作，可能用于信息收集或远程控制目的。",{"value":3063,"title":3064,"description":3065},"/Malware/CheatProgram","作弊程序","内网主机正在运行作弊程序。这类工具虽为游戏或其他软件设计，但可能被恶意利用以获取敏感信息或控制系统。",{"value":3067,"title":3068,"description":3069},"/DevOps/HostError","主机故障","主机故障可分为以下类型，受影响的风险资产为内网环境（目的地址）：检测到的由各种原因导致的主机故障包括：1. 系统硬件问题，主要由SCSI卡、主板、RAID卡、HBA卡、网卡和硬盘等硬件设备引起。此类情况下需查明具体硬件故障细节并通过更换硬件解决。2. 外围硬件问题，主要由网络问题引起。此时应重点排查主机网络设备和网络参数。3. 主机软件问题，主要由系统内核漏洞、应用软件缺陷或驱动程序错误导致。解决方法包括升级内核、修复程序缺陷或更新驱动。4. 主机系统配置问题，主要由系统参数设置不当引起。可通过恢复系统默认设置或关闭防火墙解决。",{"value":3071,"title":3072,"description":3073},"/AccountRisk/BruteForce","账号暴力破解","攻击者采用枚举方法系统地尝试用户名和密码组合进行登录尝试。攻击目标：用户账户。此类攻击的受害者必须是内部网络目标。常见的暴力破解和弱密码枚举尝试属于此类别。从内部网络发起的针对外部网络的暴力破解攻击归类为：主机异常/主机外部攻击。",{"value":3075,"title":3076,"description":3077},"/SuspEndpoint/SuspOpenPort","可疑开放端口","内网主机上开放了非常见端口。",{"value":3079,"title":3080,"description":3081},"/Malware/MaliciousScript","恶意脚本","内部网络主机运行具有恶意行为特征的脚本，例如启用PowerShell或修改注册表项。",{"value":3083,"title":3084,"description":3085},"/SuspEndpoint/ExternalScan","可疑终端外部扫描","由内网主机发起的一类针对外网的扫描行为，其目标为外部网络。",{"value":3087,"title":3088,"description":3089},"/ConfigRisk/ClearTextCredit","明文凭据传输风险","敏感信息在数据传输过程中未经加密传输。敏感信息包括密码、加密密钥、证书、会话标识符、私有数据（如消息内容）、授权凭证、个人数据，以及程序文件、配置文件、日志文件、备份文件等。风险资产位于内网（目的地址）。",{"value":3091,"title":3092,"description":3093},"/Scan/NetworkScan","网络扫描","网络扫描是指扫描网络上所有设备和系统的过程，以获取网络拓扑、设备状态和开放端口等信息。常用于安全审计、资产管理和漏洞检测，以识别潜在安全风险并优化网络配置。",{"value":3095,"title":3096,"description":3097},"/WebAttack/WebshellUpload","Web攻击-Webshell上传","攻击者尝试上传webshell后门文件以获取目标服务器控制权。",{"value":3099,"title":3100,"description":3101},"/AgentSec/UpdateMechanism","更新机制滥用","攻击者利用工具更新机制的信任模型和自动化特性推送恶意更新，以实现持久控制或突发攻击。",{"value":3103,"title":3104,"description":3105},"/SupplyChain/PoisonModel","模型投毒","在模型部署前篡改或注入恶意代码。",{"value":981,"title":3107,"description":3108},"勒索软件","内网主机感染勒索软件。包括：1. 勒索软件通信（内→外）；2. 勒索软件域名查询（无攻击者参与）；3. 终端检测到勒索软件（资产IP为受害者，无攻击者参与）；4. 检测到其他勒索软件行为特征（如传播、访问Tor网络等）。",{"value":3110,"title":3111,"description":3112},"/Malware/MaliciousMail","恶意邮件","内部网络主机在收到的邮件中检测到恶意程序。这些程序具有恶意软件的特征，或在执行时可能下载并执行病毒、安装后门等。",{"value":3114,"title":3115,"description":3116},"/Scan/ServScan","服务扫描","外部网络发起的针对服务器开放服务的扫描行为。包括批量探测常见服务端口可用性，以及发送特定数据包检测服务端程序版本信息。攻击目标：服务器。",{"value":3118,"title":3119,"description":3120},"/InherentModelRisk/UnsafeDesign","工具设计不安全","由于设计和/或实现不安全导致的LLM连接工具被利用，可能因意外、模糊或被操控的输出引发破坏性操作。",{"value":3122,"title":3123,"description":3124},"/DevOps/WebError","Web应用故障","Web应用故障可分为以下类型，受影响风险资产位于内网环境（目的地址）：1. 因流量突增导致服务器负载过高引发的故障。2. 程序源代码运行时错误或代码逻辑缺陷导致的故障。3. 服务超时导致运行异常引发的故障。",{"value":3126,"title":3127,"description":3128},"/Malware/Exploit","恶意利用工具","内部网络主机包含恶意利用工具。这些是专门设计用于利用已知系统或软件漏洞执行未授权操作的工具。",{"value":3130,"title":3131,"description":3132},"/SuspEndpoint/RemoteService","可疑远程服务利用","检测到内网主机上运行未知远程服务，该服务可能包含已知漏洞，攻击者可利用其执行远程代码。",{"value":3134,"title":3135,"description":3136},"/WebAttack/WebTempering","Web攻击-网页篡改","外部攻击者利用漏洞或植入的webshell，通过注入钓鱼链接、违禁内容、暗链、欺诈材料等方式尝试篡改合法网页。",{"value":3138,"title":3139,"description":3140},"/DataMisuse/Abroad","跨境数据传输","从海外地址访问国内数据，或主动将数据从国内地址传输至海外目的地。",{"value":3142,"title":3143,"description":3144},"/SuspTraffic/TrafficAnomaly","可疑流量异常","内网主机检测流量异常告警：网络流量偏离正常基线。",{"value":3146,"title":3147,"description":3148},"/Malware/VirTool","代码混淆工具","内网主机存在代码混淆工具。该工具用于混淆软件代码，使其难以理解和逆向工程，通常被用来隐藏恶意软件的真实意图。",{"value":3150,"title":3151,"description":3152},"/WebAttack/FileUpload","Web攻击-文件上传","从外部网络发起的攻击行为，利用文件上传功能绕过或未充分校验用户输入，导致直接上传恶意文件。",{"value":3154,"title":3155,"description":3156},"/ConfigRisk/Exploit","漏洞利用风险","服务器未及时进行补丁更新或安全配置，导致存在漏洞被利用的风险。",{"value":3158,"title":3159,"description":3160},"/DataTampering/Others","其他数据篡改告警","其他数据篡改类告警。",{"value":3162,"title":3163,"description":3164},"/InherentModelRisk/BehavioralConsistency","行为一致性缺陷","模型表现出不稳定、不一致的行为或无法可靠遵循指令，显示出失调迹象。",{"value":3166,"title":3167,"description":3168},"/SuspEndpoint/Attack","可疑端点攻击","内部网络主机发起针对外部网络的漏洞利用、暴力破解、基于Web的攻击等行为。",{"value":3170,"title":3171,"description":3172},"/DataLeakage/TrainingData","训练数据提取","通过成员推理或模型逆向工程等方法提取训练数据。",{"value":3174,"title":3175,"description":3176},"/WebAttack/BypassAccCtrl","Web攻击绕过访问控制","外网发起的针对权限提升漏洞的攻击行为，包括水平权限提升尝试、认证绕过漏洞尝试及其他类似类型。",{"value":3178,"title":3179,"description":3180},"/Phishing/WebPhishing","网页钓鱼","创建模仿合法网站外观的欺骗性网页，诱骗用户输入登录凭证或信用卡信息等个人信息。",{"value":3182,"title":3183,"description":3184},"/Malware/Spyware","间谍软件","内网主机流量中检测到间谍软件的通信特征。",{"value":3186,"title":3187,"description":3188},"/InherentModelRisk/SocietalEthical","社会伦理缺陷","模型输出或行为包含偏见、歧视、有害内容或与人类价值观和伦理标准不符。",{"value":3190,"title":3191,"description":3192},"/SuspEndpoint/SuspPipeEvents","可疑管道事件","创建命名管道时生成，恶意软件常利用命名管道进行进程间通信。",{"value":3194,"title":3195,"description":3196},"/Malware/MaliciousAdware","恶意广告软件","恶意广告是指通过在线广告平台发布的恶意内容，意图欺骗或诱骗用户。这些广告可能将用户重定向到恶意网站、下载恶意软件或泄露个人敏感信息。",{"value":3198,"title":3199,"description":3200},"/Malware/Downloader","木马下载器","内网主机感染木马下载器，此类恶意软件会在受控系统下载并安装其他恶意程序。",{"value":3202,"title":3203,"description":3204},"/ConfigRisk/HTTPServer","HTTP服务器配置风险","HTTP服务器启用了PUT、DELETE、OPTIONS和TRACE等非常用方法，可能导致服务器信息泄露和内容篡改。风险资产位于内部网络（目标地址）。",{"value":3206,"title":3207,"description":3208},"/Malware/MacroVirus","宏病毒","内部网络主机感染了宏病毒。这类病毒通过利用文档编辑软件中的宏功能（如Microsoft Office中的VBA宏）进行传播。",{"value":3210,"title":3211,"description":3212},"/Exploit/SystemVul","系统漏洞利用","从外网发起的针对Linux、Windows等操作系统内核漏洞或原生应用漏洞的攻击。",{"value":3214,"title":3215,"description":3216},"/Scan/SystemScan","系统扫描","系统扫描是指对计算机系统进行全面检查和分析的过程，以检测漏洞、恶意软件、配置错误和其他潜在安全问题。通过系统扫描，可以识别并修复安全风险，确保系统的稳定性和安全性。",{"value":3218,"title":3219,"description":3220},"/Audit/OpAudit","操作审计","包括需审计日志记录的操作，如敏感操作（如权限修改、批量数据查询）和高危操作（如数据删除、系统文件修改或删除、日志清除）。审计类型默认设置为低级别。不涉及攻击者或受害者。",{"value":3222,"title":3223,"description":3224},"/AgentSec/ToolInvocation","工具调用滥用","攻击者在工具调用过程中操纵输入参数和数据传递，以执行恶意命令或访问敏感数据。",{"value":3226,"title":3227,"description":3228},"/DataLeakage/SystemPrompt","系统提示提取","专门提取系统指令和提示信息。",{"value":3230,"title":3231,"description":3232},"/PromptInjection/Direct","直接提示注入","直接向模型发送覆盖指令的行为。",{"value":2294,"title":3234,"description":3235},"漏洞利用其他事件","从外网发起的其他类型漏洞利用攻击事件。",{"value":3237,"title":3238,"description":3239},"/Scan/PortScan","端口扫描","外部网络发起的针对服务器开放端口的扫描行为，表现出自动化行为特征。攻击目标：服务器。",{"value":3241,"title":3242,"description":3243},"/Scan/Scanner","扫描器指纹","在外部网络扫描过程中检测到特定扫描器的指纹特征。攻击目标：服务器。",{"value":3245,"title":3246,"description":3247},"/DataLeakage/DataReconstruction","数据重构攻击","基于对聚合数据的访问权限，通过逆向工程手段获取个人用户记录或敏感基础设施记录的私有信息的攻击行为。",{"value":3249,"title":3250,"description":3251},"/DataSteal/APICrawling","API数据爬取","当主体实体在单位时间内API访问次数超过阈值，且返回的指定类型数据结果去重计数超过一定阈值时触发。",{"value":3253,"title":3254,"description":3255},"/Malware/TrojanDropper","木马释放器","内网主机存在木马释放器。此类程序本身不含恶意代码，但其用途是释放并激活其他木马程序。",{"value":3257,"title":3258,"description":3259},"/ConfigRisk/MidWare","中间件配置风险","中间件缺乏安全配置，可能导致数据泄露、服务器被入侵等危害。风险资产位于内部网络（目标地址）。",{"value":3261,"title":3262,"description":3263},"/SuspTraffic/Others","可疑流量其他","内网主机发起的可疑通信。包括：可疑会话连接、异常协议数据包、与4444/2745等可疑端口的通信行为。",{"value":3265,"title":3266,"description":3267},"/SuspEndpoint/FilelessAttack","可疑终端无文件攻击","在内网主机发现系统上未创建文件，但执行了代码或修改了系统设置。这可能表明存在无文件攻击，攻击者直接在内存中执行恶意代码。",{"value":3269,"title":3270,"description":3271},"/SuspEndpoint/InformationGathering","可疑终端信息收集","内网主机检测到异常的本地信息收集行为。这可能表明攻击者正在收集本地系统信息，如用户列表和系统配置。",{"value":3273,"title":3274,"description":3275},"/Credential/Forgery","凭证伪造","攻击者创建或修改凭证（如用户名和密码、数字证书、令牌等），在未经合法用户授权的情况下获取对系统或网络资源的未授权访问权限。",{"value":3277,"title":3278,"description":3279},"/DataMisuse/IllegalDataUse","非法数据使用","违反法律法规或其他相关规定，非法或不当执行数据处理操作。",{"value":3281,"title":3282,"description":3283},"/SuspTraffic/MaliciousCert","可疑恶意证书","内网主机安装恶意证书或访问携带恶意证书的URL。例如：1.通过SSL/TLS证书信息检测访问恶意HTTPS网站；2.通过证书的SNI信息检测可疑域名。内网->外网。",{"value":3285,"title":3286,"description":3287},"/WebAttack/CRLF","Web攻击CRLF注入","外网发起的HTTP CRLF注入攻击。HTTP协议使用CRLF符号（回车换行）进行分隔。攻击者在请求中注入恶意换行符以绕过网站安全检查。",{"fieldName":3289,"label":3290,"type":1524,"valid_type":28,"description":3291,"enumValues":3292},"victim","受害者","记录受攻击影响的所有唯一目标IP地址集合，以数组形式存储。数组中的每个元素必须是有效的IPv4或IPv6地址格式。IPv4地址格式为点分十进制（如：192.168.1.1），IPv6地址格式需符合标准表示法（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334或压缩格式）。",[],{"fieldName":3294,"label":3295,"type":11,"valid_type":20,"description":3296,"enumValues":3297},"interfaceName","网络接口名称","该字段标识网络流量经过的物理或逻辑接口名称，用于在系统中唯一标识一个网络接口。格式为字符串，通常遵循操作系统或网络设备的命名规范，例如以太网接口可能命名为 “eth0”、“enp8s0”，无线接口可能命名为 “wlan0”。",[],{"fieldName":3299,"label":3300,"type":11,"valid_type":20,"description":3301,"enumValues":3302},"incidentName","事件名称","该字段用于标识安全事件的简要概括名称。",[],{"fieldName":3304,"label":3305,"type":11,"valid_type":20,"description":3306,"enumValues":3307},"wechatSubjectName","微信主体名称","微信公众平台认证主体的名称，通常为企业、组织或机构的官方注册名称。",[],{"fieldName":3309,"label":3310,"type":11,"valid_type":20,"description":3311,"enumValues":3312},"userPrincipalName","用户主体名称","用户主体名称是客户端进行身份验证的服务的唯一标识符，通常采用电子邮件地址格式。其格式要求为：由用户名、@符号和域名组成。",[],{"fieldName":3314,"label":3315,"type":140,"valid_type":20,"description":3316,"enumValues":3317},"direction","数据流方向","基于源和目标IP地址的网络位置分类数据流方向。该字段为枚举类型，表示数据流在内外网之间的流向，具体取值及含义如下：11 表示外网访问外网；10 表示外网访问内网；01 表示内网访问外网；00 表示内网访问内网。",[3318,3322,3326,3330],{"value":3319,"title":3320,"description":3321},"10","外访问内","来源IP为外部IP，目的IP为内部IP，数据方向：外访问内",{"value":3323,"title":3324,"description":3325},"11","外访问外","来源IP为外部IP，目的IP为外部IP，数据方向：外访问外",{"value":3327,"title":3328,"description":3329},"00","内访问内","来源IP为内部IP，目的IP为内部IP，数据方向：内访问内",{"value":3331,"title":3332,"description":3333},"01","内访问外","来源IP为内部IP，目的IP为外部IP，数据方向：内访问外",{"fieldName":3335,"label":3336,"type":140,"valid_type":20,"description":3337,"enumValues":3338},"incidentStatus","事件状态","标识安全事件在响应生命周期中的当前处理状态。该字段为枚举类型，其值必须为预定义的字符串。可选值为：Analysising (分析中)、Error (错误)、Ignore (忽略)、Pending (待处置)、Disposed (已处置)。",[3339,3343,3347,3351,3355],{"value":3340,"title":3341,"description":3342},"Ignore","忽略","经过分析不需要处置的事件",{"value":3344,"title":3345,"description":3346},"Error","错误","分析过程中自动化剧本执行流程错误终止的事件",{"value":3348,"title":3349,"description":3350},"Pending","待处置","经过分析需要处置的事件",{"value":3352,"title":3353,"description":3354},"Analysising","分析中","正在分析中的事件",{"value":3356,"title":3357,"description":3358},"Disposed","已处置","已经完成处置关闭的事件",{"fieldName":3360,"label":3361,"type":11,"valid_type":20,"description":3362,"enumValues":3363},"vulOrg","漏洞系统研制厂商","该字段用于标识存在漏洞的软件或硬件产品的原始研发或生产厂商名称，例如操作系统、应用程序或硬件设备的供应商。值为字符串类型，建议使用厂商官方常用名称或简称，避免使用缩写或内部代号。",[],{"fieldName":3365,"label":3366,"type":7,"valid_type":6,"description":3367,"enumValues":3368},"assetPort","资产端口","资产对外提供服务的网络端口号。端口号必须是整数，取值范围为0-65535。",[],{"fieldName":3370,"label":3371,"type":11,"valid_type":20,"description":3372,"enumValues":3373},"executablePath","可执行文件路径","可执行文件在文件系统中的完整存储路径，需为有效的文件系统路径字符串，通常采用绝对路径表示，如Unix/Linux系统下的路径格式。",[],{"fieldName":3375,"label":3376,"type":11,"valid_type":10,"description":3377,"enumValues":3378},"assetMacAddress","资产MAC地址","资产的媒体访问控制地址，用于唯一标识网络设备。格式必须为小写字母和数字组成的MAC地址，采用冒号分隔的六组十六进制数，每组两位，格式为xx:xx:xx:xx:xx:xx。",[],{"fieldName":3380,"label":3381,"type":11,"valid_type":20,"description":3382,"enumValues":3383},"originalPageUrl","原始网页URL","原始网页URL是指篡改前合法网页的URL地址，用于标识网页篡改事件发生前的原始访问路径。该字段格式必须符合标准的URL规范，通常包含协议（如http或https）、域名或IP地址、端口（可选）、路径及查询参数（可选）等部分。",[],{"fieldName":3385,"label":3386,"type":7,"valid_type":6,"description":3387,"enumValues":3388},"rstCount","RST包数量","该字段用于统计TCP连接中接收或发送的复位(RST)数据包数量。其值为非负整数，表示RST包的具体个数。",[],{"fieldName":3390,"label":3391,"type":7,"valid_type":6,"description":3392,"enumValues":3393},"alertCount","告警数量","该字段用于统计安全事件关联的告警总数。其值应为非负整数，表示告警的具体数量。",[],{"fieldName":3395,"label":3396,"type":11,"valid_type":20,"description":3397,"enumValues":3398},"departmentHeadMail","部门负责人邮箱","部门负责人的电子邮箱地址，用于接收相关通知和联系。格式要求：必须符合标准的电子邮件地址格式，包含有效的用户名和域名部分，使用@符号分隔。",[],{"fieldName":3400,"label":3401,"type":11,"valid_type":20,"description":3402,"enumValues":3403},"requestDomain","请求域名","标识网络请求目标的域名信息，格式要求为有效的域名格式，如\"www.example.com\"，需符合RFC 1035标准，由字母、数字和连字符组成，以点号分隔各级标签。",[],{"fieldName":3405,"label":3406,"type":11,"valid_type":20,"description":3407,"enumValues":3408},"objectName","对象名称","对象名称，指访问或操作的目标对象名称，例如数据库名、应用名、文件名等。",[],{"fieldName":3410,"label":3411,"type":11,"valid_type":20,"description":3412,"enumValues":3413},"requestHeader","请求头","请求头是HTTP网络请求中客户端向服务器发送请求时用于传递附加信息、客户端特性及身份验证等元数据的部分，其内容应为符合HTTP协议规范的字符串。",[],{"fieldName":3415,"label":3416,"type":11,"valid_type":10,"description":3417,"enumValues":3418},"srcMacAddress","源MAC地址","源MAC地址表示网络数据帧发送方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。",[],{"fieldName":3420,"label":3421,"type":25,"valid_type":24,"description":3422,"enumValues":3423},"sensitiveFile","是否敏感文件","该字段标识文件是否包含敏感数据，如密码、密钥、个人信息等。其值为布尔类型，仅允许取 `true` 或 `false`。",[],{"fieldName":3425,"label":3426,"type":140,"valid_type":20,"description":3427,"enumValues":3428},"queryClass","查询类别","DNS查询所适用的网络类别。可选值包括：IN (Internet类别)、CH (Chaos类别)、HS (Hesiod类别)、NONE (无类别)、ANY (任意类别)。",[3429,3433,3437,3441,3445],{"value":3430,"title":3431,"description":3432},"IN","Internet类别","Internet协议类别，绝大多数DNS查询使用此类别",{"value":3434,"title":3435,"description":3436},"CH","Chaos类别","Chaos网络类别，用于特定系统查询，可能表示侦察活动",{"value":3438,"title":3439,"description":3440},"HS","Hesiod类别","Hesiod系统类别，用于特定网络服务",{"value":3442,"title":3443,"description":3444},"NONE","无类别","无特定协议类别，用于更新操作",{"value":574,"title":3446,"description":3447},"任意类别","任意协议类别，可能表示异常查询",{"fieldName":3449,"label":3450,"type":11,"valid_type":20,"description":3451,"enumValues":3452},"mainboard","主板","主板字段记录计算机主板的制造商和型号信息。该字段为字符串类型，用于描述主板硬件。通常包含主板制造商名称、产品系列或具体型号。",[],{"fieldName":3454,"label":3455,"type":11,"valid_type":20,"description":3456,"enumValues":3457},"requestContentType","请求内容类型","请求内容类型，对应网络请求头中的Content-Type字段，用于描述请求数据的格式和字符编码。其值通常为标准MIME类型字符串，格式规范为“主类型/子类型”，并可附加参数（如字符集）。常见示例包括“application/json”、“text/html; charset=utf-8”等。",[],{"fieldName":3459,"label":3460,"type":11,"valid_type":20,"description":3461,"enumValues":3462},"fileName","文件名称","文件的基本名称，不包含路径信息。格式要求：字符串类型，长度不超过255个字符，支持常见操作系统允许的文件名字符集（如字母、数字、下划线、点、连字符等），应避免使用系统保留字符和路径分隔符。",[],{"fieldName":3464,"label":3465,"type":11,"valid_type":20,"description":3466,"enumValues":3467},"loginId","登录ID","系统分配的登录会话标识符，用于唯一标识用户的登录会话。该字段为字符串类型，通常为数字或字母数字组合的序列。",[],{"fieldName":3469,"label":3470,"type":11,"valid_type":20,"description":3471,"enumValues":3472},"assetOwnerPhone","负责人联系方式","资产负责人的联系方式，用于标识资产责任人的联系电话号码。",[],{"fieldName":3474,"label":3475,"type":140,"valid_type":20,"description":3476,"enumValues":3477},"assetCategory","资产分类","资产分类是指从资产管理角度对资产进行的分类。该字段为枚举类型，取值范围包括：database (数据库)、data_table (数据表)、data_field (数据字段)、account (账号)、api (API) 等预设可选值。",[3478,3482,3486,3490,3492,3496,3500,3504,3508,3512,3516,3520,3523,3527,3531,3535,3538,3542,3546,3550,3554,3558,3561,3565],{"value":3479,"title":3480,"description":3481},"container","容器","操作系统级别的虚拟化技术，用于打包、分发和运行应用及其依赖环境。",{"value":3483,"title":3484,"description":3485},"server","服务器","部署在本地数据中心的物理计算设备，用于提供网络服务或运行企业应用。",{"value":3487,"title":3488,"description":3489},"website","Web网站","通过HTTP/HTTPS协议提供访问的网页集合与应用，是常见的对外服务与攻击面。",{"value":310,"title":119,"description":3491},"未包含在上述分类中的其他类型资产。",{"value":3493,"title":3494,"description":3495},"cloud_storage","云存储","由云服务商提供的对象、块或文件存储服务，如AWS S3、阿里云OSS。",{"value":3497,"title":3498,"description":3499},"official_account","公众号","在微信等社交媒体平台上运营的官方账户，用于发布信息、提供服务并与用户互动。",{"value":3501,"title":3502,"description":3503},"certificate","证书","数字证书，用于实现身份认证、数据加密和通信安全的电子凭证。",{"value":3505,"title":3506,"description":3507},"data_field","数据字段","数据表或数据结构中的最小数据单元，用于存储特定类型的属性值。",{"value":3509,"title":3510,"description":3511},"terminal","终端","用户直接操作的计算设备端点，包括个人电脑、ATM机、信息终端等。",{"value":3513,"title":3514,"description":3515},"ip_address","IP地址","互联网协议地址，用于在网络中唯一标识和定位一个设备或接口。",{"value":3517,"title":3518,"description":3519},"database","数据库","结构化数据存储系统，如MySQL、Oracle等关系型数据库或MongoDB等非关系型数据库。",{"value":1284,"title":3521,"description":3522},"文件","存储在文件系统中的数据集合，可以是文档、可执行程序、配置文件或多媒体内容等。",{"value":3524,"title":3525,"description":3526},"mini_program","小程序","无需下载安装即可在超级应用（如微信、支付宝）内使用的轻量级应用程序。",{"value":3528,"title":3529,"description":3530},"port","端口","网络通信中的逻辑端点，与IP地址结合，用于区分同一设备上的不同服务。",{"value":3532,"title":3533,"description":3534},"data_table","数据表","数据库中的核心存储单元，用于存储具有相同结构的数据记录集合。",{"value":1304,"title":3536,"description":3537},"域名","互联网上的地址标识，用于定位网站和服务，是网络资产的关键入口点。",{"value":3539,"title":3540,"description":3541},"virtual_machine","虚拟机","通过虚拟化技术，在物理服务器上模拟出的完整、独立的计算机系统环境。",{"value":3543,"title":3544,"description":3545},"cloud_server","云服务器","由云服务商（如AWS EC2、阿里云ECS）提供的、作为服务管理的弹性计算实例。",{"value":3547,"title":3548,"description":3549},"api","API","应用程序编程接口，提供标准化方式供软件组件之间进行交互和数据交换。",{"value":3551,"title":3552,"description":3553},"application_software","应用软件","为满足特定用途或解决特定问题而设计的软件，如办公软件、ERP、CRM系统等。",{"value":3555,"title":3556,"description":3557},"device","设备","广义的硬件设备，包括网络设备、物联网设备、办公设备等物理实体。",{"value":1320,"title":3559,"description":3560},"账号","用于访问系统、应用或服务的数字身份凭证，包括用户账号、服务账号等。",{"value":3562,"title":3563,"description":3564},"mobile_app","APP","移动设备应用程序，通常指运行在iOS或Android等移动操作系统上的客户端软件。",{"value":3566,"title":3567,"description":3568},"system_software","系统软件","为计算机运行提供基础服务的软件，如操作系统、数据库管理系统、中间件等。",{"fieldName":3570,"label":3571,"type":11,"valid_type":20,"description":3572,"enumValues":3573},"fileGuid","文件GUID","文件的全局唯一标识符，通常为32位十六进制字符串，不包含连字符，用于在系统中唯一标识一个文件。",[],{"fieldName":3575,"label":3576,"type":11,"valid_type":20,"description":3577,"enumValues":3578},"cdnVendor","CDN厂商","该字段用于标识内容分发网络(CDN)服务提供商的官方名称。格式为字符串，通常为厂商的完整商业名称或公认的简称。",[],{"fieldName":3580,"label":3581,"type":11,"valid_type":20,"description":3582,"enumValues":3583},"destNtDomain","目的NT域","目的设备所属的Windows NT域名称。格式为字符串，通常用于标识Windows网络环境中的域。",[],{"fieldName":3585,"label":3586,"type":11,"valid_type":20,"description":3587,"enumValues":3588},"homeDir","主目录","该字段表示用户账户配置的主目录在文件系统中的绝对路径。路径格式应符合操作系统的规范，例如在Windows系统中通常为驱动器盘符加冒号后接反斜杠分隔的目录结构（如 `C:\\Users\\\u003Cusername>`），在Linux/Unix系统中通常为正斜杠分隔的目录结构（如 `/home/\u003Cusername>`）。",[],{"fieldName":3590,"label":3591,"type":11,"valid_type":20,"description":3592,"enumValues":3593},"assetDepartmentName","管理部门（单位）名称","管理部门（单位）名称，指负责管理资产的部门或单位的全称。",[],{"fieldName":3595,"label":3596,"type":11,"valid_type":20,"description":3597,"enumValues":3598},"tableName","表名称","关系型数据库中的数据表逻辑名称，表名称应为字符串类型，遵循数据库命名规范，通常由字母、数字和下划线组成。",[],{"fieldName":3600,"label":3601,"type":7,"valid_type":6,"description":3602,"enumValues":3603},"bytesCount","字节数量","该字段统计网络会话或时间窗口内传输的字节累计数量。其值为非负整数，表示传输的总字节数。",[],{"fieldName":3605,"label":3606,"type":11,"valid_type":20,"description":3607,"enumValues":3608},"srcGeoRegionCode","来源地区代码","网络请求来源的地区地理编码，采用ISO 3166-1 alpha-2标准的两字母国家/地区代码，表示来源IP地址对应的国家或地区。该字段为字符串类型，必须由大写英文字母组成。",[],{"fieldName":3610,"label":3611,"type":11,"valid_type":20,"description":3612,"enumValues":3613},"assetGeoRegion","资产具体地理位置","该字段表示资产实际所在的物理地理位置区域，用于记录资产的具体地理位置信息。格式为字符串类型，使用标准的地理位置描述格式，如\"省/市/区\"或\"国家/省/市\"的层级结构。",[],{"fieldName":3615,"label":3616,"type":11,"valid_type":20,"description":3617,"enumValues":3618},"queryStatus","查询状态","DNS协议查询请求的响应状态码，用于表示DNS查询操作的结果。常见的状态码中，0通常表示DNS查询成功。该字段为字符串类型，具体取值遵循DNS协议标准定义的状态码。",[],{"fieldName":3620,"label":3621,"type":11,"valid_type":20,"description":3622,"enumValues":3623},"userAccountControl","用户账号控制","用户账号控制属性是Windows Active Directory中用于表示账户多种设置的位掩码。该字段值为字符串类型，通常以十六进制或十进制字符串形式表示。",[],{"fieldName":3625,"label":3626,"type":11,"valid_type":20,"description":3627,"enumValues":3628},"eventNum","Windows事件编号","Windows事件编号，用于标识Windows终端操作系统事件的唯一数字编号，格式为字符串类型，通常由微软定义的事件ID组成，例如登录成功事件编号为4624。",[],{"fieldName":3630,"label":3631,"type":25,"valid_type":24,"description":3632,"enumValues":3633},"forceLogoff","强制注销","该字段用于控制在用户登录时间到期后是否强制注销用户会话。其值为布尔类型，仅允许使用 `true` 或 `false` 表示。`true` 表示启用强制注销，`false` 表示不启用。",[],{"fieldName":3635,"label":3636,"type":17,"valid_type":16,"description":3637,"enumValues":3638},"durationTime","持续时间","持续时间表示事件或操作从开始到结束的完整时间长度，以秒为单位。该字段为长整型数值，应大于等于0。",[],{"fieldName":3640,"label":3641,"type":11,"valid_type":20,"description":3642,"enumValues":3643},"assetGeoLongitude","资产地理经度","资产所在位置的经度坐标，采用十进制表示，遵循WGS84地理坐标系标准。格式要求为字符串类型，表示范围为-180.000000至180.000000之间的浮点数。",[],{"fieldName":3645,"label":3646,"type":11,"valid_type":6,"description":3647,"enumValues":3648},"minPasswordAge","最小密码使用天数","该字段表示密码修改策略要求密码必须使用的最短天数。其值为非负整数，以天为单位。",[],{"fieldName":3650,"label":3651,"type":11,"valid_type":20,"description":3652,"enumValues":3653},"cpuLimit","CPU限制","该字段表示容器可使用的CPU资源上限，支持使用mCPU单位或核数两种格式进行表示。格式要求：若以mCPU为单位，则数值后需加小写字母'm'，例如'500m'表示500毫核（即0.5核）；若以核数为单位，则可直接使用整数或小数，例如'0.5'或'1'。该值为字符串类型。",[],{"fieldName":3655,"label":3656,"type":11,"valid_type":20,"description":3657,"enumValues":3658},"ldapOpCode","LDAP操作码","轻量级目录访问协议(LDAP)请求的操作类型代码，通常为十六进制字符串形式。",[],{"fieldName":3660,"label":3661,"type":11,"valid_type":20,"description":3662,"enumValues":3663},"componentVersion","组件版本","该字段用于标识软件组件、插件或库的完整版本信息，其值为字符串类型。通常遵循语义化版本控制规范（如主版本号.次版本号.修订号）。",[],{"fieldName":3665,"label":3666,"type":11,"valid_type":20,"description":3667,"enumValues":3668},"destUserName","目标用户名","该字段表示网络连接、系统访问或安全事件的目标主体用户身份名称。其值为字符串类型，具体内容应为操作系统或应用程序中定义的有效用户名。",[],{"fieldName":3670,"label":3671,"type":11,"valid_type":20,"description":3672,"enumValues":3673},"destUserId","目标用户ID","目标用户的唯一标识符，通常用于标识网络连接的接收方或目标用户。",[],{"fieldName":3675,"label":3676,"type":11,"valid_type":20,"description":3677,"enumValues":3678},"relateInfo","关联信息","关联信息字段用于描述与主操作用户名存在关联关系的各类信息。其内容为由分号分隔的键值对列表，每个键值对使用冒号分隔。键通常为大写英文字母组成的标识符，值则为对应的具体信息。其中，若值为IP地址，应符合IPv4或IPv6格式；若值为URL，应符合通用URL格式规范；若值为端口，应在0-65535范围内。其他信息应使用明确的字符串表示。",[],{"fieldName":3680,"label":3681,"type":11,"valid_type":20,"description":3682,"enumValues":3683},"passwd","密码","密码是用户用于验证身份或访问权限的一组秘密字符，通常为字符串类型。建议使用强密码策略，长度建议在8到128个字符之间，可包含大小写字母、数字及特殊字符。",[],{"fieldName":3685,"label":3686,"type":11,"valid_type":20,"description":3687,"enumValues":3688},"destGeoAddress","目的详细地址","目的详细地址，描述网络连接接收方IP地址所对应的详细地址信息。格式为字符串，应包含国家、省/州、城市、街道等层级的详细信息，以构成一个完整的物理位置描述。",[],{"fieldName":3690,"label":3691,"type":11,"valid_type":33,"description":3692,"enumValues":3693},"expirationTime","过期时间","域名注册有效期的截止时间，采用标准的日期时间格式表示。格式要求为 yyyy-mm-dd HH:mm:ss，例如 2024-01-15 12:00:00。",[],{"fieldName":3695,"label":3696,"type":1524,"valid_type":20,"description":3697,"enumValues":3698},"alertNames","告警名称列表","告警名称列表，记录安全事件生命周期中关联的所有告警规则名称集合。该字段为字符串数组，数组内每个元素为一个告警名称字符串。",[],{"fieldName":3700,"label":3701,"type":11,"valid_type":20,"description":3702,"enumValues":3703},"cabinetPosition","机柜位置","机柜位置用于标识资产所在机柜的物理位置。",[],{"fieldName":3705,"label":3706,"type":11,"valid_type":20,"description":3707,"enumValues":3708},"taskName","任务名称","任务名称或标题，用于标识和识别特定任务。",[],{"fieldName":3710,"label":3711,"type":11,"valid_type":20,"description":3712,"enumValues":3713},"middlewareName","中间件名","中间件软件的产品名称，例如：Tomcat、Nginx、Apache等。",[],{"fieldName":3715,"label":3716,"type":1524,"valid_type":28,"description":3717,"enumValues":3718},"destAddrList","目的IP列表","目的IP列表记录安全事件中所有唯一目的IP地址的集合。该字段为数组类型，每个元素必须是合法的IPv4或IPv6地址格式。",[],{"fieldName":3720,"label":3721,"type":11,"valid_type":20,"description":3722,"enumValues":3723},"fileOwner","文件所有者","文件的所有者用户名称，格式为字符串类型，通常为操作系统中的有效用户名，支持字母、数字、下划线等常见字符。",[],{"fieldName":3725,"label":3726,"type":11,"valid_type":20,"description":3727,"enumValues":3728},"assetRegion","资产区域","资产的逻辑部署位置，例如DMZ区、内网等。",[],{"fieldName":3730,"label":3731,"type":11,"valid_type":20,"description":3732,"enumValues":3733},"scriptPath","脚本路径","脚本路径指被执行的脚本文件在文件系统中的完整路径，其值应为有效的文件系统路径字符串，格式应符合操作系统规范，例如在Unix/Linux系统中以正斜杠（/）分隔目录，在Windows系统中以反斜杠（\\）或正斜杠（/）分隔目录。",[],{"fieldName":3735,"label":3736,"type":11,"valid_type":20,"description":3737,"enumValues":3738},"hostName","主机名称","主机在网络中的标识名称，通常用于在局域网或DNS系统中识别特定设备，例如NetBIOS名称或DNS主机名。格式要求：必须为有效的字符串，允许使用字母、数字、连字符（-）和点号（.），但不得以连字符或点号开头或结尾。",[],{"fieldName":3740,"label":3741,"type":11,"valid_type":20,"description":3742,"enumValues":3743},"assetGeoCountyCode","资产所在区县代码","资产物理位置区县的行政区划代码，遵循国家行政区划编码标准。",[],{"fieldName":3745,"label":3746,"type":140,"valid_type":20,"description":3747,"enumValues":3748},"appProtocol","应用协议","应用协议字段表示OSI模型中应用层使用的协议类型。该字段为枚举类型，取值范围应在预定义的协议标识符列表中。",[3749,3751,3753,3755,3757,3759,3761,3763,3765,3767,3769,3771,3773,3775,3777,3779,3781,3783,3785,3787,3789,3791,3793,3795,3797,3799,3801,3803,3805,3807,3809,3811,3813,3815,3817,3819,3821,3823,3825,3827,3829,3831,3833,3835,3837,3839,3841,3843,3845,3847,3849,3851,3853,3855,3857,3859,3861,3863,3865,3867,3869,3871,3873,3875],{"value":3750,"title":3750,"description":3750},"discard",{"value":3752,"title":3752,"description":3752},"auth",{"value":3754,"title":3754,"description":3754},"ssh",{"value":3756,"title":3756,"description":3756},"echo",{"value":3758,"title":3758,"description":3758},"snmp",{"value":3760,"title":3760,"description":3760},"ldaps",{"value":3762,"title":3762,"description":3762},"nntp",{"value":3764,"title":3764,"description":3764},"ldap",{"value":3766,"title":3766,"description":3766},"telnet",{"value":3768,"title":3768,"description":3768},"x11",{"value":3770,"title":3770,"description":3770},"mysql",{"value":3772,"title":3772,"description":3772},"https",{"value":3774,"title":3774,"description":3774},"radius",{"value":3776,"title":3776,"description":3776},"netbios-ns",{"value":3778,"title":3778,"description":3778},"snmptrap",{"value":3780,"title":3780,"description":3780},"wins",{"value":3782,"title":3782,"description":3782},"oracle",{"value":3784,"title":3784,"description":3784},"printer",{"value":3786,"title":3786,"description":3786},"dns",{"value":3788,"title":3788,"description":3788},"rtsp",{"value":3790,"title":3790,"description":3790},"nnsp",{"value":3792,"title":3792,"description":3792},"dhcpv6-server",{"value":3794,"title":3794,"description":3794},"ipx",{"value":3796,"title":3796,"description":3796},"netbios-dgm",{"value":3798,"title":3798,"description":3798},"pop2",{"value":3800,"title":3800,"description":3800},"pop3",{"value":3802,"title":3802,"description":3802},"chargen",{"value":3804,"title":3804,"description":3804},"http",{"value":3806,"title":3806,"description":3806},"sftp",{"value":3808,"title":3808,"description":3808},"nfs",{"value":3810,"title":3810,"description":3810},"qotd",{"value":3812,"title":3812,"description":3812},"uucp",{"value":3814,"title":3814,"description":3814},"squid",{"value":3816,"title":3816,"description":3816},"daytime",{"value":3818,"title":3818,"description":3818},"telnets",{"value":3820,"title":3820,"description":3820},"smb",{"value":3822,"title":3822,"description":3822},"bgp",{"value":3824,"title":3824,"description":3824},"tacacs",{"value":3826,"title":3826,"description":3826},"tftp",{"value":3828,"title":3828,"description":3828},"isakmp",{"value":3830,"title":3830,"description":3830},"irc",{"value":3832,"title":3832,"description":3832},"rcp",{"value":3834,"title":3834,"description":3834},"postgres",{"value":3836,"title":3836,"description":3836},"finger",{"value":3838,"title":3838,"description":3838},"ftps",{"value":3840,"title":3840,"description":3840},"imap",{"value":3842,"title":3842,"description":3842},"ftp",{"value":3844,"title":3844,"description":3844},"smtp",{"value":3846,"title":3846,"description":3846},"dhcpv6-client",{"value":3848,"title":3848,"description":3848},"ms-sql-m",{"value":3850,"title":3850,"description":3850},"ircs",{"value":3852,"title":3852,"description":3852},"ntp",{"value":3854,"title":3854,"description":3854},"ms-sql-s",{"value":3856,"title":3856,"description":3856},"bootpc",{"value":3858,"title":3858,"description":3858},"pop3s",{"value":3860,"title":3860,"description":3860},"rsync",{"value":3862,"title":3862,"description":3862},"timbuktu",{"value":3864,"title":3864,"description":3864},"nntps",{"value":3866,"title":3866,"description":3866},"sunrpc",{"value":3868,"title":3868,"description":3868},"imaps",{"value":3870,"title":3870,"description":3870},"ircd",{"value":3872,"title":3872,"description":3872},"bootps",{"value":3874,"title":3874,"description":3874},"netbios-ssn",{"value":3876,"title":3876,"description":3876},"rdp",{"fieldName":3878,"label":3879,"type":25,"valid_type":24,"description":3880,"enumValues":3881},"isCrossBorder","是否涉及出境","标识文件或数据是否涉及国家边境传输。字段类型为布尔值，取值为true或false，分别表示涉及出境和不涉及出境。",[],{"fieldName":3883,"label":3884,"type":140,"valid_type":20,"description":3885,"enumValues":3886},"industry","所属行业","资产所属的国民经济行业分类，用于标识资产所在领域的业务性质、监管环境和安全要求。",[3887,3891,3895,3897,3901,3905,3909,3913,3917,3921,3925,3929,3933,3937,3940,3944,3948,3952,3956,3960,3964,3968,3972,3976,3980,3984,3988,3992,3996,4000,4004,4008,4012,4016,4020,4024,4028,4032,4036,4040,4044,4048],{"value":3888,"title":3889,"description":3890},"insurance","保险行业","从事各类保险业务经营，通过契约形式集中资金并提供风险保障的金融行业。",{"value":3892,"title":3893,"description":3894},"medical","医疗","从事疾病诊断、治疗、预防、康复以及公共卫生服务的行业。",{"value":310,"title":119,"description":3896},"未包含在上述分类中的其他行业或领域。",{"value":3898,"title":3899,"description":3900},"education","教育","从事各级各类教育、培训及相关支持服务的行业。",{"value":3902,"title":3903,"description":3904},"information_services","信息服务","从事信息技术咨询、软件开发、数据处理、系统集成及互联网平台服务等的行业。",{"value":3906,"title":3907,"description":3908},"social_security","人事劳动和社会保障","负责人力资源管理、就业服务、劳动关系协调及社会保险经办管理的行政机关。",{"value":3910,"title":3911,"description":3912},"electric_power","电力行业","从事电力生产（发电）、输送（输配电）和供应的行业。",{"value":3914,"title":3915,"description":3916},"judiciary","司法","负责司法行政工作，包括监狱管理、律师公证、法律援助、普法宣传等的行政机关。",{"value":3918,"title":3919,"description":3920},"industry_commerce","工商行政管理","负责市场主体登记注册、市场监管、反垄断、消费者权益保护等市场监督管理的行政机关。",{"value":3922,"title":3923,"description":3924},"telecommunications","电信","从事固定及移动通信网络运营、互联网接入及信息传送服务的行业。",{"value":3926,"title":3927,"description":3928},"banking","银行","从事吸收存款、发放贷款、办理结算等业务的金融中介机构。",{"value":3930,"title":3931,"description":3932},"securities","证券行业","从事证券发行、交易、投资咨询、资产管理等业务的金融行业。",{"value":3934,"title":3935,"description":3936},"agriculture","农业","从事种植业、林业、畜牧业、渔业等农业生产及相关服务的行业。",{"value":365,"title":3938,"description":3939},"政府","国家各级权力机关、行政机关、司法机关等履行公共管理与服务职能的机构。",{"value":3941,"title":3942,"description":3943},"civil_aviation","民航","从事民用航空运输、机场服务、空中交通管制及航空保障的行业。",{"value":3945,"title":3946,"description":3947},"development_reform","发展改革","负责拟定并组织实施国民经济和社会发展战略、规划，推进经济体制改革的宏观调控部门。",{"value":3949,"title":3950,"description":3951},"audit","审计","依法对政府及企事业单位财政、财务收支的真实、合法和效益进行独立监督的行政机关。",{"value":3953,"title":3954,"description":3955},"customs","海关","负责对进出境货物、物品及运输工具进行监管、征税、缉私的国家行政机关。",{"value":3957,"title":3958,"description":3959},"construction","建筑","从事房屋建筑、土木工程、建筑安装及装饰装修等工程活动的行业。",{"value":3961,"title":3962,"description":3963},"railway","铁路","从事国家铁路、地方铁路及城市轨道交通的运营、建设与管理的行业。",{"value":3965,"title":3966,"description":3967},"publicity","宣传","负责意识形态、新闻出版、思想道德建设及精神文明创建的职能领域。",{"value":3969,"title":3970,"description":3971},"social_insurance","社保","负责养老保险、医疗保险、失业保险、工伤保险、生育保险等社会保险经办管理的机构。",{"value":3973,"title":3974,"description":3975},"water_conservancy","水利","从事防洪、灌溉、供水、水力发电、水土保持等水利工程建设与管理的行业。",{"value":3977,"title":3978,"description":3979},"energy","能源","从事煤炭、石油、天然气、电力、新能源等能源资源开采、生产与供应的行业。",{"value":3981,"title":3982,"description":3983},"defense_technology","国防科技工业","从事武器装备科研、生产及相关配套服务，服务于国防建设的战略性产业。",{"value":3985,"title":3986,"description":3987},"environmental_protection","环境保护","负责环境污染防治、生态保护、环境监测与执法等环境保护管理的行政机关。",{"value":3989,"title":3990,"description":3991},"public_utilities","公共事业","面向社会提供自来水、燃气、供热、公共交通等基础性、公益性服务的行业。",{"value":3993,"title":3994,"description":3995},"commerce_trade","商业贸易","从事商品批发、零售、进出口贸易及相关服务的行业。",{"value":3997,"title":3998,"description":3999},"transportation","交通","从事旅客和货物运输、仓储及交通辅助服务的行业。",{"value":4001,"title":4002,"description":4003},"broadcasting","广电","从事广播、电视节目制作、播出、传输以及相关网络视听服务的行业。",{"value":4005,"title":4006,"description":4007},"commercial_internet","经营性公众互联网","指向社会公众提供互联网信息服务的营利性企业。",{"value":4009,"title":4010,"description":4011},"diplomacy","外交","负责处理国家对外关系、维护国家主权与利益、开展国际交流与合作的行政机关。",{"value":4013,"title":4014,"description":4015},"public_finance","财政","负责政府收支、财税政策、国有资产管理等宏观经济管理的行政机关。",{"value":4017,"title":4018,"description":4019},"science_technology","科技行业","从事科学研究、技术开发、成果转化及高新技术产业化的领域。",{"value":4021,"title":4022,"description":4023},"culture","文化","从事新闻出版、广播影视、文化艺术、文物保护等文化事业与产业的领域。",{"value":4025,"title":4026,"description":4027},"public_security","公安","承担维护国家安全和社会治安秩序、打击犯罪等职能的行政机关。",{"value":4029,"title":4030,"description":4031},"quality_supervision","质量监督检验检疫","负责产品质量、计量、标准化、认证认可及出入境检验检疫监督管理的行政机关。",{"value":4033,"title":4034,"description":4035},"postal","邮政","从事信件、包裹等邮件寄递以及邮政金融、快递物流服务的行业。",{"value":4037,"title":4038,"description":4039},"taxation","税务","负责税收征收、管理和稽查的国家行政机关。",{"value":4041,"title":4042,"description":4043},"finance","金融","从事资金融通、信用活动及相关金融服务的行业总称，包括银行、证券、保险等。",{"value":4045,"title":4046,"description":4047},"land_resources","国土资源","负责土地、矿产、海洋等自然资源规划、管理、保护与合理利用的行政机关。",{"value":4049,"title":4050,"description":4051},"statistics","统计","负责组织实施国民经济和社会发展情况统计调查、分析与发布的行政机关。",{"fieldName":4053,"label":4054,"type":11,"valid_type":20,"description":4055,"enumValues":4056},"busSystemVersion","业务系统版本","业务系统的具体版本号，格式为字符串类型，通常采用主版本号.次版本号.修订号的格式。",[],{"fieldName":4058,"label":4059,"type":11,"valid_type":20,"description":4060,"enumValues":4061},"appletName","小程序名称","小程序产品的名称标识，用于区分不同的小程序产品。",[],{"fieldName":4063,"label":4064,"type":11,"valid_type":20,"description":4065,"enumValues":4066},"cve","CVE编号","该字段表示通用漏洞披露(CVE)标准漏洞标识符，用于唯一标识一个公开的网络安全漏洞。其格式必须严格遵循“CVE-YYYY-NNNN…”模式，其中YYYY为4位数字的年份，NNNN…为漏洞在该年份中的序列号（数字位数不固定）。例如：CVE-2012-3152。",[],{"fieldName":4068,"label":4069,"type":11,"valid_type":20,"description":4070,"enumValues":4071},"osVersion","操作系统版本","操作系统版本号，描述设备运行的操作系统的具体版本信息。通常由主版本号、次版本号、修订号等部分组成。",[],{"fieldName":4073,"label":4074,"type":11,"valid_type":20,"description":4075,"enumValues":4076},"threatActorOrgId","威胁组织ID","威胁情报IOC所属组织或家族的唯一标识符，通常采用UUID格式的字符串，由32位十六进制数字组成。",[],{"fieldName":4078,"label":4079,"type":11,"valid_type":20,"description":4080,"enumValues":4081},"requestUrl","请求URL","该字段表示HTTP请求URL中从根路径'/'开始到查询字符串'?'之前的部分，用于标识请求的资源路径。其值必须是一个合法的URL路径字符串，通常以'/'开头，不应包含协议、域名、端口或查询参数（即'?'及之后的内容）。字符串内容应符合URL路径的通用规范，可以包含字母、数字以及特定的安全字符（如-._~!$&'()*+,;=:@%）。",[],{"fieldName":4083,"label":4084,"type":1524,"valid_type":20,"description":4085,"enumValues":4086},"securityGroupIds","安全组ID列表","该字段表示云服务商分配的网络安全组（Security Group）的唯一标识符列表。",[],{"fieldName":4088,"label":4089,"type":11,"valid_type":20,"description":4090,"enumValues":4091},"assetUserPhone","资产使用人联系手机号","资产使用人的联系手机号，用于安全联络，必须符合手机号码格式规范。",[],{"fieldName":4093,"label":4094,"type":11,"valid_type":20,"description":4095,"enumValues":4096},"failReason","失败原因","记录操作失败的具体技术原因和上下文信息，通常为字符串文本，用于说明导致失败的详细技术细节或环境因素。",[],{"fieldName":4098,"label":4099,"type":11,"valid_type":20,"description":4100,"enumValues":4101},"fileGroup","文件所属组","文件或目录的所有权归属组，表示文件在系统中的组权限归属。",[],{"fieldName":4103,"label":4104,"type":11,"valid_type":20,"description":4105,"enumValues":4106},"vulDetector","漏洞发现者","漏洞发现者字段记录首次发现并报告该漏洞的个人、组织或研究团队的名称。",[],{"fieldName":4108,"label":4109,"type":1524,"valid_type":20,"description":4110,"enumValues":4111},"participants","参与人","该字段记录参与安全事件响应和处理的所有相关人员列表，存储格式为字符串数组。",[],{"fieldName":4113,"label":4114,"type":17,"valid_type":16,"description":4115,"enumValues":4116},"bytesOut","响应字节数","响应字节数，用于统计服务器响应消息的字节总量。该字段为长整型数值，其值必须为非负整数，表示字节数。",[],{"fieldName":4118,"label":4119,"type":11,"valid_type":20,"description":4120,"enumValues":4121},"vmName","虚拟机名称","虚拟机在虚拟化环境中的可读标识名称，用于唯一区分不同的虚拟机实例。格式为字符串类型，通常由字母、数字、连字符（-）或下划线（_）组成。",[],{"fieldName":4123,"label":4124,"type":11,"valid_type":20,"description":4125,"enumValues":4126},"vulName","漏洞名称","漏洞的标准化描述性名称，用于唯一标识特定漏洞类型。通常遵循行业通用命名规范，如CVE编号、CNVD编号或厂商公开的漏洞公告名称。",[],{"fieldName":4128,"label":4129,"type":25,"valid_type":24,"description":4130,"enumValues":4131},"isCriticalInfra","是否关基资产","表示资产是否属于国家标准定义的关键基础设施。该字段为布尔类型，仅接受 true 或 false 两种取值。",[],{"fieldName":4133,"label":4134,"type":11,"valid_type":20,"description":4135,"enumValues":4136},"registrarEmail","注册商邮箱","注册商邮箱是域名注册商的官方联系邮箱地址。该字段应遵循标准邮箱地址格式，包含有效的用户名和域名部分，使用@符号分隔，且域名部分应包含有效的顶级域名。",[],{"fieldName":4138,"label":4139,"type":11,"valid_type":20,"description":4140,"enumValues":4141},"sessionId","会话ID","会话ID用于标识网络连接或应用会话的唯一全局标识符。",[],{"fieldName":4143,"label":4144,"type":11,"valid_type":20,"description":4145,"enumValues":4146},"storageLimit","存储限制","可使用的存储资源上限，需指定数值和单位，支持Gi、Ti等单位，例如10Gi表示10吉字节。格式要求为数字后接单位标识，单位需大写，如Gi、Ti，数值需为正数。",[],{"fieldName":4148,"label":4149,"type":11,"valid_type":20,"description":4150,"enumValues":4151},"licenseKey","许可密钥","许可密钥是用于验证用户合法使用软件或硬件产品的唯一识别码。其格式通常为一系列由连字符分隔的字母数字组合，示例格式如：XXXXX-XXXXX-XXXXX-XXXXX-XXXXX。",[],{"fieldName":4153,"label":4154,"type":25,"valid_type":24,"description":4155,"enumValues":4156},"isCriticalProtection","是否等保资产","表示资产是否被归类为需要特殊保护措施的关键基础设施。该字段为布尔类型，取值为 true 或 false。",[],{"fieldName":4158,"label":4159,"type":11,"valid_type":20,"description":4160,"enumValues":4161},"taskContent","任务内容","任务内容字段用于描述计划任务的具体内容或配置信息，通常包含命令、脚本路径及参数。",[],{"fieldName":4163,"label":4164,"type":25,"valid_type":24,"description":4165,"enumValues":4166},"isClassified","是否涉密","表示资产是否包含或处理涉密信息。该字段为布尔类型，取值必须为 true 或 false，分别代表“是”与“否”。",[],{"fieldName":4168,"label":4169,"type":11,"valid_type":33,"description":4170,"enumValues":4171},"endTime","结束时间","记录事件活动结束的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":4173,"label":4174,"type":7,"valid_type":6,"description":4175,"enumValues":4176},"finCount","FIN包数量","统计TCP连接正常终止过程中发送的结束(FIN)数据包数量。该字段为非负整数，表示FIN包的数量。",[],{"fieldName":4178,"label":4179,"type":11,"valid_type":20,"description":4180,"enumValues":4181},"operation","操作","该字段标识系统或用户执行的具体操作行为。其值为描述操作类型的字符串。",[],{"fieldName":4183,"label":4184,"type":17,"valid_type":16,"description":4185,"enumValues":4186},"dataSetSize","数据集大小","数据集大小，指SQL查询返回的结果数据集在内存或网络传输中的估算大小，通常以字节为单位。该字段值为长整型（long），表示一个非负整数。",[],{"fieldName":4188,"label":4189,"type":140,"valid_type":20,"description":4190,"enumValues":4191},"IoCType","情报分类","该字段表示威胁情报指标的类型，用于分类不同的威胁情报数据。格式要求：必须为预定义的枚举值之一，包括url（URL地址）、ip（IP地址）、file（文件哈希）、email（邮箱地址）和domain（域名）。",[4192,4195,4198,4200,4202],{"value":1284,"title":4193,"description":4194},"文件哈希","恶意软件、可疑文件的密码学哈希值，包括MD5、SHA1、SHA256等算法",{"value":4196,"title":3514,"description":4197},"ip","恶意活动相关的IPv4或IPv6地址，常用于命令控制服务器或攻击源标识",{"value":1304,"title":3536,"description":4199},"恶意软件命令控制、网络钓鱼或欺诈活动使用的域名",{"value":1878,"title":1879,"description":4201},"恶意软件分发、钓鱼攻击或命令控制服务器使用的统一资源定位符",{"value":4203,"title":4204,"description":4205},"email","邮箱地址","网络钓鱼、垃圾邮件或社会工程攻击中使用的电子邮件地址",{"fieldName":4207,"label":4208,"type":11,"valid_type":33,"description":4209,"enumValues":4210},"registrationTime","注册时间","域名在注册商系统中成功注册的精确时间。格式要求：必须为符合ISO 8601扩展格式的日期时间字符串，具体格式为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":4212,"label":4213,"type":11,"valid_type":20,"description":4214,"enumValues":4215},"fileDescription","文件描述","文件描述字段用于记录文件或进程的功能或用途信息。",[],{"fieldName":4217,"label":4218,"type":11,"valid_type":20,"description":4219,"enumValues":4220},"serviceType","服务类型","服务类型，用于标识在网络侧通过端口暴露或在终端侧操作系统内部运行的应用程序服务类型。",[],{"fieldName":4222,"label":4223,"type":25,"valid_type":24,"description":4224,"enumValues":4225},"fileEncrypted","文件是否加密","该字段标识文件内容是否经过加密算法保护。该字段为布尔类型，仅允许取值为 true 或 false，分别表示文件已加密和文件未加密。",[],{"fieldName":4227,"label":4228,"type":11,"valid_type":20,"description":4229,"enumValues":4230},"techniqueName","ATT&CK技术名称","ATT&CK技术名称，指攻击行为在MITRE ATT&CK框架中对应的具体攻击技术的名称。该字段为字符串类型，其值应符合MITRE ATT&CK官方技术命名规范，通常为英文短语或特定术语，例如“Phishing”。",[],{"fieldName":4232,"label":4233,"type":11,"valid_type":20,"description":4234,"enumValues":4235},"cpuModel","CPU型号","CPU型号，表示中央处理器的具体型号规格，包含厂商、架构和型号等信息。",[],{"fieldName":4237,"label":4238,"type":11,"valid_type":33,"description":4239,"enumValues":4240},"deviceReceiptTime","设备接收时间","该字段记录设备采集器本地接收并生成日志事件的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":4242,"label":4243,"type":11,"valid_type":33,"description":4244,"enumValues":4245},"modifyTime","修改时间","修改时间表示文件或对象的最后修改时间。该字段为字符串类型，必须遵循标准的日期时间格式，格式为：yyyy-mm-dd HH:mm:ss。",[],{"fieldName":4247,"label":4248,"type":11,"valid_type":20,"description":4249,"enumValues":4250},"responseAddress","返回的IP地址","该字段记录DNS查询响应中返回的IP地址信息。其值必须符合IP地址的标准格式，即IPv4点分十进制格式（如：192.168.1.1）或IPv6格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。",[],{"fieldName":4252,"label":4253,"type":7,"valid_type":6,"description":4254,"enumValues":4255},"timesPermin","尝试频率","统计每分钟内特定操作或认证尝试的次数。该字段为整数类型，表示事件发生的频率计数，取值应大于等于0。",[],{"fieldName":4257,"label":4258,"type":11,"valid_type":20,"description":4259,"enumValues":4260},"primaryGroupId","主要组ID","主要组ID是用户所属主要组的唯一标识符，格式为字符串，通常由数字组成，用于唯一标识用户的主要组。",[],{"fieldName":4262,"label":4263,"type":140,"valid_type":20,"description":4264,"enumValues":4265},"unitRole","单位角色","资产所属单位的功能角色分类。",[4266,4270,4274,4278],{"value":4267,"title":4268,"description":4269},"collaborative_unit","协同单位","在特定事务或项目中与主管单位紧密配合，承担协同执行或联合管理职责的相关单位。",{"value":4271,"title":4272,"description":4273},"general_unit","普通单位","在管理体系内遵循常规管理要求，承担标准安全责任与义务的一般性单位。",{"value":4275,"title":4276,"description":4277},"key_unit","重点单位","因业务重要性、系统关键性或安全风险较高等因素，需要被重点管理和保障的核心单位。",{"value":4279,"title":4280,"description":4281},"regulatory_unit","监管单位","在管理体系内承担主要监管、指导或审批职责的上级或主管单位。",{"fieldName":4283,"label":4284,"type":11,"valid_type":20,"description":4285,"enumValues":4286},"icp","ICP备案号","ICP备案号是工业和信息化部颁发的互联网内容提供商备案编号，用于标识在中国境内提供互联网信息服务的合法备案主体。该字段为字符串类型，格式通常为“省份简称+ICP备+数字序列+号”。",[],{"fieldName":4288,"label":4289,"type":11,"valid_type":20,"description":4290,"enumValues":4291},"officialAccountName","公众号名称","公众号的官方认证名称，表示在微信公众平台上经过认证的公众号名称。",[],{"fieldName":4293,"label":4294,"type":7,"valid_type":6,"description":4295,"enumValues":4296},"processCount","进程数","该字段表示当前系统或资产上与特定事件或资产相关联的正在运行的进程总数。格式要求：必须为非负整数。",[],{"fieldName":4298,"label":4299,"type":11,"valid_type":20,"description":4300,"enumValues":4301},"vlanId","VLAN","VLAN标识符，用于唯一标识IEEE 802.1Q虚拟局域网。格式为字符串类型，表示一个数字ID。",[],{"fieldName":4303,"label":4304,"type":140,"valid_type":20,"description":4305,"enumValues":4306},"tiCategory","威胁情报分类","威胁情报分类，表示威胁情报IOC的情报分类。该字段为枚举类型，必须从预定义的可选值中选择一个，例如：/WhiteList（白名单）、/C2（C&C地址）、/Malware（恶意通信地址）、/PUA（不受欢迎地址）、/Exploit（漏洞利用）等。",[4307,4311,4314,4317,4321,4324,4328,4332,4335,4339,4342,4345,4349,4353],{"value":4308,"title":4309,"description":4310},"/Malware","恶意通信地址","与恶意软件相关的通信地址，包括病毒、蠕虫、勒索软件等下载或更新服务器",{"value":4312,"title":2170,"description":4313},"/Phishing","网络钓鱼网站或邮件服务器地址，伪装成可信实体骗取敏感信息",{"value":4315,"title":2263,"description":4316},"/Compromised","已被入侵的主机地址，被攻击者控制用于发起进一步攻击",{"value":4318,"title":4319,"description":4320},"/Info","信息类情报","上下文信息类威胁情报，包括攻击组织、战术技术和程序等信息",{"value":4322,"title":2311,"description":4323},"/Spam","垃圾邮件或垃圾信息源地址，发送未经请求的批量商业或恶意信息",{"value":4325,"title":4326,"description":4327},"/Suspicious","可疑类情报","行为异常或具有潜在威胁的指标，需要进一步安全分析和调查",{"value":4329,"title":4330,"description":4331},"/BruteForce","暴力破解","暴力破解攻击源地址，系统化尝试猜测认证凭证和密码",{"value":4333,"title":2251,"description":4334},"/WhiteList","可信实体或指标列表，用于减少误报和排除合法流量",{"value":4336,"title":4337,"description":4338},"/Others","其他类情报","不属于上述标准分类的其他类型威胁情报指标",{"value":4340,"title":2235,"description":4341},"/Spider","网络爬虫或机器人地址，自动抓取网页内容可能用于信息收集",{"value":4343,"title":2239,"description":4344},"/Scanner","网络扫描活动源地址，探测网络漏洞、开放端口和服务信息",{"value":4346,"title":4347,"description":4348},"/PUA","不受欢迎地址","可能不需要的应用程序相关地址，虽非恶意但可能带来隐私或安全风险",{"value":4350,"title":4351,"description":4352},"/Exploit","漏洞利用","漏洞利用工具或攻击代码相关地址，用于软件漏洞攻击和权限提升",{"value":4354,"title":4355,"description":4356},"/C2","C&C地址","命令与控制服务器地址，恶意软件与攻击者通信的控制通道",{"fieldName":4358,"label":4359,"type":11,"valid_type":20,"description":4360,"enumValues":4361},"startAddress","起始地址","起始地址是新线程开始执行的内存虚拟地址，指向线程代码的入口点。格式要求为十六进制字符串，通常以\"0x\"前缀开头，后跟十六进制数字（0-9， a-f）。",[],{"fieldName":4363,"label":4364,"type":11,"valid_type":20,"description":4365,"enumValues":4366},"homePath","主目录路径","该字段表示用户主目录的本地路径或环境变量解析路径。其值应为符合操作系统规范的文件系统路径字符串，可以包含盘符、目录分隔符（如反斜杠`\\`或正斜杠`/`）以及环境变量引用（例如`%USERPROFILE%`或`$HOME`）。",[],{"fieldName":4368,"label":4369,"type":11,"valid_type":20,"description":4370,"enumValues":4371},"idc","IDC服务商","该字段表示托管资产的互联网数据中心(IDC)的服务提供商名称。字段值为字符串类型，需使用规范、完整的数据中心服务商名称。",[],{"fieldName":4373,"label":4374,"type":11,"valid_type":20,"description":4375,"enumValues":4376},"deviceSerialNumber","设备序列号","设备序列号是硬件设备制造商分配的唯一序列标识符，用于唯一标识设备。",[],{"fieldName":4378,"label":4379,"type":11,"valid_type":20,"description":4380,"enumValues":4381},"backupPolicy","备份策略","备份策略配置，用于定义数据备份和恢复的执行规则与计划。格式为字符串类型，通常包含策略的启用状态、备份频率、保留周期等具体配置信息。",[],{"fieldName":4383,"label":4384,"type":11,"valid_type":20,"description":4385,"enumValues":4386},"authPackageName","认证包名称","认证包名称是Windows安全支持提供程序接口(SSPI)使用的身份验证包名称，用于标识特定的认证机制。该字段为字符串类型，需符合Windows SSPI的规范定义。",[],{"fieldName":4388,"label":4389,"type":11,"valid_type":20,"description":4390,"enumValues":4391},"name","概要名称","概要名称是日志或告警的简要标题或标识，用于快速识别事件内容。该字段为字符串类型，需保持简洁明了。",[],{"fieldName":4393,"label":4394,"type":11,"valid_type":20,"description":4395,"enumValues":4396},"shareName","共享名称","共享资源的名称，用于标识可通过网络访问的共享资源（例如文件共享、打印机）。该字段为字符串类型，其格式通常遵循Windows网络共享的通用命名约定（UNC）。",[],{"fieldName":4398,"label":4399,"type":11,"valid_type":20,"description":4400,"enumValues":4401},"ticketHash","票据哈希","该字段存储Kerberos认证协议中经过哈希算法处理后的凭证特征值，用于唯一标识认证票据。其值为一个固定长度的字符串，通常由特定哈希算法（如SHA-256）生成，表现为一个十六进制编码的哈希值。",[],{"fieldName":4403,"label":4404,"type":11,"valid_type":20,"description":4405,"enumValues":4406},"compatibility","兼容性","该字段描述软件或硬件产品与操作系统版本的兼容性范围。通常以文本形式说明支持的操作系统名称、版本号及架构要求。",[],{"fieldName":4408,"label":4409,"type":11,"valid_type":20,"description":4410,"enumValues":4411},"wmiConsumer","WMI消费者","该字段表示处理WMI事件的消费者名称。其值通常为包含消费者名称的字符串，格式应符合WMI事件消费者对象的命名规范。",[],{"fieldName":4413,"label":4414,"type":11,"valid_type":20,"description":4415,"enumValues":4416},"vulCode","漏洞编号","漏洞编号，指按照CNVD、CNNVD等国家标准漏洞库定义的格式进行标识的漏洞唯一标识符。格式需符合相应标准编号规范，通常为“标准前缀-年份-序列号”的结构，例如CNVD-YYYY-XXXXX或CNNVD-YYYY-XXX。",[],{"fieldName":4418,"label":4419,"type":17,"valid_type":16,"description":4420,"enumValues":4421},"bytesInAndOut","总字节数","该字段用于统计网络接口或会话中双向传输的字节累计总量，即入站与出站字节数之和。其值为长整型（long）数字，表示字节数量，必须为非负整数。",[],{"fieldName":4423,"label":4424,"type":140,"valid_type":20,"description":4425,"enumValues":4426},"passwordComplexity","密码复杂度","密码策略的复杂度等级，用于定义密码必须满足的复杂性要求。取值必须为预定义的枚举值之一：Low (低复杂度)、Medium (中等复杂度) 或 High (高复杂度)。",[4427,4430,4433],{"value":616,"title":4428,"description":4429},"高复杂度","要求大小写字母、数字和特殊字符组合，高强度安全要求",{"value":619,"title":4431,"description":4432},"低复杂度","基础密码要求，通常仅要求最小长度",{"value":622,"title":4434,"description":4435},"中等复杂度","要求混合字符类型（字母+数字），中等长度要求",{"fieldName":4437,"label":4438,"type":7,"valid_type":6,"description":4439,"enumValues":4440},"connectCount","连接数量","连接数量是指统计当前活跃的网络连接会话总数。该字段为整数类型，取值范围为0到4294967295，代表非负的连接数量统计值。",[],{"fieldName":4442,"label":4443,"type":11,"valid_type":20,"description":4444,"enumValues":4445},"assetGeoCity","资产所处城市","资产当前所在的城市名称，使用字符串格式表示。",[],{"fieldName":4447,"label":4448,"type":140,"valid_type":20,"description":4449,"enumValues":4450},"licenseType","许可类型","许可类型标识软件许可证的法律授权类型，该字段为枚举类型，必须从以下预定义值中选择其一：PublicDomain（公共领域许可）、Permissive（宽松许可）、LGPL（GNU宽通用公共许可）、Copyleft（著佐权许可）、Proprietary（专有许可），或其他（Other）。取值必须与示例值格式完全一致。",[4451,4455,4459,4463,4467,4471],{"value":4452,"title":4453,"description":4454},"Copyleft","著佐权许可","要求衍生作品保持相同授权的许可证，如GPL",{"value":4456,"title":4457,"description":4458},"Copyright","版权保留许可","保留所有权利的版权声明，需明确授权才能使用",{"value":4460,"title":4461,"description":4462},"LGPL","GNU宽通用公共许可","GNU较宽松公共许可证，允许与专有软件链接",{"value":4464,"title":4465,"description":4466},"Permissive","宽松许可","限制极少的开源许可证，如MIT、BSD、Apache许可证",{"value":4468,"title":4469,"description":4470},"Proprietary","专有许可","传统商业软件许可，限制复制、修改和再分发",{"value":4472,"title":4473,"description":4474},"PublicDomain","公共领域许可","作品已进入公共领域，无版权限制，可自由使用",{"fieldName":4476,"label":4477,"type":1524,"valid_type":28,"description":4478,"enumValues":4479},"scanIpList","扫描IP列表","记录网络扫描活动中被探测的目标IP地址集合。格式要求：数组中的每个元素必须是合法的IPv4或IPv6地址格式。",[],{"fieldName":4481,"label":4482,"type":11,"valid_type":20,"description":4483,"enumValues":4484},"destServiceName","目标服务名称","该字段表示被访问或引用的目标服务名称，例如主机名、数据库实例名或应用服务标识。",[],{"fieldName":4486,"label":4487,"type":11,"valid_type":20,"description":4488,"enumValues":4489},"transMode","传输模式","数据传输采用的协议模式，通常用于指定文件传输或数据交换的协议格式。本字段为字符串类型，常见取值为表示特定传输模式的标识符，例如 \"netascii\"（网络ASCII模式）、\"octet\"（二进制八位字节模式）或 \"mail\"（邮件模式）。",[],{"fieldName":4491,"label":4492,"type":11,"valid_type":20,"description":4493,"enumValues":4494},"ruleName","规则名称","规则名称是安全规则的描述性标识。该字段为字符串类型，建议使用简洁、明确且能概括规则内容的名称。名称中可包含漏洞编号、攻击类型或防护对象等关键信息，以提高可读性和识别度。",[],{"fieldName":4496,"label":4497,"type":17,"valid_type":16,"description":4498,"enumValues":4499},"pktsOut","流出数据包数","流出数据包数，用于统计网络接口或会话发送的出方向数据包总数。该字段值为非负长整型数值。",[],{"fieldName":4501,"label":4502,"type":11,"valid_type":20,"description":4503,"enumValues":4504},"closeUser","关闭操作者","该字段标识执行事件关闭操作的用户或系统实体。其值为字符串类型，用于记录关闭操作的发起者。",[],{"fieldName":4506,"label":4507,"type":140,"valid_type":20,"description":4508,"enumValues":4509},"machineType","机器类型","标识设备的物理形态特征、部署架构和运行环境类型。本字段为枚举类型，有效值包括但不限于：physicalServer（物理服务器）、virtualMachine（虚拟机）、container（容器）、cloudInstance（云实例）、workstation（工作站）等预定义选项，需从中选择其一。",[4510,4513,4515,4519,4523,4525,4529,4533,4537,4541,4545,4549],{"value":4511,"title":3540,"description":4512},"virtualMachine","在虚拟化平台上运行的虚拟化实例",{"value":3479,"title":3480,"description":4514},"容器化运行环境实例",{"value":4516,"title":4517,"description":4518},"networkDevice","网络设备","交换机、路由器等网络基础设施设备",{"value":4520,"title":4521,"description":4522},"iotDevice","物联网设备","物联网终端和边缘计算设备",{"value":310,"title":1458,"description":4524},"未分类的其他设备类型",{"value":4526,"title":4527,"description":4528},"storageDevice","存储设备","NAS、SAN等专用存储设备",{"value":4530,"title":4531,"description":4532},"mobileDevice","移动设备","智能手机、平板等移动终端",{"value":4534,"title":4535,"description":4536},"cloudInstance","云实例","云服务商提供的计算实例",{"value":4538,"title":4539,"description":4540},"workstation","工作站","桌面工作站设备",{"value":4542,"title":4543,"description":4544},"securityDevice","安全设备","防火墙、IDS/IPS等专用安全设备",{"value":4546,"title":4547,"description":4548},"physicalServer","物理服务器","独立物理硬件设备，部署在本地数据中心",{"value":4550,"title":4551,"description":4552},"laptop","笔记本电脑","便携式移动计算设备",{"fieldName":4554,"label":4555,"type":11,"valid_type":20,"description":4556,"enumValues":4557},"departmentHeadPhone","部门负责人手机号","部门负责人的手机号码。格式要求：必须是有效的手机号码格式。",[],{"fieldName":4559,"label":4560,"type":11,"valid_type":20,"description":4561,"enumValues":4562},"destGeoCity","目的城市","目的城市是指网络连接接收方IP地址所对应的城市级别行政区域名称。该字段为字符串类型，需使用标准城市名称。",[],{"fieldName":4564,"label":4565,"type":140,"valid_type":20,"description":4566,"enumValues":4567},"shareProperty","共享属性","共享属性用于定义各类资产的共享权限和范围分类。本字段为枚举类型，其值必须为预定义的选项之一，不可随意填写。可选值包括：no_sharing (禁止共享)、internal_share (内部共享)、department_share (部门共享)、partner_share (合作伙伴共享)、public_share (公开共享)。",[4568,4572,4576,4580,4584,4588],{"value":4569,"title":4570,"description":4571},"department_share","部门共享","资产可在特定部门或业务单元内共享",{"value":4573,"title":4574,"description":4575},"internal_share","内部共享","资产可在组织内部共享，但禁止向外部提供",{"value":4577,"title":4578,"description":4579},"no_sharing","禁止共享","资产禁止任何形式的共享，仅限所有者使用",{"value":4581,"title":4582,"description":4583},"public_share","公开共享","资产可对外公开共享，需符合相关法律法规",{"value":4585,"title":4586,"description":4587},"conditional_share","条件共享","资产在满足特定条件时可共享，如认证授权后",{"value":4589,"title":4590,"description":4591},"partner_share","合作伙伴共享","资产可与授权的业务合作伙伴共享",{"fieldName":4593,"label":4594,"type":7,"valid_type":6,"description":4595,"enumValues":4596},"severity","安全威胁等级","标识日志或告警的安全威胁严重程度等级。该字段为整型数值，取值范围为0至10，每个数值对应特定的威胁级别：0表示无风险，1-3表示低危，4-6表示中危，7-9表示高危，10表示危急。",[],{"fieldName":4598,"label":4599,"type":11,"valid_type":20,"description":4600,"enumValues":4601},"webServerSoftware","Web服务器软件","该字段表示网站服务运行的服务器软件名称，例如Nginx、Apache等。",[],{"fieldName":4603,"label":4604,"type":140,"valid_type":20,"description":4605,"enumValues":4606},"mailType","邮件格式","该字段标识邮件内容的格式类型，其值为枚举类型，必须在指定的枚举值范围内取值，包括：text（纯文本格式）、html（HTML格式）、multipart（多部分格式）以及others（其他格式）。",[4607,4611,4615,4619],{"value":4608,"title":4609,"description":4610},"multipart","多部分格式","邮件内容包含多个部分，如文本、HTML和附件",{"value":4612,"title":4613,"description":4614},"html","HTML格式","邮件内容为HTML格式，可能包含富文本和脚本",{"value":4616,"title":4617,"description":4618},"text","纯文本","邮件内容为纯文本格式",{"value":1324,"title":4620,"description":4621},"其他格式","其他邮件内容格式，如富文本格式等",{"fieldName":4623,"label":4624,"type":11,"valid_type":20,"description":4625,"enumValues":4626},"memorySize","内存大小","内存的总容量信息，表示目标系统或设备的内存大小。格式为数值加单位，单位通常为GB、MB等，例如：3.68GB。",[],{"fieldName":4628,"label":4629,"type":11,"valid_type":20,"description":4630,"enumValues":4631},"mailContent","邮件内容","邮件的主要文本内容体，包含邮件的详细信息和通信内容。",[],{"fieldName":4633,"label":4634,"type":11,"valid_type":20,"description":4635,"enumValues":4636},"cnnvd","CNNVD漏洞标识符","中国国家信息安全漏洞库(CNNVD)颁发的漏洞唯一标识符。该标识符遵循特定的命名格式，通常以“CNNVD-”为前缀，后接年份和月份（格式为YYYYMM），最后是三位数字的序列号，各部分之间用连字符“-”连接。完整的标准格式为：CNNVD-YYYYMM-NNN，其中NNN代表从001开始的三位顺序编号。",[],{"fieldName":4638,"label":4639,"type":11,"valid_type":20,"description":4640,"enumValues":4641},"incidentDataSource","安全事件数据源","安全事件数据源字段用于标识安全事件数据的原始来源系统和检测机制，例如安全设备、日志系统、威胁情报平台或人工报告等。",[],{"fieldName":4643,"label":4644,"type":25,"valid_type":24,"description":4645,"enumValues":4646},"publicFile","是否公开文件","该字段用于标识文件是否对外公开可访问。取值为布尔类型，仅接受 `true` 或 `false`。`true` 表示文件对外公开，`false` 表示文件不对外公开。",[],{"fieldName":4648,"label":4649,"type":7,"valid_type":6,"description":4650,"enumValues":4651},"listenPort","监听端口","监听端口是服务进程监听的网络端口号，用于接收和处理网络连接请求。端口号必须是整数类型，取值范围为0到65535。",[],{"fieldName":4653,"label":4654,"type":140,"valid_type":20,"description":4655,"enumValues":4656},"fileType","文件类型","文件类型，基于文件格式和扩展名进行分类。其值为预定义的枚举字符串，包括但不限于：Executable（可执行文件）、Script（脚本文件）、Document（文档文件）、Archive（压缩归档）、Configuration（配置文件）等共10个可选值。取值必须严格匹配预定义的枚举值。",[4657,4661,4665,4669,4673,4677,4681,4685,4689,4692],{"value":4658,"title":4659,"description":4660},"Script","脚本文件","需要解释器执行的脚本文件，如PS1、JS、PY等",{"value":4662,"title":4663,"description":4664},"Archive","压缩归档","压缩和归档文件，如ZIP、RAR、TAR等",{"value":4666,"title":4667,"description":4668},"Configuration","配置文件","系统和应用配置文件，如XML、JSON、CONF等",{"value":4670,"title":4671,"description":4672},"Log","日志文件","系统和应用程序日志文件，如LOG、EVTX、AUDIT等",{"value":4674,"title":4675,"description":4676},"Media","媒体文件","图像、音频、视频文件，如JPG、MP4、MP3等",{"value":4678,"title":4679,"description":4680},"Database","数据库文件","数据库相关文件，如MDF、DB、SQL等",{"value":4682,"title":4683,"description":4684},"Executable","可执行文件","可直接执行的程序文件，如EXE、DLL、BAT等",{"value":4686,"title":4687,"description":4688},"Document","文档文件","办公文档和文本文件，如PDF、DOC、XLS等",{"value":2412,"title":4690,"description":4691},"系统文件","操作系统核心文件，如SYS、DRV、BIN等",{"value":1457,"title":1458,"description":4693},"未分类的其他文件类型",{"fieldName":4695,"label":4696,"type":11,"valid_type":28,"description":4697,"enumValues":4698},"gateway","默认网关","默认网关IP地址，用于标识网络设备的出口网关。必须符合IP地址格式规范，即由四个0-255之间的十进制整数组成，以点号分隔，例如：192.168.1.1。",[],{"fieldName":4700,"label":4701,"type":11,"valid_type":20,"description":4702,"enumValues":4703},"srcNtDomain","来源NT域","来源设备所属的Windows NT域名，用于标识源设备在Windows网络中的域成员身份。该字段为字符串类型，通常由字母、数字、连字符(-)和点号(.)组成。",[],{"fieldName":4705,"label":4706,"type":11,"valid_type":20,"description":4707,"enumValues":4708},"defaultValue","默认值","默认值指数据库列在插入新记录时，若未显式指定值，系统将自动赋予的初始值。",[],{"fieldName":4710,"label":4711,"type":11,"valid_type":20,"description":4712,"enumValues":4713},"diskModel","硬盘型号","硬盘型号信息，用于标识存储设备的具体硬盘型号。该字段为字符串类型，通常由厂商定义的型号标识符组成。",[],{"fieldName":4715,"label":4716,"type":11,"valid_type":28,"description":4717,"enumValues":4718},"assetAddress","资产IP地址","资产在管理系统中所记录的唯一网络标识符，用于定位和访问该资产。格式要求：必须符合标准的IPv4或IPv6地址格式，例如点分十进制表示法（如192.168.1.1）或IPv6的冒号分隔十六进制表示法。",[],{"fieldName":4720,"label":4721,"type":140,"valid_type":20,"description":4722,"enumValues":4723},"opType","操作类型","操作类型，标识事件中对目标对象执行的具体操作行为。本字段为枚举类型，其值必须为预定义的操作类型字符串，例如：read（读取）、write（写入）、create（创建）、delete（删除）、modify（修改）等。",[4724,4728,4732,4736,4740,4744,4748,4752,4756,4760,4764,4768,4772,4776,4780,4783,4787,4791,4795,4799,4801,4805,4809,4813,4817,4821,4825,4829,4833],{"value":4725,"title":4726,"description":4727},"resetPassword","重置密码","密码重置操作，包括管理员重置用户密码、密码恢复等",{"value":4729,"title":4730,"description":4731},"access","访问","资源访问操作，包括进程访问、内存访问、共享资源访问等",{"value":4733,"title":4734,"description":4735},"addedGroup","添加至组","组成员添加操作，包括用户添加到组、计算机加入域等",{"value":4737,"title":4738,"description":4739},"login","登录","身份认证成功操作，包括系统登录、应用登录、远程访问登录等",{"value":4741,"title":4742,"description":4743},"delete","删除","删除对象操作，包括文件删除、注册表项删除、用户账户删除等",{"value":4745,"title":4746,"description":4747},"listen","监听","网络监听操作，包括端口监听、会话监听、事件监听等",{"value":4749,"title":4750,"description":4751},"logout","登出","会话终止操作，包括用户登出、会话超时、强制注销等",{"value":4753,"title":4754,"description":4755},"load","加载","模块加载操作，包括驱动加载、DLL加载、插件加载等",{"value":4757,"title":4758,"description":4759},"removedGroup","组中移除","组成员移除操作，包括用户从组中移除、计算机脱离域等",{"value":4761,"title":4762,"description":4763},"enable","启用","对象启用操作，包括用户账户启用、服务启用、策略启用等",{"value":4765,"title":4766,"description":4767},"create","创建","创建新对象操作，包括文件创建、进程创建、用户账户创建等",{"value":4769,"title":4770,"description":4771},"lock","锁定","对象锁定操作，包括用户账户锁定、会话锁定、资源锁定等",{"value":4773,"title":4774,"description":4775},"write","写入","写入数据操作，包括文件写入、注册表修改、配置变更等",{"value":4777,"title":4778,"description":4779},"connect","连接","网络连接操作，包括网络连接建立、会话创建、远程连接等",{"value":1324,"title":4781,"description":4782},"其他操作","未分类的其他操作类型",{"value":4784,"title":4785,"description":4786},"combine","组合操作","复合操作类型，表示多个操作的组合执行",{"value":4788,"title":4789,"description":4790},"receive","接收","数据接收操作，包括网络数据接收、邮件接收、消息接收等",{"value":4792,"title":4793,"description":4794},"read","读取","读取数据操作，包括文件读取、注册表查询、内存读取等",{"value":4796,"title":4797,"description":4798},"unlock","解锁","对象解锁操作，包括用户账户解锁、会话解锁、资源解锁等",{"value":148,"title":149,"description":4800},"数据查询操作，包括数据库查询、目录查询、信息检索等",{"value":4802,"title":4803,"description":4804},"start","启动","服务启动操作，包括系统服务启动、计划任务触发、守护进程启动等",{"value":4806,"title":4807,"description":4808},"execute","执行","程序执行操作，包括进程启动、命令执行、脚本运行等",{"value":4810,"title":4811,"description":4812},"changePassword","修改密码","密码修改操作，包括用户密码修改、服务账户密码变更等",{"value":4814,"title":4815,"description":4816},"modify","修改","修改对象属性操作，包括文件属性修改、权限变更、配置调整等",{"value":4818,"title":4819,"description":4820},"stop","停止","服务停止操作，包括系统服务停止、进程终止、任务结束等",{"value":4822,"title":4823,"description":4824},"rename","重命名","对象重命名操作，包括文件重命名、账户重命名、服务重命名等",{"value":4826,"title":4827,"description":4828},"disable","禁用","对象禁用操作，包括用户账户禁用、服务禁用、策略禁用等",{"value":4830,"title":4831,"description":4832},"setValue","设置键值","键值设置操作，包括注册表键值设置、配置参数设置、环境变量设置等",{"value":4834,"title":4835,"description":4836},"send","发送","数据发送操作，包括网络数据发送、邮件发送、消息发送等",{"fieldName":4838,"label":4839,"type":11,"valid_type":20,"description":4840,"enumValues":4841},"samAccountName","安全帐户管理器帐户名","安全帐户管理器(SAM)中的用户登录名，用于在Windows域或本地系统中标识用户身份。该字段为字符串类型，通常遵循以下格式要求：长度一般不超过20个字符，允许使用的字符包括字母、数字以及部分特殊符号（如连字符、下划线、点号）。",[],{"fieldName":4843,"label":4844,"type":11,"valid_type":20,"description":4845,"enumValues":4846},"srcGeoCountyCode","来源区县代码","表示网络流量或事件来源的行政区划县/区级代码，采用国家行政区划编码标准（例如GB/T 2260）。格式为字符串，通常为6位数字代码，其中前两位代表省级，中间两位代表地市级，后两位代表县/区级。",[],{"fieldName":4848,"label":4849,"type":7,"valid_type":6,"description":4850,"enumValues":4851},"srcPort","源端口","源端口是指网络连接发起方的端口号，用于标识发起通信的应用程序或服务。端口号必须是整数，取值范围为0到65535，其中0通常保留，1到1023为知名端口，1024到49151为注册端口，49152到65535为动态或私有端口。",[],{"fieldName":4853,"label":4854,"type":11,"valid_type":20,"description":4855,"enumValues":4856},"assetGeoLatitude","资产地理纬度","资产所在位置的纬度坐标，采用十进制表示，符合WGS84地理坐标系标准。格式要求为浮点数字符串，表示北纬或南纬的度数，取值范围为-90.000000至90.000000。",[],{"fieldName":4858,"label":4859,"type":11,"valid_type":28,"description":4860,"enumValues":4861},"destTransAddress","转换后目的IP","该字段表示经过目的网络地址转换（DNAT）、端口转发或负载均衡处理后，数据包在网络层最终到达的目的IP地址。字段值必须符合IP地址格式规范，即IPv4点分十进制格式（如 192.168.1.1）或IPv6标准格式。",[],{"fieldName":4863,"label":4864,"type":11,"valid_type":28,"description":4865,"enumValues":4866},"destAddress","目的IP","目的IP地址，标识网络通信连接的目标IP地址。格式要求：必须符合IP地址格式规范，支持IPv4（如192.168.1.1）或IPv6（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）地址表示法。",[],{"fieldName":4868,"label":4869,"type":11,"valid_type":20,"description":4870,"enumValues":4871},"XFF","XFF头","XFF头字段用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。",[],{"fieldName":4873,"label":4874,"type":11,"valid_type":20,"description":4875,"enumValues":4876},"requestCookies","请求Cookie","请求Cookie是网站服务器发送到浏览器并存储的小型文本文件，用于在后续请求中识别用户身份或记录状态。其格式为标准的HTTP Cookie字符串，通常由多个以分号和空格分隔的键值对组成。",[],{"fieldName":4878,"label":4879,"type":11,"valid_type":20,"description":4880,"enumValues":4881},"wmiFilter","WMI筛选器","WMI筛选器用于过滤和选择特定WMI事件的筛选器名称，其值为字符串类型。该字段通常包含WMI事件筛选器的唯一标识符，格式应符合WMI查询语言（WQL）的命名规范或特定的筛选器路径格式。",[],{"fieldName":4883,"label":4884,"type":1524,"valid_type":28,"description":4885,"enumValues":4886},"srcAddrList","来源IP列表","该字段记录安全事件中所有唯一源IP地址的集合。字段值为字符串数组，每个数组元素必须是一个合法的IPv4或IPv6地址。",[],{"fieldName":4888,"label":4889,"type":140,"valid_type":20,"description":4890,"enumValues":4891},"kerberosMsgType","Kerberos消息类型","Kerberos协议中的消息类型，用于标识认证过程中不同阶段的各种请求和响应。该字段为枚举类型，其值必须为预定义的可选值之一，例如：AS_REQ（认证服务请求）、AS_REP（认证服务响应）、TGS_REQ（票据授权服务请求）、TGS_REP（票据授权服务响应）、AP_REQ（应用请求）等。",[4892,4896,4900,4904,4908,4912,4916,4920,4924,4928],{"value":4893,"title":4894,"description":4895},"AP_REQ","应用请求","应用请求，客户端向服务出示服务票据",{"value":4897,"title":4898,"description":4899},"AP_REP","应用响应","应用响应，服务端对AP-REQ的验证响应",{"value":4901,"title":4902,"description":4903},"KRB_CRED","凭据消息","Kerberos凭据消息，用于凭据转发",{"value":4905,"title":4906,"description":4907},"KRB_ERROR","错误消息","Kerberos错误消息，返回认证错误信息",{"value":4909,"title":4910,"description":4911},"KRB_PRIV","私有消息","Kerberos私有消息，提供机密性保护",{"value":4913,"title":4914,"description":4915},"AS_REQ","认证服务请求","认证服务请求，客户端向KDC请求TGT票据",{"value":4917,"title":4918,"description":4919},"AS_REP","认证服务响应","KDC对AS-REQ的响应，返回加密的TGT",{"value":4921,"title":4922,"description":4923},"KRB_SAFE","安全消息","Kerberos安全消息，提供完整性和校验",{"value":4925,"title":4926,"description":4927},"TGS_REQ","票据授权服务请求","票据授权服务请求，使用TGT请求服务票据",{"value":4929,"title":4930,"description":4931},"TGS_REP","票据授权服务响应","KDC对TGS-REQ的响应，返回服务票据",{"fieldName":4933,"label":2119,"type":11,"valid_type":20,"description":4934,"enumValues":4935},"securityZone","该字段表示基于安全目的划分到的逻辑或物理网络区段。",[],{"fieldName":4937,"label":4938,"type":11,"valid_type":20,"description":4939,"enumValues":4940},"relateUserName","关联用户名","该字段用于标识与主操作用户名存在关联关系的辅助用户名信息。",[],{"fieldName":4942,"label":4943,"type":11,"valid_type":33,"description":4944,"enumValues":4945},"timesFrom","票据生效时间","票据的生效时间，在此之前票据不可用。时间格式必须为 yyyy-mm-dd HH:mm:ss。",[],{"fieldName":4947,"label":4948,"type":11,"valid_type":33,"description":4949,"enumValues":4950},"vulPublicTime","漏洞公开时间","漏洞首次在公共渠道披露的精确时间。格式要求为年-月-日 时:分:秒，即 yyyy-mm-dd HH:mm:ss。",[],{"fieldName":4952,"label":4953,"type":11,"valid_type":20,"description":4954,"enumValues":4955},"srcUserName","源用户名","源用户名指发起网络连接、系统访问或安全事件的主体用户身份名称。",[],{"fieldName":4957,"label":4958,"type":11,"valid_type":28,"description":4959,"enumValues":4960},"srcAddress","来源IP","来源IP地址，指网络连接或安全事件的发起方所使用的IP地址。该字段必须符合IP地址格式规范，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如：192.168.1.1），IPv6地址为冒号分隔的十六进制格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。",[],{"fieldName":4962,"label":4963,"type":11,"valid_type":20,"description":4964,"enumValues":4965},"systemRequirement","系统要求","描述软件或硬件产品正常运行所需的最低或推荐系统配置要求。",[],{"fieldName":4967,"label":4968,"type":11,"valid_type":20,"description":4969,"enumValues":4970},"attackerPort","攻击者端口","攻击者发起攻击时使用的网络端口号。格式为字符串，表示端口号数值，取值范围为0-65535，多个端口号使用英文逗号分隔。",[],{"fieldName":4972,"label":4973,"type":11,"valid_type":20,"description":4974,"enumValues":4975},"srcGeoCountryCode","来源国家代码","网络请求来源的国家地理编码，遵循ISO 3166-1 alpha-2标准的两字母国家代码格式，例如：US代表美国，CN代表中国。",[],{"fieldName":4977,"label":4978,"type":1524,"valid_type":20,"description":4979,"enumValues":4980},"dependencies","依赖组件列表","该字段以数组形式记录软件运行所依赖的外部组件、库和模块的完整清单。每个元素应为字符串，建议采用“组件名称 版本号”的简洁格式进行描述。",[],{"fieldName":4982,"label":4983,"type":11,"valid_type":20,"description":4984,"enumValues":4985},"productVendorName","产品厂商名称","产品厂商名称字段用于标识安全产品厂商的官方全称。格式为字符串，无特定字符集限制，但应使用厂商在工商注册或官方宣传中使用的标准名称，以确保一致性和准确性。",[],{"fieldName":4987,"label":4988,"type":11,"valid_type":20,"description":4989,"enumValues":4990},"cvssVector","CVSS向量","通用漏洞评分系统(CVSS)向量字符串，用于以标准化格式描述漏洞的各个度量维度的取值。该字符串必须遵循CVSS官方定义的向量格式规范，通常以版本标识符（如\"CVSS:3.0/\"或\"CVSS:3.1/\"）开头，后跟一系列由斜杠分隔的度量项/值对（例如\"AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\"）。",[],{"fieldName":4992,"label":4993,"type":140,"valid_type":20,"description":4994,"enumValues":4995},"transProtocol","传输协议","传输层协议类型，表示OSI模型中传输层使用的协议。可选值包括：TCP（传输控制协议）、UDP（用户数据报协议）等标准传输层协议。",[4996,5000],{"value":4997,"title":4998,"description":4999},"TCP","传输控制协议","面向连接的可靠传输协议，提供数据包顺序传输、错误检测和重传机制",{"value":5001,"title":5002,"description":5003},"UDP","用户数据报协议","无连接的不可靠传输协议，提供低延迟的数据传输，适用于实时应用",{"fieldName":5005,"label":5006,"type":11,"valid_type":20,"description":5007,"enumValues":5008},"fileCreateTime","文件创建时间","文件最初创建的时间。格式必须为yyyy-mm-dd HH:mm:ss，例如：2023-10-15 14:30:00。",[],{"fieldName":5010,"label":5011,"type":11,"valid_type":20,"description":5012,"enumValues":5013},"busSystemId","业务系统ID","业务系统的唯一标识符，用于唯一标识一个业务系统。",[],{"fieldName":5015,"label":5016,"type":140,"valid_type":20,"description":5017,"enumValues":5018},"webTamperType","网页篡改类型","网页篡改类型，用于标识网页内容、结构或功能被恶意修改的具体类型。该字段为枚举类型，其值必须为预定义的字符串，有效取值范围包括：contentReplacement（内容替换）、hiddenLinkInjection（暗链植入）、visibleLinkInjection（明链植入）、jsScriptHijacking（JS脚本劫持）、metaTampering（页面元数据篡改）、other（其他）等可选值。",[5019,5021,5025,5029,5033,5037,5041],{"value":310,"title":1458,"description":5020},"未分类的其他网页篡改类型",{"value":5022,"title":5023,"description":5024},"jsScriptHijacking","JS脚本劫持","通过植入恶意JS脚本，识别搜索引擎爬虫并返回篡改内容，进行流量劫持或跳转",{"value":5026,"title":5027,"description":5028},"hiddenLinkInjection","暗链植入","在页面中隐蔽地插入恶意链接，通常通过SEO手段提升非法网站搜索排名，正常访问不易察觉",{"value":5030,"title":5031,"description":5032},"visibleLinkInjection","明链植入","在页面中明显植入与网站主体无关的链接，包括广告或违规内容链接",{"value":5034,"title":5035,"description":5036},"metaTampering","页面元数据篡改","篡改网页的TDK（标题、描述、关键词），通常用于SEO作弊或引导至非法网站",{"value":5038,"title":5039,"description":5040},"contentReplacement","内容替换","攻击者直接替换网站原有内容，例如将首页替换为黑页或炫技页面",{"value":5042,"title":5043,"description":5044},"islandPageInjection","孤岛页面植入","在网站目录内生成全新的、包含违规内容且无内部链接引用的独立页面",{"fieldName":5046,"label":5047,"type":11,"valid_type":28,"description":5048,"enumValues":5049},"relateAddress","关联IP","关联IP是与主操作用户存在关联关系的辅助IP地址信息，用于记录三层关联情况下的网络地址信息。例如在数据库审计中的站库分离场景中，此字段可用于关联用户登录Web服务器时的网络地址。该字段值必须为有效的IPv4或IPv6地址格式。",[],{"fieldName":5051,"label":5052,"type":11,"valid_type":20,"description":5053,"enumValues":5054},"pubSecFilingNumber","公安备案号","公安备案号是由公安机关颁发的网站备案编号，用于标识网站的备案信息。格式通常包含行政区划代码、备案机关标识和序列号。",[],{"fieldName":5056,"label":5057,"type":11,"valid_type":20,"description":5058,"enumValues":5059},"smbServerVersion","SMB服务器版本","服务器消息块(SMB)协议版本标识，用于识别远程SMB服务器的具体协议版本。",[],{"fieldName":5061,"label":5062,"type":140,"valid_type":20,"description":5063,"enumValues":5064},"catOutcome","结果分类","该字段用于标识事件操作或攻击的最终结果状态。其值为预定义的枚举类型，当前主要可选值包括：OK（表示操作成功）、FAIL（表示操作失败）、Attempt（表示尝试性操作）。取值应严格限定在系统定义的枚举值范围内。",[5065,5069,5073],{"value":5066,"title":5067,"description":5068},"Attempt","尝试","事件已发生，但是无法明确成功或失败",{"value":5070,"title":5071,"description":5072},"OK","成功","可以合理的推测事件已成功",{"value":5074,"title":5075,"description":5076},"FAIL","失败","可以合理的推测事件已失败",{"fieldName":5078,"label":5079,"type":11,"valid_type":20,"description":5080,"enumValues":5081},"softwareVersion","软件版本","软件版本号，用于标识软件发布的版本信息。通常遵循主版本号.次版本号.修订号（如：15.6.1）或包含字母前缀（如：v15.6.1）的格式。",[],{"fieldName":5083,"label":5084,"type":11,"valid_type":20,"description":5085,"enumValues":5086},"scriptContent","脚本内容","脚本文件的实际内容，包括可执行代码或命令。内容为字符串格式，应包含有效的脚本语言语法或系统命令。",[],{"fieldName":5088,"label":5089,"type":140,"valid_type":20,"description":5090,"enumValues":5091},"killChain","攻击链","攻击链字段用于描述攻击行为在攻击生命周期中所处的具体阶段。该字段为枚举类型，其值必须为预定义的字符串常量，可选值包括但不限于：KC_Reconnaissance（侦查）、KC_Delivery（投递）、KC_Exploitation（利用）、KC_CommandControl（命令控制）、KC_InternalRecon（内部侦查）等。",[5092,5096,5100,5104,5108,5112,5116,5120],{"value":5093,"title":5094,"description":5095},"KC_Reconnaissance","侦查","网络攻击者选择目标，进行初步渗透并尝试发现信息系统版本、架构、漏洞等信息的过程。该过程可能涉及到多种方法，比如对web服务的扫描、对主机开放端口的探测等。通常该阶段的攻击有大量类似的行为，几乎都为攻击失败。",{"value":5097,"title":5098,"description":5099},"KC_Profit","获利","网络攻击者成功向目标植入恶意程序后，采取具体行动来达到其目标，例如恶意加密目标主机设备上的文件、窃取和破坏数据、利用设备资源获取挖矿等，通常该阶段的告警意味着被攻击的目标可能已经失陷。",{"value":5101,"title":5102,"description":5103},"KC_InternalRecon","内部侦查","攻击者通过某些手段登录成功进入目标网络系统(如窃取vpn账户、猜解远程控制窗口等)，并且在目标网络系统进行服务探测、信息收集的过程。该过程也可能是黑客成功获取了内部设备的权限，远程操控该设备进行。",{"value":5105,"title":5106,"description":5107},"KC_CommandControl","命令控制","网络攻击者利用植入的后门或恶意程序，对受害设备进行远程控制。过程中可能由攻击者发送指令，唤醒或操控受害主机上的后门，执行相关命令；也可能由受害设备上运行的程序主动发起回连请求，向黑客传递信息数据。通常该阶段的告警意味着被攻击的目标可能已经失陷。",{"value":5109,"title":5110,"description":5111},"KC_Delivery","投递","遭受攻击的设备接收或感染恶意程序、钓鱼邮件及黑客工具的阶段。投递过程可以是主动的，例如终端用户主动下载互联网恶意程序或接收钓鱼邮件附件等；也可以是被动的，例如攻击者使用开放服务的接口，上传木马、后门、远控程序等。从而让攻击者成功获取到受害设备的控制权限。",{"value":5113,"title":5114,"description":5115},"KC_Others","无","非攻击行为，如配置错误、设备故障等。",{"value":5117,"title":5118,"description":5119},"KC_Exploitation","利用","网络攻击者在获取到目标的基本信息后，尝试利用目标可能存在的漏洞或缺陷进行针对性渗透攻击。利用过程可能成功，也可能失败（例如被防火墙、IPS设备、终端病毒防护程序阻断）。",{"value":5121,"title":5122,"description":5123},"KC_LateralMov","横向渗透","信息系统内的设备失陷，或黑客窃取了登录口令后，攻击者在内部系统进行横向移动，尝试获取更多设备权限的过程。该过程主要涉及到内对内的漏洞利用和敏感操作等攻击，通常该阶段的告警意味着被攻击的目标可能已经失陷。",{"fieldName":5125,"label":5126,"type":11,"valid_type":33,"description":5127,"enumValues":5128},"collectorReceiptTime","采集器接收时间","采集器接收日志事件的精确时间，时间格式必须为标准的日期时间字符串，格式要求为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":5130,"label":5131,"type":11,"valid_type":20,"description":5132,"enumValues":5133},"signature","签名信息","签名信息用于验证文件或数据完整性的数字签名或证书信息，其格式为字符串。该字段通常包含签名算法标识、签名值或证书颁发者与主题等文本信息。",[],{"fieldName":5135,"label":5136,"type":140,"valid_type":20,"description":5137,"enumValues":5138},"portStatus","端口状态","端口状态表示网络端口的当前运行状态。该字段为枚举类型，其值必须为预定义的字符串，可选范围包括：open (开放)、closed (关闭)、filtered (过滤)、unfiltered (未过滤)。",[5139,5143,5147,5151],{"value":5140,"title":5141,"description":5142},"filtered","过滤","端口状态被防火墙过滤无法确定",{"value":5144,"title":5145,"description":5146},"closed","关闭","端口存在但未在监听",{"value":5148,"title":5149,"description":5150},"unfiltered","未过滤","端口可访问但状态未知",{"value":5152,"title":5153,"description":5154},"open","开放","端口正在监听连接请求",{"fieldName":5156,"label":5157,"type":11,"valid_type":20,"description":5158,"enumValues":5159},"assetOwnerMail","负责人邮箱","负责人邮箱，用于标识资产负责人的电子邮箱地址。格式必须符合标准电子邮件地址规范，包含有效的用户名和域名部分。",[],{"fieldName":5161,"label":5162,"type":1524,"valid_type":20,"description":5163,"enumValues":5164},"assetTag","资产标签","资产标签，用于标识端口扫描后分配给资产的服务识别标签。字段类型为字符串数组，每个标签应为非空字符串。",[],{"fieldName":5166,"label":5167,"type":7,"valid_type":6,"description":5168,"enumValues":5169},"flowPackets","数据包数量","统计网络会话或时间窗口内传输的数据包累计数量。该字段为整型数值，表示无符号的计数。",[],{"fieldName":5171,"label":5172,"type":11,"valid_type":20,"description":5173,"enumValues":5174},"loginUser","登录用户","该字段表示成功登录系统的用户账号标识。格式要求：用户账号应为字符串类型，通常由字母、数字、下划线等常见字符组成。",[],{"fieldName":5176,"label":5177,"type":11,"valid_type":20,"description":5178,"enumValues":5179},"mailSubject","邮件主题","邮件主题行内容，用于概括邮件的主要目的和内容概要。",[],{"fieldName":5181,"label":5182,"type":11,"valid_type":20,"description":5183,"enumValues":5184},"startModule","起始模块","该字段表示线程开始执行的模块名称，格式为字符串类型，通常记录可执行文件或动态链接库的名称，示例为\"ntdll.dll\"或\"kernel32.dll\"。",[],{"fieldName":5186,"label":5187,"type":11,"valid_type":33,"description":5188,"enumValues":5189},"startTime","开始时间","该字段记录事件活动开始的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。",[],{"fieldName":5191,"label":5192,"type":11,"valid_type":20,"description":5193,"enumValues":5194},"assetGeoAddress","资产物理地址","资产所处的详细物理地址，包括街道、楼宇、楼层及房间号等信息。",[],{"fieldName":5196,"label":5197,"type":11,"valid_type":20,"description":5198,"enumValues":5199},"srcGeoAddress","来源详细地址","该字段表示网络连接发起方IP地址所对应的详细地址描述，用于定位来源的具体物理或行政位置。其值为字符串类型，通常包含国家、省份、城市、区县、街道及门牌号等层级信息。",[],{"fieldName":5201,"label":5202,"type":11,"valid_type":20,"description":5203,"enumValues":5204},"srcThreadId","源线程ID","源线程ID指创建新线程的父线程TID，用于分析线程间关系和检测线程注入等安全场景。其值为操作系统分配的数字标识符，通常为十进制数字字符串，需确保为有效非负整数格式。",[],{"fieldName":5206,"label":5207,"type":25,"valid_type":24,"description":5208,"enumValues":5209},"isCdn","是否CDN","标识目标是否为内容分发网络(CDN)节点。该字段为布尔类型，取值为 true 或 false。",[],{"fieldName":5211,"label":5212,"type":7,"valid_type":6,"description":5213,"enumValues":5214},"passwordExpirationPolicy","密码过期策略","密码策略要求的密码有效期，单位为天，必须是正整数。",[],{"fieldName":5216,"label":5217,"type":11,"valid_type":20,"description":5218,"enumValues":5219},"icmpCode","ICMP响应码","ICMP响应码表示ICMP协议中返回的响应代码。该字段为字符串类型，用于标识ICMP报文的具体类型或错误状态。",[],{"fieldName":5221,"label":5222,"type":17,"valid_type":16,"description":5223,"enumValues":5224},"responseTime","响应时间","该字段记录网络请求从客户端发送到完整接收服务器响应的时间间隔，单位为毫秒。其值为长整型数字，表示一个非负的时间长度。",[],{"fieldName":5226,"label":5227,"type":11,"valid_type":20,"description":5228,"enumValues":5229},"errorMessage","错误信息","该字段用于记录系统、服务或应用程序在运行或交互过程中返回的详细错误描述信息，通常包含错误代码、错误原因、问题上下文或具体错误说明。",[],{"fieldName":5231,"label":5232,"type":11,"valid_type":20,"description":5233,"enumValues":5234},"requestParameters","请求参数","请求参数是网络请求中携带的参数内容，用于传递客户端向服务器发送的具体数据。参数内容通常为字符串格式，可以是查询字符串、表单数据、JSON对象或其他序列化形式，具体格式取决于请求类型（如GET、POST等）和内容类型（Content-Type）。",[],{"fieldName":5236,"label":5237,"type":11,"valid_type":20,"description":5238,"enumValues":5239},"assetGeoCounty","资产所在区县","资产物理位置所处的区县全称。应采用标准的行政区划名称，避免使用简称或俗称。",[],{"fieldName":5241,"label":5242,"type":11,"valid_type":20,"description":5243,"enumValues":5244},"userAgent","用户代理","用户代理字符串，用于标识发起请求的客户端（用户代理）的匿名化信息，通常包含客户端的操作系统、浏览器类型、版本、设备类型等。格式需符合HTTP标准的User-Agent字符串。",[],{"fieldName":5246,"label":5247,"type":11,"valid_type":20,"description":5248,"enumValues":5249},"passwordProperties","密码属性","Windows用户账户密码策略的密码属性配置。",[],{"fieldName":5251,"label":5252,"type":11,"valid_type":20,"description":5253,"enumValues":5254},"ipVersion","IP版本","该字段表示互联网协议（IP）的版本标识。格式为字符串，目前主要包括“IPv4”和“IPv6”。",[],{"fieldName":5256,"label":5257,"type":11,"valid_type":20,"description":5258,"enumValues":5259},"attackerInfo","攻击者信息","攻击者信息字段包含溯源到的攻击者相关信息，如攻击者账号、姓名、邮箱等。字段值为字符串格式，内容应包含关键属性及其对应值。",[],{"fieldName":5261,"label":5262,"type":140,"valid_type":20,"description":5263,"enumValues":5264},"deviceAssetSubTypeId","设备子类型ID","设备子类型ID是设备类型子分类的唯一数字标识符，用于标识具体的设备子类型。该字段为枚举类型，取值应在系统定义的枚举值范围内。",[5265,5267,5270,5273,5276,5279,5283,5287,5291,5295,5298,5301,5305,5309,5313,5317,5321,5325,5329,5333,5337,5341,5345,5349,5353,5357,5361,5365,5369,5373,5377,5381,5385,5389,5393,5397,5401,5405,5409,5413,5417,5421,5425,5429,5433,5437,5440,5444,5448,5452,5456,5459,5463,5467,5471],{"value":1478,"title":1420,"description":5266},"Microsoft Windows操作系统",{"value":1481,"title":5268,"description":5269},"Nix","类Unix操作系统，包括Linux和BSD变种",{"value":1484,"title":5271,"description":5272},"路由器","网络路由设备，用于在网络之间转发数据包",{"value":1487,"title":5274,"description":5275},"交换机","网络交换设备，用于在局域网内连接设备并转发数据帧",{"value":1490,"title":5277,"description":5278},"VPN","虚拟专用网络设备，提供安全的远程访问和站点到站点连接",{"value":5280,"title":5281,"description":5282},"6","负载均衡","负载均衡设备，用于分发网络流量以提高性能和可靠性",{"value":5284,"title":5285,"description":5286},"7","防火墙","网络安全设备，用于控制进出网络的流量基于安全规则",{"value":5288,"title":5289,"description":5290},"8","网闸","网络隔离设备，用于在安全级别不同的网络之间进行安全数据交换",{"value":5292,"title":5293,"description":5294},"9","入侵检测系统(IDS)","入侵检测系统，用于监控网络或系统活动以检测恶意行为",{"value":3319,"title":5296,"description":5297},"入侵防护系统(IPS)","入侵防护系统，在检测到威胁时主动阻止恶意流量",{"value":3323,"title":5299,"description":5300},"统一威胁管理(UTM)","统一威胁管理设备，集成多种安全功能如防火墙、防病毒和入侵防护",{"value":5302,"title":5303,"description":5304},"12","下一代防火墙","下一代防火墙，提供应用层检测、深度包检查和高级威胁防护",{"value":5306,"title":5307,"description":5308},"13","Web应用防火墙(WAF)","Web应用防火墙，专门保护Web应用程序免受SQL注入、XSS等攻击",{"value":5310,"title":5311,"description":5312},"14","流量监测设备","网络流量监测设备，用于实时分析和监控网络流量模式",{"value":5314,"title":5315,"description":5316},"15","网页防篡改","网页防篡改系统，保护网站内容不被未经授权修改",{"value":5318,"title":5319,"description":5320},"16","抗DDoS系统","抗分布式拒绝服务攻击系统，缓解DDoS攻击以保护服务可用性",{"value":5322,"title":5323,"description":5324},"17","防病毒系统","防病毒系统，检测和清除恶意软件、病毒和木马",{"value":5326,"title":5327,"description":5328},"18","防间谍系统","防间谍软件系统，防止间谍软件窃取敏感信息和监控用户活动",{"value":5330,"title":5331,"description":5332},"19","防泄密系统","数据防泄密系统，监控和防止敏感数据通过各类渠道泄露",{"value":5334,"title":5335,"description":5336},"20","邮件审计系统","邮件审计系统，监控和审计电子邮件内容以符合安全策略和合规要求",{"value":5338,"title":5339,"description":5340},"21","身份管理系统","身份和访问管理系统，管理用户身份认证、授权和权限",{"value":5342,"title":5343,"description":5344},"22","流量清洗系统","流量清洗系统，过滤恶意流量以保护网络资源和业务连续性",{"value":5346,"title":5347,"description":5348},"23","数据库审计系统","数据库审计系统，监控和记录数据库访问、操作和权限变更",{"value":5350,"title":5351,"description":5352},"24","Web审计系统","Web审计系统，审计Web应用程序的访问、操作和安全事件",{"value":5354,"title":5355,"description":5356},"25","运维审计系统","运维审计系统，监控和记录系统运维操作，防止越权访问",{"value":5358,"title":5359,"description":5360},"26","上网行为审计系统","上网行为审计系统，监控和审计员工网络使用行为以符合安全策略",{"value":5362,"title":5363,"description":5364},"27","统一审计网关","统一审计网关，集中收集、规范化和分析各类审计日志",{"value":5366,"title":5367,"description":5368},"28","日志审计系统","日志审计系统，收集、存储、分析和告警系统安全日志",{"value":5370,"title":5371,"description":5372},"29","安全管理系统","安全管理系统，集成安全管理功能如策略管理、风险管理和事件响应",{"value":5374,"title":5375,"description":5376},"30","蜜罐系统","蜜罐系统，诱骗攻击者以收集攻击信息和分析攻击手法",{"value":5378,"title":5379,"description":5380},"31","应用扫描器","应用程序漏洞扫描器，检测Web应用和移动应用的安全漏洞",{"value":5382,"title":5383,"description":5384},"32","网络扫描器","网络漏洞扫描器，扫描网络设备、服务和端口以发现安全漏洞",{"value":5386,"title":5387,"description":5388},"33","主机扫描器","主机漏洞扫描器，扫描操作系统和应用程序漏洞及配置问题",{"value":5390,"title":5391,"description":5392},"34","WEB服务器","Web服务器软件，如IIS、Apache、Nginx等，托管网站和应用",{"value":5394,"title":5395,"description":5396},"35","数据库服务器","数据库服务器软件，如MySQL、Oracle、SQL Server等，存储和管理数据",{"value":5398,"title":5399,"description":5400},"36","邮件服务器","邮件服务器软件，如Exchange、Postfix等，处理电子邮件收发",{"value":5402,"title":5403,"description":5404},"37","存储服务器","存储服务器，提供数据存储、备份和共享服务",{"value":5406,"title":5407,"description":5408},"38","FTP服务器","FTP服务器，提供文件传输协议服务，支持文件上传下载",{"value":5410,"title":5411,"description":5412},"39","应用服务器","应用服务器，运行企业应用程序和业务逻辑，如Java EE、.NET应用",{"value":5414,"title":5415,"description":5416},"43","Windows审计代理","Windows系统审计代理，收集Windows事件日志和系统活动",{"value":5418,"title":5419,"description":5420},"44","Nix审计代理","类Unix系统审计代理，收集Linux/Unix系统日志和审计数据",{"value":5422,"title":5423,"description":5424},"45","WMI审计代理","Windows管理规范审计代理，通过WMI收集系统信息和事件",{"value":5426,"title":5427,"description":5428},"51","采集器","日志采集器，从各种数据源收集和转发日志数据",{"value":5430,"title":5431,"description":5432},"52","通信服务器","通信服务器，处理网络通信、消息传递和协议转换",{"value":5434,"title":5435,"description":5436},"53","关联引擎","安全事件关联引擎，分析日志数据以检测复杂安全事件",{"value":5438,"title":119,"description":5439},"55","其他未分类的设备类型",{"value":5441,"title":5442,"description":5443},"56","主机安全管理系统(EDR)","端点检测与响应系统，监控主机活动、检测威胁并响应安全事件",{"value":5445,"title":5446,"description":5447},"57","虚拟化设备","虚拟化平台设备，如VMware ESXi、Hyper-V等，运行虚拟机",{"value":5449,"title":5450,"description":5451},"58","网络打印机","网络连接的打印机设备，支持网络打印功能",{"value":5453,"title":5454,"description":5455},"59","APT","高级持久威胁检测系统，针对APT攻击进行监测和防护",{"value":5457,"title":2162,"description":5458},"60","域名系统服务器，提供域名解析服务和DNS安全防护",{"value":5460,"title":5461,"description":5462},"61","API风险监测系统","API风险监测系统，监控API接口的安全风险和使用异常",{"value":5464,"title":5465,"description":5466},"62","API安全网关","API安全网关，保护API接口免受攻击，提供认证、授权和限流",{"value":5468,"title":5469,"description":5470},"63","脆弱性扫描系统","脆弱性扫描系统，全面扫描系统、网络和应用漏洞",{"value":5472,"title":5473,"description":5474},"65","UES","统一端点安全系统，集成终端防护、检测和响应功能",{"fieldName":5476,"label":5477,"type":11,"valid_type":20,"description":5478,"enumValues":5479},"srcGeoRegion","来源地区","该字段表示网络连接发起方IP地址所对应的省级行政区域名称，用于标识流量的地理来源。其值应为中国省级行政区划的名称，例如“北京市”、“浙江省”、“新疆维吾尔自治区”等，或国际公认的国家及地区名称。格式为字符串，无固定长度限制，建议使用标准、完整的官方名称以确保一致性和准确性。",[],{"fieldName":5481,"label":5482,"type":11,"valid_type":20,"description":5483,"enumValues":5484},"tacticName","ATT&CK战术名称","攻击行为在MITRE ATT&CK框架中对应的战术阶段名称，用于标识攻击在杀伤链中所处的阶段。此字段为字符串类型，取值应为MITRE ATT&CK框架中定义的官方战术名称，例如：Initial Access, Execution, Persistence, Privilege Escalation等。",[],{"fieldName":5486,"label":5487,"type":11,"valid_type":20,"description":5488,"enumValues":5489},"softwareList","软件列表","软件列表字段记录系统或设备上安装的第三方应用程序和软件组件的清单。该字段为字符串类型，其内容应为用逗号分隔的软件名称列表。",[],{"fieldName":5491,"label":5492,"type":17,"valid_type":16,"description":5493,"enumValues":5494},"eventCount","事件数量","事件数量字段用于统计相同类型或相关事件的发生次数。通常为非负整数。",[],{"fieldName":5496,"label":5497,"type":11,"valid_type":20,"description":5498,"enumValues":5499},"wmiName","WMI名称","WMI名称是Windows Management Instrumentation的类名、属性名或命名空间路径。其格式通常遵循WMI的命名规范，例如类名可能为Win32_Process、命名空间路径可能为root\\cimv2。",[],{"fieldName":5501,"label":5502,"type":11,"valid_type":20,"description":5503,"enumValues":5504},"volumeMounts","挂载卷","挂载卷字段用于配置容器与宿主机之间的持久化存储挂载，其值为一个字符串，描述挂载的详细信息。通常格式为：主机路径：\u003C宿主机路径>，容器路径：\u003C容器内路径>。其中宿主机路径和容器内路径应为有效的文件系统绝对路径。",[],{"fieldName":5506,"label":5507,"type":11,"valid_type":20,"description":5508,"enumValues":5509},"containerName","容器实例名称","容器运行时实例的自定义标识名称，用于唯一标识容器实例。命名应遵循容器运行时命名规范，通常支持字母、数字、连字符(-)和下划线(_)的组合。",[],{"fieldName":5511,"label":5512,"type":1524,"valid_type":20,"description":5513,"enumValues":5514},"alertDevices","告警来源设备","告警来源设备字段记录生成告警的安全设备和传感器信息集合，格式为字符串数组。每个数组元素应为描述设备名称及标识信息的字符串，通常包含设备名称和IP地址等关键信息。",[],{"fieldName":5516,"label":5517,"type":11,"valid_type":20,"description":5518,"enumValues":5519},"serviceImage","服务路径","服务所在的进程文件的完整路径及参数，采用字符串格式表示，支持包含文件名和启动参数。",[],{"fieldName":5521,"label":5522,"type":11,"valid_type":20,"description":5523,"enumValues":5524},"srcGeoLongitude","来源经度","来源经度表示网络连接发起方IP地址所对应的地理经度坐标。格式为十进制浮点数字符串，取值范围为-180.000000到180.000000，保留小数点后六位，使用点号（.）作为小数点分隔符，负值表示西经，正值表示东经。",[],{"fieldName":5526,"label":5527,"type":1524,"valid_type":20,"description":5528,"enumValues":5529},"tag","标签","该字段用于标识告警的特征或分类标签集合。格式要求：必须为字符串数组。每个标签应为非空字符串，内容通常为描述告警特征或分类的文本，如“端口扫描”、“非法外连”等。",[],{"fieldName":5531,"label":5532,"type":11,"valid_type":20,"description":5533,"enumValues":5534},"privilegeList","权限集合","权限集合字段用于描述系统或文件所拥有的访问控制权限。",[],{"fieldName":5536,"label":5537,"type":11,"valid_type":20,"description":5538,"enumValues":5539},"cncve","CNCVE漏洞标识符","CNCVE漏洞标识符是国家信息安全漏洞共享平台颁发的漏洞唯一标识符，用于唯一标识一个漏洞。其格式必须严格遵循“CNCVE-YYYY-NNNNN”的规范，其中“CNCVE”为固定前缀，其后跟随一个连字符“-”；“YYYY”代表四位数字的年份；之后是另一个连字符“-”；“NNNNN”代表五位数字的序列号。整个标识符需保持大写字母格式。",[],{"fieldName":5541,"label":5542,"type":11,"valid_type":20,"description":5543,"enumValues":5544},"installPath","安装路径","安装路径是指应用程序或软件在操作系统中的安装目录位置，其值应为有效的文件系统路径字符串。",[],{"fieldName":5546,"label":5547,"type":11,"valid_type":20,"description":5548,"enumValues":5549},"orgName","组织架构名称","资产所属组织架构的名称，应为字符串类型，表示组织架构的完整名称。",[],{"fieldName":5551,"label":5552,"type":11,"valid_type":20,"description":5553,"enumValues":5554},"destGeoLongitude","目的经度","目的经度是指网络连接接收方IP地址所对应的地理经度坐标。格式为十进制小数形式的字符串，取值范围为-180.000000至180.000000。",[],{"fieldName":5556,"label":5557,"type":11,"valid_type":20,"description":5558,"enumValues":5559},"ccUserName","抄送人","抄送人字段用于记录邮件抄送接收方的邮箱地址集合。该字段值为字符串类型，其内容应为一个或多个符合RFC 5322标准的有效邮箱地址。多个地址之间通常使用逗号分隔。",[],{"fieldName":5561,"label":5562,"type":11,"valid_type":20,"description":5563,"enumValues":5564},"startType","启动类型","该字段表示服务或程序的启动类型，用于描述其启动方式，例如自动、手动或禁用。",[],{"fieldName":5566,"label":5567,"type":11,"valid_type":20,"description":5568,"enumValues":5569},"softwarePort","软件端口号","软件运行时监听的网络端口号。格式要求：端口号必须是有效的网络端口，取值范围为0到65535。通常0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。",[],{"fieldName":5571,"label":5572,"type":11,"valid_type":20,"description":5573,"enumValues":5574},"cvssBaseScore","cvss基础分值","该字段表示通用漏洞评分系统(CVSS)基础度量组计算的评分值，用于衡量漏洞的固有严重性。取值为字符串类型，格式为一个小数点后保留一位的浮点数，表示范围为0.0至10.0。",[],{"fieldName":5576,"label":5577,"type":11,"valid_type":20,"description":5578,"enumValues":5579},"networkInfo","网络配置信息","网络设备或虚拟机的网络配置信息，包含IP地址和MAC地址等。IP地址格式为点分十进制，如192.168.1.1；MAC地址格式支持冒号分隔（xx:xx:xx:xx:xx:xx）或短横线分隔（xx-xx-xx-xx-xx-xx），如70-00-55-98-C7-00。多个配置项建议以逗号分隔。",[],{"fieldName":5581,"label":5582,"type":17,"valid_type":16,"description":5583,"enumValues":5584},"fileSize","文件大小","文件内容的字节大小，表示文件的存储空间占用情况，单位是字节。",[],{"fieldName":5586,"label":5587,"type":11,"valid_type":20,"description":5588,"enumValues":5589},"processUserName","进程用户名","该字段表示执行进程的操作系统用户账号。格式要求：用户名应为有效的操作系统用户标识，通常由字母、数字、下划线等字符组成。",[],{"fieldName":5591,"label":5592,"type":11,"valid_type":20,"description":5593,"enumValues":5594},"publisher","发布者","该字段用于标识软件、数字证书或内容发布方的官方实体名称。字段值为字符串类型，应填写发布方的完整、正式名称，例如软件公司、开源基金会或组织机构的官方全称。",[],{"fieldName":5596,"label":5597,"type":11,"valid_type":20,"description":5598,"enumValues":5599},"wmiQuery","WMI查询条件","WMI查询条件是指用于从Windows系统检索管理信息和事件数据的查询语句，通常采用WMI查询语言（WQL）格式。",[],{"fieldName":5601,"label":5602,"type":11,"valid_type":20,"description":5603,"enumValues":5604},"startFunction","起始函数","起始函数是新线程开始执行的入口点函数名称，格式为字符串类型，仅支持字母、数字和下划线的组合。",[],{"fieldName":5606,"label":5607,"type":11,"valid_type":20,"description":5608,"enumValues":5609},"userWorkstations","用户工作站","用户可从中登录的计算机的NetBIOS或DNS名称列表，以逗号分隔。格式要求：多个计算机名称之间使用英文逗号分隔，每个名称应为有效的NetBIOS名称或DNS主机名。",[],{"fieldName":5611,"label":5612,"type":11,"valid_type":20,"description":5613,"enumValues":5614},"IoC","失陷指标","失陷指标是用于识别和检测网络安全威胁的特定指标或标志，其具体内容可以是恶意文件的哈希值、可疑网络地址、可疑域名等。当该字段值为IP地址时，需符合IPv4或IPv6的标准格式；为域名时，需符合标准的域名格式；为文件哈希时，需为有效的MD5、SHA-1或SHA-256等哈希值字符串。",[],{"fieldName":5616,"label":5617,"type":17,"valid_type":16,"description":5618,"enumValues":5619},"lockoutObservationWindow","锁定观察窗口","锁定观察窗口是系统用于监控和记录失败登录尝试的时间范围。该字段为长整型数值，单位为分钟，表示一个持续的时间长度，必须为大于0的整数。",[],{"fieldName":5621,"label":5622,"type":7,"valid_type":6,"description":5623,"enumValues":5624},"peakFlowsRate","峰值流量速率","峰值流量速率，指网络流量的峰值传输速率，基于RFC 2215流量规范标准，单位为Mbps（兆比特每秒）。该字段为整型数值，表示具体的速率值。",[],{"fieldName":5626,"label":5627,"type":11,"valid_type":20,"description":5628,"enumValues":5629},"targetObject","操作对象","标识事件操作直接作用的目标系统对象，通常用于记录被操作的系统资源路径、注册表键值、文件路径等。内容应明确标识目标对象，如Windows注册表路径示例：HKLM\\\\SOFTWARE\\\\WOW6432Node\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\新项 #1。",[],{"fieldName":5631,"label":5632,"type":11,"valid_type":20,"description":5633,"enumValues":5634},"deviceVendor","设备厂商","硬件设备或软件产品的制造商或供应商名称，用于资产识别、漏洞影响范围分析和供应链安全管理。",[],{"fieldName":5636,"label":5637,"type":11,"valid_type":20,"description":5638,"enumValues":5639},"newStartType","新启动方式","新启动方式是指服务配置修改后的新启动方式。",[],{"fieldName":5641,"label":5642,"type":17,"valid_type":16,"description":5643,"enumValues":5644},"pktsInAndOut","总数据包数","总数据包数是指统计网络接口或会话中双向传输的数据包累计总数。该字段值为非负长整数。",[],{"fieldName":5646,"label":5647,"type":11,"valid_type":33,"description":5648,"enumValues":5649},"latestActivityTime","最近发生时间","该字段记录安全事件中最后一次活动或告警触发的时间。格式必须为标准的日期时间字符串，具体要求为：yyyy-mm-dd HH:mm:ss，例如 2024-12-27 19:28:22。",[],{"fieldName":5651,"label":5652,"type":7,"valid_type":6,"description":5653,"enumValues":5654},"destPort","目的端口","目的端口是网络连接接收方的端口号，用于标识接收方应用程序或服务。该字段为整数类型，取值范围为0-65535，其中0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。",[],{"fieldName":5656,"label":5657,"type":11,"valid_type":20,"description":5658,"enumValues":5659},"destLoginId","目标登录ID","目标系统或服务的登录标识符，通常用于标识用户或实体在目标系统上的身份。",[],{"fieldName":5661,"label":5662,"type":11,"valid_type":20,"description":5663,"enumValues":5664},"whois","whios信息","whois字段用于存储基于WHOIS协议查询得到的完整域名注册信息。该字段内容需包含域名注册人、注册商、创建日期、名称服务器等关键信息。",[],{"fieldName":5666,"label":5667,"type":25,"valid_type":24,"description":5668,"enumValues":5669},"isPrimary","是否主键","该字段用于标识数据库列是否被定义为主键。其值为布尔类型，只能取 true 或 false。",[],{"fieldName":5671,"label":5672,"type":11,"valid_type":20,"description":5673,"enumValues":5674},"hypervisor","虚拟化管理程序","该字段用于标识虚拟化平台中管理和运行虚拟机实例的底层软件系统。其值为描述虚拟化管理程序名称及版本号的字符串，通常由厂商名称、产品名称和版本号组成。",[],{"fieldName":5676,"label":5677,"type":11,"valid_type":33,"description":5678,"enumValues":5679},"closeTime","关闭时间","closeTime字段表示事件处置完成并被正式关闭的时间。该字段为字符串类型，必须遵循严格的日期时间格式：yyyy-mm-dd HH:mm:ss，例如2025-01-14 11:18:31。",[],{"fieldName":5681,"label":5682,"type":7,"valid_type":6,"description":5683,"enumValues":5684},"dropPackagesRate","丢包速率","丢包速率表示统计网络传输过程中丢失的数据包速率，单位为每秒数据包个数（pps）。该字段为整型数值，取值范围为非负整数。",[],{"fieldName":5686,"label":5687,"type":17,"valid_type":16,"description":5688,"enumValues":5689},"bytesIn","请求字节数","该字段用于统计客户端请求消息的字节总量，其值为非负长整型。",[],{"fieldName":5691,"label":5692,"type":11,"valid_type":20,"description":5693,"enumValues":5694},"wmiEventNamespace","WMI事件命名空间","WMI事件筛选器所属的命名空间路径，用于标识WMI提供程序中的特定类别层次结构。格式为WMI命名空间的标准路径字符串，各层级之间使用反斜杠“\\\\”分隔。",[],{"fieldName":5696,"label":5697,"type":17,"valid_type":16,"description":5698,"enumValues":5699},"cost","耗时","该字段记录命令、脚本或程序执行的耗时，单位为毫秒。其值为长整型（long），表示从操作开始到结束所经过的时间长度，必须为非负整数。",[],{"fieldName":5701,"label":5702,"type":11,"valid_type":20,"description":5703,"enumValues":5704},"machineAccountQuota","机器帐户配额","该字段表示Active Directory中允许创建的最大计算机账号数量，格式为字符串类型，通常为数字字符串，表示配额数值。",[],{"fieldName":5706,"label":5707,"type":1524,"valid_type":6,"description":5708,"enumValues":5709},"scanPortList","扫描端口列表","该字段记录网络扫描活动中被探测的目标端口号集合，每个端口号必须为整数类型，取值范围为0到65535，表示有效端口号。",[],{"fieldName":5711,"label":5712,"type":140,"valid_type":20,"description":5713,"enumValues":5714},"confidence","告警置信度","告警置信度表示对威胁检测、归因或分析结果准确性的等级评估指标。该字段为枚举类型，可选值包括：Low（低置信度）、Medium（中置信度）和High（高置信度）。",[5715,5718,5721],{"value":616,"title":5716,"description":5717},"高置信度","告警信息误报率极低，可信度很高",{"value":619,"title":5719,"description":5720},"低置信度","告警信息基于单一、不确定的指标，可能存在误报，需要进一步验证",{"value":622,"title":5722,"description":5723},"中置信度","告警信息具有一定可靠性，但仍需分析确认",{"fieldName":5725,"label":5726,"type":11,"valid_type":20,"description":5727,"enumValues":5728},"filePath","文件目录","该字段表示文件在文件系统中的存储目录路径。路径格式应符合操作系统规范，例如Windows系统使用反斜杠（\\）作为目录分隔符，而Linux/Unix系统使用正斜杠（/）。",[],{"fieldName":5730,"label":5731,"type":11,"valid_type":20,"description":5732,"enumValues":5733},"webTitle","网站标题","网站标题，指网页的标题文本内容。字段类型为字符串，内容通常来源于HTML文档的\u003Ctitle>标签。",[],{"fieldName":5735,"label":5736,"type":11,"valid_type":20,"description":5737,"enumValues":5738},"deviceVersion","设备版本","设备版本标识设备固件、操作系统或嵌入式软件的完整版本信息。版本号通常采用多段数字格式，如主版本号.次版本号.修订号.构建号等。",[],{"fieldName":5740,"label":5741,"type":11,"valid_type":20,"description":5742,"enumValues":5743},"resourceUri","资源URI","资源URI字段用于标识特定资源的统一资源标识符，其值应符合URI标准格式规范，通常以协议类型开头（如http、https、ftp等），后跟资源路径。",[],{"fieldName":5745,"label":5746,"type":7,"valid_type":6,"description":5747,"enumValues":5748},"columnCount","列数","该字段表示数据库表中定义的列总数，其值应为非负整数。",[],{"fieldName":5750,"label":5751,"type":11,"valid_type":20,"description":5752,"enumValues":5753},"serviceName","服务名称","服务名称，指在系统或应用程序中运行的服务标识。",[],{"fieldName":5755,"label":5756,"type":11,"valid_type":20,"description":5757,"enumValues":5758},"oldStartType","原启动方式","该字段记录修改前的原始启动方式，用于标识系统或服务在变更前的启动配置状态。",[],{"fieldName":5760,"label":3290,"type":11,"valid_type":28,"description":5761,"enumValues":5762},"victimAddress","受害者IP地址，指遭受威胁攻击或风险影响的目标IP地址。格式要求：必须是符合IPv4或IPv6标准的IP地址格式，例如IPv4的点分十进制表示法（如192.168.22.35）或IPv6的冒号分隔十六进制表示法。",[],{"fieldName":5764,"label":5765,"type":11,"valid_type":20,"description":5766,"enumValues":5767},"requestUrlQuery","请求URI","该字段表示HTTP请求URL中从根路径符“/”开始到查询字符串末尾的部分，即包括路径和查询参数。格式要求：必须为有效的URI路径及查询字符串，以“/”开头，可以包含字母、数字、连字符、下划线、点号以及查询参数（以“?”开头，参数间以“&”分隔）。",[],{"fieldName":5769,"label":5770,"type":11,"valid_type":20,"description":5771,"enumValues":5772},"destImage","目标进程路径","目标进程的可执行文件完整路径，用于记录跨进程操作中目标进程的路径信息。该字段为字符串类型，应提供包含盘符、目录和文件名的完整绝对路径，例如Windows系统的可执行文件路径格式。",[],{"fieldName":5774,"label":5775,"type":7,"valid_type":6,"description":5776,"enumValues":5777},"managementPort","管理端口","该字段表示用于设备带外管理、远程访问和系统维护的网络端口号。端口号必须是整数，取值范围为0到65535。其中，0到1023为公认端口，1024到49151为注册端口，49152到65535为动态或私有端口。",[],{"fieldName":5779,"label":5780,"type":1524,"valid_type":20,"description":5781,"enumValues":5782},"alertIds","告警ID列表","记录安全事件关联的所有告警唯一标识符集合。该字段为字符串数组，数组内每个元素应为表示告警唯一标识符的字符串。",[],{"fieldName":5784,"label":5785,"type":11,"valid_type":20,"description":5786,"enumValues":5787},"targetFilename","目标文件","目标文件是指系统操作或文件操作中涉及的文件的完整路径。格式要求：必须是有效的文件路径字符串，路径分隔符为正斜杠（/）或反斜杠（\\）。示例值：/data1/uacp/shell/uacpClient.sh。",[],{"fieldName":5789,"label":5790,"type":11,"valid_type":20,"description":5791,"enumValues":5792},"namespace","命名空间","命名空间是Kubernetes集群中的逻辑隔离单元，用于资源分组和访问控制。该字段为字符串类型，其值需遵循Kubernetes命名空间命名规范。",[],{"fieldName":5794,"label":5795,"type":11,"valid_type":20,"description":5796,"enumValues":5797},"assetName","资产名称","资产名称，用于标识资产的易读名称。",[],{"fieldName":5799,"label":1108,"type":11,"valid_type":20,"description":5800,"enumValues":5801},"incidentId","事件ID是安全事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成，以保证其唯一性。",[],{"fieldName":5803,"label":5804,"type":11,"valid_type":20,"description":5805,"enumValues":5806},"newUacValue","新UAC值","新UAC值表示用户账号在更改后的用户账号控制 (UAC) 值。该字段为字符串类型，通常以十六进制格式表示。",[],{"fieldName":5808,"label":5809,"type":11,"valid_type":20,"description":5810,"enumValues":5811},"destInfo","目标信息","目标信息，指尝试登录的目标计算机或服务的具体标识，例如主机名、IP地址或服务名称。格式要求：通常为字符串格式，可以是有效的域名、IPv4地址、IPv6地址或主机名。",[],{"fieldName":5813,"label":5814,"type":11,"valid_type":20,"description":5815,"enumValues":5816},"parentProcessUserName","父进程用户名","父进程在操作系统中的用户账号名称，用于标识启动该进程的用户身份。",[],1775524358160]