# 安全事件

**路径**: 安全事件 > 安全事件 > 安全事件

## 描述

安全事件是指任何已确认违反或即将违反计算机安全策略、可接受使用政策或标准安全实践的行为。

## 基本信息

- **分类ID**: `security_incident`
- **所属主分类**: 安全事件 (`security_incident`)
- **所属类型**: 安全事件

## 字段定义

本事件类型包含以下字段：

| 字段ID | 字段名称 | 数据类型 | 重要性 | 描述 |
|--------|---------|---------|--------|------|
| `incidentId` | 事件ID | `string` | REQUIRED | 事件ID是安全事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成，以保证其唯一性。 |
| `incidentName` | 事件名称 | `string` | REQUIRED | 该字段用于标识安全事件的简要概括名称。 |
| `incidentLevel` | 事件级别 | `enum` | REQUIRED | 安全事件的严重程度等级，用于评估事件的影响范围和紧急程度。取值范围为枚举类型，可选值包括：Critical（严重）、High（高）、Medium（中）、Low（低），需严格使用给定的枚举值。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `Critical` | 严重 | 造成重大业务影响的安全事件，需要立即响应 |
| `High` | 高 | 对业务运营有显著影响的安全事件，需要优先处理 |
| `Medium` | 中 | 对业务有一定影响的安全事件，需要按计划处理 |
| `Low` | 低 | 影响较小的安全事件，可按照常规流程处理 |

| `incidentStatus` | 事件状态 | `enum` | REQUIRED | 标识安全事件在响应生命周期中的当前处理状态。该字段为枚举类型，其值必须为预定义的字符串。可选值为：Analysising (分析中)、Error (错误)、Ignore (忽略)、Pending (待处置)、Disposed (已处置)。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `Analysising` | 分析中 | 正在分析中的事件 |
| `Error` | 错误 | 分析过程中自动化剧本执行流程错误终止的事件 |
| `Ignore` | 忽略 | 经过分析不需要处置的事件 |
| `Pending` | 待处置 | 经过分析需要处置的事件 |
| `Disposed` | 已处置 | 已经完成处置关闭的事件 |

| `incidentType` | 安全事件类型 | `enum` | REQUIRED | 安全事件类型字段用于标识安全事件的主要攻击分类和技术类别，采用层级路径格式表示。该字段为枚举类型，必须从预定义的可选值中选择，每个值均为一个字符串形式的路径。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `/Malware/ComputerVirus` | 计算机病毒事件 | 计算机病毒事件:制造、传播或利用恶意程序，影响计算机使用,破坏计算机功能，毁坏或窃取数据； |
| `/Malware/Worm` | 网络蠕虫事件 | 网络端虫事件：利用网络缺陷，蓄意制造或通过网络自动复制并传播网络蠕虫； |
| `/Malware/Trojan` | 特洛伊木马事件 | 特洛伊木马事件：制造、传播或利用具有远程控制功能的恶意程序，实现非法窃取或截获数据； |
| `/Malware/Botnet` | 僵尸网络事件 | 僵尸网络事件：利用僵尸工具程序形成僵尸网络； |
| `/Malware/MaliciousCodeEmbedded` | 恶意代码内嵌网页事件 | 恶意代码内嵌网页事件：在访问被嵌入恶意代码而受到污损的网页时，该恶意代码在访问该网页的计算机系统中安装恶意软件； |
| `/Malware/MaliciousCodeHostingSite` | 恶意代码宿主站点事件 | 恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码； |
| `/Malware/Ransomware` | 勒索软件事件 | 勒索软件事件:采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用户索取赎金； |
| `/Malware/Miner` | 挖矿病毒事件 | 挖矿病毒事件：以获得数字加密货币为目的，控制他人的计算机并植入挖矿病毒程序完成大量运算 |
| `/Malware/BlendedAttack` | 混合攻击程序事件 | 混合攻击程序事件:利用多种方法传播和利用多种恶意程序.例如，一个计算机病毒在侵入计算机系统后在系统中安装木马程序； |
| `/Malware/Others` | 其他恶意程序事件 | 其他恶意程序事件:不在以上子类之中的恶意程序事件。 |
| `/NetAttack/Scan` | 网络扫描探测事件 | 网络扫描探测事件：利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息； |
| `/NetAttack/Phishing` | 网络钓鱼事件 | 网络钓鱼事件：利用欺诈性网络技术诱使用户泄露重要数据或个人信息； |
| `/NetAttack/VulnExploit` | 漏洞利用事件 | 漏洞利用事件：通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击； |
| `/NetAttack/BackdoorExploit` | 后门利用事件 | 后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块、程序等，非法获取网络管理权限； |
| `/NetAttack/BackdoorImplantation` | 后门植入事件 | 后门植入事件：非法在网络中创建能够持续获取其管理权限的后门； |
| `/NetAttack/Credential` | 凭据攻击事件 | 凭据攻击事件：破解口令.解析登录口令或凭据等； |
| `/NetAttack/SignalInterference` | 信号干扰事件 | 信号干扰事件：通过技术手段阻碍有线或无线信号在网络中正常传播； |
| `/NetAttack/DOS` | 拒绝服务事件 | 拒绝服务事件：通过非正常使用网络资源（诸如CPU、内存、磁盘空间或网络带宽）影响或破坏网络可用性，例如：DDOS等； |
| `/NetAttack/WebTempering` | 网页篡改事件 | 网页篡改事件:通过恶意破坏或更改网页内容影响网站声誉或破坏网页及网站可用性； |
| `/NetAttack/DomainHijack` | 域名劫持事件 | 域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址（网站）； |
| `/NetAttack/DomainRedirect` | 域名转嫁事件 | 域名转嫁事件:把自己的域名指向一个不属于自己的IP地址，导致针对该域名的攻击都将被引向所指向的IP地址； |
| `/NetAttack/DNSPoisoning` | DNS污染事件 | DNS污染事件:利用刻意制造或无意制造的DNS数据包，把域名指向不正确的IP地址； |
| `/NetAttack/WLANHijack` | WLAN劫持事件 | WLAN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限； |
| `/NetAttack/TrafficHijack` | 流量劫持事件 | 流量劫持事件：通过恶意诱导或非法强制用户访问特定网络资源造成用户流量损失； |
| `/NetAttack/BGPHijack` | BGP劫持攻击事件 | BGP劫持攻击事件:通过BGP恶意操纵网络路由路径； |
| `/NetAttack/BroadcastFraud` | 广播欺诈事件 | 广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息； |
| `/NetAttack/CompromisedHost` | 失陷主机事件 | 失陷主机事件：攻击者获得某主机的控制权后.能以该主机为跳板继续攻击组织内网其他主机； |
| `/NetAttack/SupplyChain` | 供应链攻击事件 | 供应链攻击事件:通过利用供应链管理中存在的脆弱性，感染合法应用来分发恶意程序： |
| `/NetAttack/APT` | APT事件 | APT事件：通过对特定对象展开持续有效的攻击活动.这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击 |
| `/NetAttack/Others` | 其他网络攻击事件 | 其他网络攻击事件:不在以上子类之中的网络攻击事件。 |
| `/DataSec/DataTampering` | 数据篡改事件 | 数据篡改事件:未经授权接触或修改数据； |
| `/DataSec/DataFake` | 数据假冒事件 | 数据假冒事件：非法或未经许可使用、伪造数据； |
| `/DataSec/DataLeakage` | 数据泄露事件 | 数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露： |
| `/DataSec/SocialEngineering` | 社会工程事件 | 社会工程事件:通过非技术手段（如心理学、话术等）诱导他人泄露数据或执行行动； |
| `/DataSec/DataTheft` | 数据窃取事件 | 数据窃取事件:未经授权利用技术手段（例如窃听、间谍等）偷窃数据； |
| `/DataSec/DataIntercept` | 数据拦截事件 | 数据拦截事件:在数据到达目标接收者之前非法捕获数据； |
| `/DataSec/PositionDetection` | 位置检测事件 | 位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置； |
| `/DataSec/DataPoisoning` | 数据投毒事件 | 训练数据的概率分布，导致模型在某些特定条件下产生分类或聚类错误； |
| `/DataSec/DataAbuse` | 数据滥用事件 | 数据滥用事件:无意或恶意滥用数据 |
| `/DataSec/PrivacyInvasion` | 隐私侵犯事件 | 隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息； |
| `/DataSec/DataLoss` | 数据损失事件 | 数据损失事件：因误操作、人为蓄意或软硬件缺陷等因素导致数据损失； |
| `/DataSec/Others` | 其他数据安全事件 | 其他数据安全事件:不在以上子类之中的数据安全事件。 |
| `/InformationSec/Reactionary` | 反动宣传事件 | 反动宣传事件：利用网络传播煽动颠覆国家政权、推翻社会主义制度.煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息： |
| `/InformationSec/Violent` | 暴恐宣扬事件 | 暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义，煽动民族仇恨、民族歧视的信息，引起社会恐慌和动乱； |
| `/InformationSec/Porn` | 色情传播事件 | 色情传播事件：利用网络传播违背社会伦理道德的淫秽色情信息； |
| `/InformationSec/FalseInformation` | 虚假信息传播事件 | 虚假信息传播事件：利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序.造成负面影响； |
| `/InformationSec/RightsInfringement` | 权益侵害事件 | 权益侵害事件：利用网络传播的信息侵害了社会组织或公民的合法权益； |
| `/InformationSec/InformationSpamming` | 信息滥发事件 | 信息滥发事件:利用网络传播未经接收者准许的信息，例如：垃圾邮件等； |
| `/InformationSec/NetworkFraud` | 网络欺诈事件 | 网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获取信息或钱财； |
| `/InformationSec/Others` | 其他信息内容安全事件 | 其他信息内容安全事件：不在以上子类之中的信息内容安全事件。 |
| `/DevOps/TechnicalFailure` | 技术故障事件 | 技术故障事件：网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障，例如：硬件故障、软件故障、过载等； |
| `/DevOps/InfrastructureFailure` | 配套设施故障事件 | 配套设施故障事件:支撑网络运行的配套设施发生故障.例如：电力供应故障、照明系统故障、温湿度控制系统故障等； |
| `/DevOps/PhysicalDamage` | 物理损害事件 | 物理损害事件：故意或意外的物理行动造成网络环境或网络设备损坏.例如：失火、漏水、静电、设备毁坏或丢失等； |
| `/DevOps/Radiation` | 辐射干扰事件 | 辐射干扰事件：因辐射产生干扰影响网络正常运行.例如：电磁辐射、电磁脉冲、电子干扰、电压波动、热辐射等； |
| `/DevOps/Others` | 其他设备设施故障事件 | 其他设备设施故障事件：不在以上子类之中的设备设施故障事件。 |
| `/ViolateOp/PrivilegeAbuse` | 权限滥用事件 | 权限滥用事件：由于网络服务端功能开放过多或权限限制不严格，导致攻击者通过直接或间接调用权限的方式进行攻击； |
| `/ViolateOp/PrivilegeEscalation` | 权限伪造事件 | 权限伪造事件：为了欺骗制造虚假权限； |
| `/ViolateOp/BehaviorDenial` | 行为抵赖事件 | 行为抵赖事件:用户否认其有害行为； |
| `/ViolateOp/Deliberate` | 故意违规操作事件 | 故意违规操作事件：故意执行非法操作； |
| `/ViolateOp/Misoperation` | 误操作事件 | 误操作事件:无意地执行错误操作； |
| `/ViolateOp/PersonnelAvailability` | 人员可用性破坏事件 | 人员可用性破坏事件:人力资源受损，导致人员缺失或缺席； |
| `/ViolateOp/UnauthResource` | 资源未授权使用事件 | 资源未授权使用事件:未经授权访问资源； |
| `/ViolateOp/Copyright` | 版权违反事件 | 版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料； |
| `/ViolateOp/Others` | 其他违规操作事件 | 其他违规操作事件：不在以上子类之中的违规操作事件。 |
| `/SafetyHazard/NetVuln` | 网络漏洞事件 | 网络漏洞事件：因操作系统、应用程序或安全协议开发及设计过程中，对安全性考虑不充分而出现安全隐患； |
| `/SafetyHazard/NetConfigFlaw` | 网络配置缺陷事件 | 网络配置合规缺陷事件：由于软硬件安全配置不合理或缺省配置，不符合网络安全要求而产生安全缺陷或隐患； |
| `/SafetyHazard/Others` | 其他安全隐患事件 | 其他安全隐患事件:不在以上子类之中的安全隐患事件。 |
| `/AbnormalBehavior/Access` | 访问异常事件 | 访问异常事件：因网络软硬件运行环境发生变化导致不能提供服务； |
| `/AbnormalBehavior/Traffic` | 流量异常事件 | 流量异常事件：网络流量行为模式偏离正常基线； |
| `/AbnormalBehavior/Others` | 其他异常行为事件 | 其他异常行为事件:不在以上子类之中的异常行为事件。 |
| `/Majeure/NaturalDisaster` | 自然灾害事件 | 自然灾害事件：大自然的极端现象导致信息和信息系统受损，例如：地震、火山、洪水、暴风、闪电、海啸、崩塌等； |
| `/Majeure/IncidentDisaster` | 事故灾难事件 | 事故灾难事件：具有灾难性后果的事故导致信息和信息系统受损，例如：公共设施和设备事故、环境污染事故等 |
| `/Majeure/PublicHealth` | 公共卫生事件 | 公共卫生事件：传染病疫情等导致信息和信息系统受损； |
| `/Majeure/SocialSec` | 社会安全事件 | 社会安全事件：危害国家和社会的突发性群体性事件导致信息和信息系统受损.例如：恐怖袭击事件等； |
| `/Majeure/Others` | 其他不可抗力事件 | 其他不可抗力事件：不在以上子类之中的不可抗力事件。 |
| `/Others/Others` | 其他事件 | 其他事件指未归为上述分类的网络安全事件。 |

| `latestActivityTime` | 最近发生时间 | `string` | RECOMMENDED | 该字段记录安全事件中最后一次活动或告警触发的时间。格式必须为标准的日期时间字符串，具体要求为：yyyy-mm-dd HH:mm:ss，例如 2024-12-27 19:28:22。 |
| `createTime` | 创建时间 | `string` | OPTIONAL | 该字段记录系统对象、文件或资源的初始创建时间。时间格式必须为yyyy-mm-dd HH:mm:ss。 |
| `closeTime` | 关闭时间 | `string` | OPTIONAL | closeTime字段表示事件处置完成并被正式关闭的时间。该字段为字符串类型，必须遵循严格的日期时间格式：yyyy-mm-dd HH:mm:ss，例如2025-01-14 11:18:31。 |
| `closeReason` | 关闭原因 | `string` | RECOMMENDED | 该字段用于记录安全事件关闭的具体原因和解决状态。值为字符串类型，应简洁明了地描述关闭事件的原因。 |
| `closeUser` | 关闭操作者 | `string` | OPTIONAL | 该字段标识执行事件关闭操作的用户或系统实体。其值为字符串类型，用于记录关闭操作的发起者。 |
| `participants` | 参与人 | `array` | OPTIONAL | 该字段记录参与安全事件响应和处理的所有相关人员列表，存储格式为字符串数组。 |
| `alertDevices` | 告警来源设备 | `array` | RECOMMENDED | 告警来源设备字段记录生成告警的安全设备和传感器信息集合，格式为字符串数组。每个数组元素应为描述设备名称及标识信息的字符串，通常包含设备名称和IP地址等关键信息。 |
| `isInternetAttack` | 是否互联网攻击 | `boolean` | RECOMMENDED | 该字段用于标识攻击源是否来自互联网外部网络。字段类型为布尔值，取值为 true 或 false，其中 true 表示攻击源来自互联网，false 表示攻击源非来自互联网。 |
| `durationTime` | 持续时间 | `long` | OPTIONAL | 持续时间表示事件或操作从开始到结束的完整时间长度，以秒为单位。该字段为长整型数值，应大于等于0。 |
| `incidentDataSource` | 安全事件数据源 | `string` | OPTIONAL | 安全事件数据源字段用于标识安全事件数据的原始来源系统和检测机制，例如安全设备、日志系统、威胁情报平台或人工报告等。 |
| `alertNames` | 告警名称列表 | `array` | OPTIONAL | 告警名称列表，记录安全事件生命周期中关联的所有告警规则名称集合。该字段为字符串数组，数组内每个元素为一个告警名称字符串。 |
| `alertIds` | 告警ID列表 | `array` | RECOMMENDED | 记录安全事件关联的所有告警唯一标识符集合。该字段为字符串数组，数组内每个元素应为表示告警唯一标识符的字符串。 |
| `alertTypes` | 告警类型列表 | `array` | RECOMMENDED | 记录安全事件关联的所有告警分类类型集合。字段值为字符串数组，每个数组元素为一个告警分类类型字符串。 |
| `alertCount` | 告警数量 | `integer` | OPTIONAL | 该字段用于统计安全事件关联的告警总数。其值应为非负整数，表示告警的具体数量。 |
| `attacker` | 攻击者 | `array` | RECOMMENDED | 攻击者是指在攻击活动中使用的所有唯一源IP地址集合，用于标识攻击来源。该字段为数组类型，每个元素必须符合IP地址格式要求，即有效的IPv4或IPv6地址。 |
| `victim` | 受害者 | `array` | RECOMMENDED | 记录受攻击影响的所有唯一目标IP地址集合，以数组形式存储。数组中的每个元素必须是有效的IPv4或IPv6地址格式。IPv4地址格式为点分十进制（如：192.168.1.1），IPv6地址格式需符合标准表示法（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334或压缩格式）。 |
| `srcAddrList` | 来源IP列表 | `array` | RECOMMENDED | 该字段记录安全事件中所有唯一源IP地址的集合。字段值为字符串数组，每个数组元素必须是一个合法的IPv4或IPv6地址。 |
| `destAddrList` | 目的IP列表 | `array` | RECOMMENDED | 目的IP列表记录安全事件中所有唯一目的IP地址的集合。该字段为数组类型，每个元素必须是合法的IPv4或IPv6地址格式。 |
| `assignee` | 负责人 | `string` | OPTIONAL | 负责人字段用于标识负责安全事件调查和响应的主要责任人。其值应为字符串类型，通常为责任人的用户名、工号或姓名。 |

### 字段统计

- **总字段数**: 24
- **必填字段**: 5
- **推荐字段**: 10
- **可选字段**: 9

### 数据类型分布

- **boolean**: 1 个字段
- **string**: 9 个字段
- **array**: 9 个字段
- **integer**: 1 个字段
- **long**: 1 个字段
- **enum**: 3 个字段