1、书 书 书犐 犆犛 犔?犌犅犜?犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犆狔 犫 犲 狉狊 犲 犮 狌 狉 犻 狋 狔狋 犺 狉 犲 犪 狋犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀犳 狅 狉犿犪 狋?书 书 书目次前言引言范围规范性引用文件术语和定义缩略语网络安全威胁信息模型 概述 威胁信息维度 威胁信息组件网络安全威胁信息组件 概述 可观测数据 攻击指标 安全事件 攻击活动 攻击方法 应对措施 威胁主体 攻击目标 附录(资料性附录)采用 表示的完整网络安全威胁信息示例 参考文献 犌犅犜 前言本标准按照 给出的规则起草。请注意本文
2、件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会()提出并归口。本标准起草单位:中国电子技术标准化研究院、北京赛西科技发展有限责任公司、北京天际友盟信息技术有限公司、北京奇安信科技有限公司、中国科学院信息工程研究所、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、中国电子科技网络信息安全有限公司、阿里巴巴(北京)软件服务有限公司、百度在线网络技术(北京)有限公司、北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、神州网云(北京)信息技术有限公司、远江盛邦(北京
3、)网络安全科技股份有限公司、北京君源创投投资管理有限公司、北京派网软件有限公司、深信服科技股份有限公司、中国科学院软件研究所、北京天融信网络安全技术有限公司、腾讯云计算(北京)有限责任公司、上海交通大学、北京工业大学、西安电子科技大学、北京邮电大学、北京中电普华信息技术有限公司、中国人民公安大学、武汉大学。本标准主要起草人:蔡磊、叶润国、杨建军、刘贤刚、范科峰、闵京华、鲍旭华、刘威歆、冯侦探、金湘宇、董晓康、杨大路、杨泽明、李克鹏、李强、宋超、孙薇、贺新朋、李宗洋、孙波、梁露露、宋好好、王惠莅、刘慧晶、孙成胜、权晓文、李建华、雷晓锋、裴庆祺、易锦、刘玉岭、李衍、史博、孙朝晖、周毅、邹荣新、曾志
4、峰、叶建伟、杨震、马占宇、翟湛鹏、曹占峰、姜政伟、杜彦辉、王丽娜。犌犅犜 引言随着网络攻防对抗博弈的日益加剧,网络攻击方式和攻击手法呈现出多样性、复杂性特点,网络安全威胁具有越来越明显的普遍性和持续性,且攻击者获取攻击工具越来越便利,导致网络攻击成本大大降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制,在应对这些复杂网络攻击时显得越来越低效,亟待采取新的技术手段来提升整体网络安全防护能力。网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施,旨在采用多种技术手段,通过采集大规模、多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分
5、析,形成与网络安全防护有关的威胁信息线索,并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应,以降低网络安全威胁的防护成本,并提升整体的网络安全防护效率。网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节,有利于实现跨组织的网络安全威胁信息的快速传递,进而实现对复杂网络安全威胁的及时发现和快速响应。规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础,因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。犌犅犜 信息安全技术网络安全威胁信息格式规范范围本标准规定了网络安全威胁信息模型和网络安全威胁信息组件,包括网络安全威胁信息中
6、各组件的属性和属性值格式等信息。本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用,网络安全威胁信息共享平台的建设和运营可参考使用。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息技术安全技术信息技术安全评估准则第部分:简介和一般模型 信息安全技术信息系统安全保障评估框架第部分:简介和一般模型 信息安全技术术语 信息安全技术安全漏洞标识与描述规范术语和定义 、和 界定的以及下列术语和定义适用于本文件。网络安全网络空间安全犮 狔 犫 犲 狉狊
7、 犲 犮 狌 狉 犻 狋 狔在网络空间中对信息保密性、完整性和可用性的保持。:,定义 威胁狋 犺 狉 犲 犪 狋可能对系统或组织造成危害的不期望事件的潜在原由。,定义 。威胁信息狋 犺 狉 犲 犪 狋犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀一种基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。脆弱性狏 狌 犾 狀 犲 狉 犪 犫 犻 犾 犻 狋 狔可能被一个或多个威胁利用的资产或控制的弱点。,定义 犌犅犜 攻击链犮 狔 犫 犲 狉犽 犻 犾 犾犮 犺 犪 犻 狀一个用来描述包含多个攻击步骤的多步攻击模型。注:常见
8、的多步攻击模型包括信息收集、工具研发、工具投放、脆弱性利用、后门安装、命令与控制、攻击目标达成等七个步骤。缩略语下列缩略语适用于本文件。:域名解析系统():互联网协议():对象标记语言():消息摘要算法第五版():可移植的可执行文件():统一资源定位符():战术、技术和程序(,)网络安全威胁信息模型 概述本标准给出一种结构化方法描述网络安全威胁信息,目的是实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用的自动化。要实现这些目标,则需要一种通用模型来实现对网络安全威胁信息的统一描述,确保网络安全威胁信息描述的一致性,从而提升威胁信息共享的效率、互操作性,以及提升整体的网络安
9、全威胁态势感知能力。威胁信息维度本标准定义了一个通用的网络安全威胁信息模型(以下简称“威胁信息模型”)。威胁信息模型从对象、方法和事件个维度,对网络安全威胁信息进行了划分,采用包括可观测数据()、攻击指标()、安全事件()、攻击活动()、威胁主体()、攻击目标()、攻击方法()、应对措施()在内的八个威胁信息组件描述网络安全威胁信息。威胁信息模型中的个组件可以划分到个域中:)对象域:描述网络安全威胁的参与角色,包括两个组件:“威胁主体”(一般是攻击者)和“攻击目标”(一般是受害者);)方法域:描述网络安全威胁中的方法类元素,包括两个组件:“攻击方法”(攻击者实施入侵所采用的方法、技术和过程),
10、以及“应对措施”(包括针对攻击行为的预警、检测、防护、响应等动作);)事件域:在不同层面描述网络安全威胁相关的事件,包括四个组件:“攻击活动”(以经济或政治为攻击目标)、“安全事件”(对信息系统进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。威胁信息组件图给出了威胁信息模型,它包括个威胁信息组件,每个组件包含要素本身属性和与其他组件的关系信息,是构成威胁信息模型的关键要素。其中:犌犅犜 )“可观测数据”,与主机或网络相关的有状态的属性或可测量事件,是威胁信息模型中最基础的组件;)“攻击指标”,用来识别一个特定“攻击方法”的技术指标
11、,它是多个“可观测数据”的组合,是用来检测“安全事件”的检测规则;)“安全事件”,依据对应指标(“攻击指标”)检测出的可能影响到特定组织的网络攻击事件,一个具体的网络攻击事件可涉及到“威胁主体”、“攻击方法”和“应对措施”等信息;)“攻击活动”,“威胁主体”采用具体的“攻击方法”实现一个具体攻击意图的系列攻击动作,整个攻击活动会产生一系列“安全事件”;)“威胁主体”,“攻击活动”中发起活动的主体,“威胁主体”使用相关方法(“攻击方法”)达到攻击意图;)“攻击目标”,被“攻击方法”所利用的软件、系统、网络的漏洞或弱点,对于每个攻击目标,都有相应的有效措施(“应对措施”)进行抑制;)“攻击方法”,
12、对“威胁主体”实施攻击过程中所使用方法的描述,每种“攻击方法”都会采取漏洞利用的方式来利用“攻击目标”上的漏洞或弱点类型;)“应对措施”,应对具体“攻击目标”有效措施,当安全事件发生后,也可能会采取相应的“应对措施”进行事后的安全事件处置。本标准中定义的威胁信息模型应灵活、可扩展,主要表现在威胁信息模型中定义的各个威胁信息组件都是可选的,它既可以独立使用,也可以任意方式组合,比如,在特定应用场景下,可以只使用威胁信息模型中相关的组件,而无需使用全部的组件。威胁信息模型的灵活和可扩展特性使得其适合在各种独立的应用场景中使用。图威胁信息模型个威胁信息组件的具体格式规范应符合第章给出的细节要求。采用
13、本标准的网络安全威胁信息格式的完整网络安全威胁信息示例参见附录。犌犅犜 网络安全威胁信息组件 概述本章对威胁信息模型中的个威胁信息组件进行了格式规范,具体包括各组件的属性以及属性值格式。各组件属性的格式用 数据类型表示,包括 (字符串)、(数组)和 (对象)等数据类型。可观测数据 概述在威胁信息模型中,“可观测数据”是最基础的组件,用于描述与主机或网络相关的各种带状态的数据或可测量的事件。“可观测数据”在形式上是一个逻辑表达式,其逻辑关系按照以下规则组织:)“可观测数据”表达式按照树状结构组织;)每个非叶节点表示子节点的关系,包括“或”关系和“与”关系两种;)每个叶节点是判别式,表示一个具体检
14、查项。例如文件名是否包含指定字符串,注册表项是否为指定内容等。共有等于、不等于、包含和不包含类判别方式。字段描述本标准定义的可观测数据包括:基本记录、电子邮件基本记录、文件下载基本记录、文件信息基本记录、进程信息基本记录、网址访问基本记录、注册表信息基本记录、用户信息基本记录、系统信息基本记录等。可观测数据包括如下内容:)标识号,共享范围内全局唯一的标识;)引用标识号,引用在其他地方的“可观测数据”;)时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本;)版本,使用的标准版本;)名称,“可观测数据”的简单名称;)描述,采用文本形式详细描述本条目;)简要描
15、述,采用文本形式简要描述本条目;)关系,“可观测数据”与其他组件之间的关系;)判别式,用带逻辑预算关系的判别式表示单一“可观测数据”,或者多个可观测数据”的组合,其组合关系如 所示;)对象类型,“可观测数据”的类型名称,除了对应 中的所有对象类型外,也可以根据实际场景进行扩展。可观测数据的各字段描述见表。表可观测数据对象字段描述字段名字段描述字段格式字段必要性 标识号 必选项 引用标识号 可选项 时间戳 可选项犌犅犜 表(续)字段名字段描述字段格式字段必要性 版本 必选项 名称 可选项 描述 可选项 简要描述 可选项 关系 可选项判别式 可选项对象类型 可选项 具体可观测数据 犇犖犛基本记录基
16、本记录主要记录与域名解析相关的观测值,包括如下内容:)域名解析主机,提供域名解析服务的服务器名称;)域名解析记录,服务可以为一个给定域名提供映射的 地址信息,即域名解析记录;)记录类型,服务可以提供多种查询和反查询服务,包括描述 地址信息的主机记录,描述服务器的名称服务器记录,描述邮件服务器的邮件交换记录等。本字段指明具体的记录类型。基本记录的各字段描述见表。表犇犖犛基本记录字段名字段描述字段格式字段必要性 域名解析主机 可选项 域名解析记录 可选项 记录类型 可选项 电子邮件基本记录电子邮件基本记录主要记录与电子邮件相关的观测值,包括如下内容:)邮件附件多用途互联网邮件扩展类型,电子邮件附件
17、的多用途互联网邮件扩展类型,可表明宜用哪种应用程序打开文件;)邮件附件名称,电子邮件附件的文件名称,标明该附件文件的文件名称和类型;)邮件附件内容,电子邮件附件的内容,表明附件文件中的全部信息;)密件抄送地址,电子邮件密件抄送的地址,表明邮件密件抄送的全部收件人;)邮件正文文本,电子邮件正文的文本,表明正文的全部文本内容;)邮件抄送地址,电子邮件抄送的地址,表明邮件抄送的全部收件人;)邮件发送者,电子邮件的发件人,表明邮件发送人的邮箱地址;)邮件引用,回复电子邮件时引用的原文,表明原邮件正文的内容;)邮件主题,电子邮件的主题,表明电子邮件内容的标志性信息;犌犅犜 )邮件接收者,电子邮件的收件人
18、,表明全部收件人的邮箱地址。电子邮件基本记录字段描述见表。表电子邮件基本记录字段名字段描述字段格式字段必要性 邮件附件多用途互联网邮件扩展类型 可选项 邮件附件名称 可选项 邮件附件内容 可选项 密件抄送地址 可选项 邮件正文文本 可选项 邮件抄送地址 可选项 邮件发送者 可选项 邮件引用 可选项 邮件主题 可选项 邮件接收者 可选项 文件下载基本记录文件下载基本记录主要记录与文件下载相关的观测值,包括如下内容:)文件下载历史名称,文件下载历史的文件名称,表明下载文件的文件名称和类型;)文件下载浏览器名称,文件下载所用浏览器的名称,表明文件下载的方式;)文件下载字节数,文件下载的字节数,表明下
19、载文件的大小;)文件下载名称,文件下载的文件名称;)文件下载开始时间,记录的文件下载的开始时间,通常精确到秒。文件下载基本记录字段描述见表。表文件下载基本记录字段名字段描述字段格式字段必要性 文件下载历史名称 可选项 文件下载浏览器名称 可选项 文件下载字节数 可选项 文件下载名称 可选项 文件下载开始时间 可选项 文件信息基本记录文件信息基本记录主要记录与文件信息相关的观测值,包括如下内容:)文件名称,文件的名称,表明文件的名称和文件类型;)文件路径,文件的路径,表明文件所在的文件夹名称;)文件完整路径,文件的完整路径,表明文件存储的绝对路径;犌犅犜 )文件值,文件的值。如果对文件有任何改动
20、,其值也会发生变化;)文件证书发布者,颁发本标准证书的组织;)文件导出函数,文件导出的函数,提供给第三方使用的文件导出函数;)文件导入函数,文件导入的函数,用来实现第三方文件的数据导入;)文件导入名称,文件导入的名称,表明所导入的第三方文件名称;)文件编译时间,文件编译的时间,通常精确到秒;)文件资源信息名称,文件资源信息的名称。资源包含多种形式的数据,如字符串、图片等等;)文件资源信息大小,文件资源信息的总字节;)文件段名称,文件段的名称,是由 字符组成的字符串;)文件类型,文件所属的类型,例如、等;)版本公司名称,文件版本信息中所标明的公司名称;)版本标准描述,文件版本信息中给出的描述信息
21、;)版本标准版本,文件版本信息中所标明的文件版本号;)版本合法版权,文件版本信息中所标明的合法版权声明;)版本原始文件名,文件版本信息中所标明的原始文件名;)版本产品名称,文件版本信息中所标明的产品名称信息;)版本产品版本,文件版本信息中所标明的产品版本号信息;)文件,文件的值。值的作用与值一样,为一种文件指纹;)文件 ,文件的 值。值的作用与值一样,为一种文件指纹;)文件大小,文件的字节数,表明文件所占用存储空间的大小;)文件数字签名描述,文件的数字签名描述,用于验证文件的来源和完整性。文件信息基本记录字段描述见表。表文件信息基本记录字段名字段描述字段格式字段必要性 文件名称 可选项 文件路
22、径 可选项 文件完整路径 可选项文件值 可选项 文件证书发布者 可选项 文件导出函数 可选项 文件导入函数 可选项 文件导入名称 可选项 文件编译时间 可选项 文件资源信息名称 可选项 文件资源信息大小 可选项 文件段信息 可选项 文件类型 可选项 版本公司名称 可选项犌犅犜 表(续)字段名字段描述字段格式字段必要性 版本标准描述 可选项 版本标准版本 可选项 版本合法版权 可选项 版本原始文件名 可选项 版本产品名称 可选项 版本产品版本 可选项文件 可选项 文件 可选项 文件大小 可选项 文件数字签名描述 可选项 进程信息基本记录进程信息基本记录主要记录与进程相关的观测值,包括如下内容:)
23、进程本地,进程所使用的本地主机 地址;)进程本地端口,进程所使用的本地主机端口号;)进程传输协议,进程所使用的传输层协议,包括协议和协议;)进程远程,进程所连接的远程主机 地址;)进程远程端口,进程所连接的远程主机端口号;)进程名称,进程所显示的完整名称;)进程用户名,进程在运行主机上所属的用户名;)进程参数,进程运行所指定的参数;)进程路径,进程的路径,表示进程相关的可执行文件在磁盘中的存储位置;)进程标识符,进程的标识符,用于唯一标识一个进程的数值;)父进程路径,父进程的路径,表示父进程相关的可执行文件在磁盘中的存储位置;)父进程,父进程的值,用于唯一标明父进程信息;)进程开始时间,进程开
24、始运行的时间,通常精确到秒;)进程结束时间,进程结束运行的时间,通常精确到秒。进程信息基本记录见表。表进程信息基本记录字段名字段描述字段格式字段必要性 进程本地 可选项 进程本地端口 可选项 进程端口协议 可选项 进程远程 可选项 进程远程端口 可选项犌犅犜 表(续)字段名字段描述字段格式字段必要性 进程名称 可选项 进程用户名 可选项 进程参数 可选项 进程路径 可选项 进程标识符 可选项 父进程路径 可选项 父进程 可选项 进程开始时间 可选项 进程结束时间 可选项 网址访问基本记录网址访问基本记录主要记录与网址访问相关的观测值,包括如下内容:)主机历史记录,访问主机的历史记录;)网址历史
25、记录,访问网址的历史记录。网址访问基本记录见表。表网址访问基本记录字段名字段描述字段格式字段必要性 主机历史记录 可选项 网址访问记录 可选项 注册表信息基本记录注册表信息基本记录主要记录与注册表相关的观测值,包括如下内容:)注册表键路径,注册表键在注册表结构中的访问路径;)注册表存储路径,注册表文件的存储路径;)注册表项类型,注册表项的类型,包括二进制、值、字符串值三种类型;)注册表键名称,注册表键的名称;)注册表键值,注册表键的赋值。注册表信息基本记录见表。表注册表信息基本记录字段名字段描述字段格式字段必要性 注册表键路径 可选项 注册表存储路径 可选项 注册表项类型 可选项犌犅犜 表(续
26、)字段名字段描述字段格式字段必要性 注册表键名称 可选项 注册表键值 可选项 用户信息基本记录用户信息基本记录主要记录与用户相关的信息,包括如下内容:)用户名称,登录系统的注册用户名称;)用户组名称,用户所在的用户组的名称。用户信息基本记录各字段信息见表。表用户信息基本记录字段名字段描述字段格式字段必要性 用户名称 可选项 用户组名称 可选项 系统信息基本记录系统信息基本记录主要记录与操作系统相关的信息,包括如下内容:)操作系统信息,操作系统的信息,如操作系统名称及版本等信息;)主机名,运行操作系统的主机名称;)地址,运行操作系统的主机 地址;)产品名称,操作系统所在主机的产品名称;)系统用户
27、,操作系统所在主机的系统用户。系统信息基本记录见表。表 系统信息基本记录字段名字段描述字段格式字段必要性 操作系统信息 可选项 主机名 可选项 地址 可选项 产品名称 可选项 系统用户 可选项 攻击指标“攻击指标”是指在特定的网络环境中,用来识别出一个特定“攻击方法”的“可观测数据”组合。它由映射到“攻击方法”的一个或多个“可观测数据”组成,并附加相关的元数据。攻击指标组件包括如下内容:犌犅犜 )标识号,共享范围内全局唯一的标识;)引用标识号,引用在其他地方的“攻击指标”;注:当使用引用标识号时,本地“攻击指标”只是一个引用,不包含任何具体内容。)时间戳,与标识号共同使用,指定本地条目的版本,
28、或是与引用标识号共同使用,指定外部条目的版本;)版本,使用的标准版本;)名称,“攻击指标”的简单命名;)类型,“攻击指标”的类型。攻击指标类型既可以使用现有类型列表中的值,也可以使用类型扩展机制自行定义;)别名,“攻击指标”的可选标识(别名);)描述,采用文本形式详细描述本条目;)简要描述,采用文本形式简要描述本条目;)时间,“攻击指标”发生的有效时间范围;)可观测数据,与本条目对应的“可观测数据”;)攻击方法,与本条目相关的“攻击方法”;)攻击阶段,本条目在攻击链中对应的攻击阶段;)检测机制,检测机制是一种方法,用于有效识别满足“攻击指标”的特定“可观测数据”;)潜在影响,在“攻击指标”发生
29、的场景下,对系统可能产生的潜在影响。这通常是用于本地使用而非共享的一个字段;)应对措施,推荐对本次攻击进行修复的“应对措施”;)可信度,本条目的可信度级别;)相关攻击指标,与本条目相关的其他“攻击指标”;)信息来源,本条目的产生者,描述信息来源细节。攻击指标组件的各字段描述见表。表 攻击指标字段描述字段名字段描述字段格式字段必要性 标识号 必选项 引用标识号 可选项 时间戳 可选项 版本 必选项 名称 可选项 类型 可选项 别名 可选项 描述 可选项 简要描述 可选项 可观测数据 可选项 有效时间(起始)可选项 有效时间(结束)可选项 攻击方法 可选项 犌犅犜 表(续)字段名字段描述字段格式字
30、段必要性 攻击阶段 可选项 检测机制 可选项 潜在影响 可选项 应对措施 可选项 可信度 可选项 相关攻击指标 可选项 信息来源 可选项 安全事件“安全事件”是指检测中发现的可能影响到特定组织的一系列独立的“攻击指标”的实例。安全事件包括如下内容:)标识号,共享范围内全局唯一的标识;)引用标识号,引用发生在其他地方的“安全事件”;注:当使用引用标识号时,本地“安全事件”只是一个引用,不包含任何具体内容。)时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本;)版本,使用的标准版本;)位置链接,给出一个链接,指向事件发生的网址;)名称,“安全事件”的简单命名
31、;)外部标识号,当“安全事件”同时发生在本地和外部系统时,用该字段指出同一事件在外部系统中的标识号;)时间,“安全事件”发生的有效时间范围;)描述,采用文本形式详细描述本条目;)简要描述,采用文本形式简要描述本条目;)类别,用于描述本次“安全事件”所属类别的一个集合;)关系者,和本次“安全事件”有关的各种角色信息,包括报告者、响应者、协作者,受害者。)影响资产,描述在本次“安全事件”中受影响的资产信息;)影响评估,描述在本次“安全事件”中造成影响的评估结果;)状态,描述本次“安全事件”的当前状态。可以使用预定义的状态类型,也可以由使用者自定义类型;)相关指标,和本次“安全事件”有关的其他指标信
32、息,包括相关攻击指标、相关攻击方法、相关威胁主体、相关安全事件;)预期效果,描述本次“安全事件”的预期效果。可以使用预定义的状态类型,也可以由使用者自定义类型;)获取权限,指出这次事件是否涉及攻击者取得了某种安全权限;)发现方法,这次事件是怎样被发现的;)应对措施,受害者为消除本次“安全事件”的影响已采取和待执行应对措施;)可信度,本条目的可信度级别;犌犅犜 )联系人,本次“安全事件”相关的组织或个人联系人;)历史,对本次“安全事件”处置或行动的相关历史日志;)信息来源,本条目的产生者,描述信息来源细节。安全事件组件的字段描述见表。表 安全事件字段描述字段名字段描述字段格式字段必要性 标识号
33、必选项 引用标识号 可选项 时间戳 可选项 版本 必选项 位置链接 可选项 名称 可选项 外部标识号 可选项 有效时间(起始)可选项 有效时间(结束)可选项 描述 可选项 简要描述 可选项 类别 可选项 关系者 可选项 影响资产 可选项 影响评估 可选项 状态 可选项 相关指标 可选项 预期效果 可选项 获取权限 可选项 发现方法 可选项 应对措施 可选项 可信度 可选项 联系人 可选项 历史 可选项 信息来源 可选项 攻击活动“攻击活动”是指“威胁主体”实现一个具体意图的系列动作。攻击活动组件包括如下内容:)标识号,共享范围内全局唯一的标识;)引用标识号,引用发生在其他地方的“攻击活动”;注:当使用引用标识号时,本地“攻击活动”只是一个引用,不包含任何具体内容。犌犅犜 )时间戳,与标识号共同使用,指定本地条目的版本,或是与引用标识号共同使用,指定外部条目的版本;)版本,使用的标准版本;)
