6.3　安全事件

安全事件”是指檢測中發現的可能影響到特定組織的一系列獨立的“攻擊指標”的實例。安全事件包括如下內容：

a) 標識號——共享范圍內全局唯一的標識號。

a) 引用標識號——引用發生在其他地方的“安全事件”。

注：當使用引用標識號時，本地“安全事件”只是一個引用，不能包含任何具體內容。

b) 時間戳——時間戳，與標識號共同使用，指定本地條目的版本，或是與引用標識號共同使用，指定外部條目的版本。

c) 版本——使用的標準版本。

d) 位置鏈接——給出一個 URL 鏈接，指向事件發生的網址。

e) 名稱——“安全事件”的簡單命名。

f) 外部標識號——當“安全事件”同時發生在本地和外部系統時，用該字段指出同一事件在外部系統中的標識號。

g) 時間——“安全事件”發生的有效時間范圍。

h) 描述——采用文本形式詳細描述本條目。

i) 簡要描述——采用文本形式簡要描述本條目。

j) 類別——用于描述本次“安全事件”所屬類別的一個集合。

k) 關系者——和本次“安全事件”有關的各種角色信息，包括報告者、響應者、協作者，受害者。

l) 影響資產——描述在本次“安全事件”中受影響的資產信息。

m) 影響評估——描述在本次“安全事件”中造成影響的評估結果。

n) 狀態——描述本次“安全事件”的當前狀態。可以使用預定義的狀態類型，也可以由使用者自定義類型。

o) 相關指標——和本次“安全事件”有關的其他指標信息，包括相關攻擊指標、相關攻擊方法、相關威脅主體、相關安全事件。

p) 預期效果——描述本次“安全事件”的預期效果。可以使用預定義的狀態類型，也可以由使用者自定義類型。

q) 獲取權限——指出這次事件是否涉及攻擊者取得了某種安全權限。

r) 發現方法——這次事件是怎樣被發現的。

s) 應對措施——受害者為消除本次“安全事件”的影響已采取和待采取的應對動作。

t) 可信度——本條目的可信度級別。

u) 聯系人——本次“安全事件”相關的組織或個人聯系人。

v) 歷史——對本次“安全事件”處置或行動的相關歷史日志。

w) 信息來源——本條目的產生者，描述信息來源細節。