Event-Modell und Lebenszyklus
Übersicht
Abschnitt betitelt „Übersicht“Diese Seite beschreibt das aktuell belastbare Event-Modell für den verifizierten Android-plus-Cloud-MVP und markiert breitere Objektmodelle als Zielarchitektur.
Aktuell belegte Objekte
Abschnitt betitelt „Aktuell belegte Objekte“Der verifizierte Registrierungs-Pfad nutzt aktuell diese Kernfelder:
| Feld | Typ | Status | Beschreibung |
|---|---|---|---|
device_id | string | runtime-proven | stabile lokale Geräte-ID |
tenant_id | string | runtime-proven | Tenant-Bindung für Autorisierung und Zustellung |
platform | string | runtime-proven | aktuell im verifizierten Pfad android |
status | string | runtime-proven | aktueller Registrierungsstatus |
public_key_b64 | string | runtime-proven | öffentlicher RSA-Schlüssel der Android-App |
Der heute belegte Android-Demo-Pfad nutzt für POST /events dieses Event-Schema:
{ "event_id": "evt-android-demo-1", "type": "risk.event.created", "timestamp": "2026-03-17T01:10:00Z", "tenant_id": "tenant-local", "device_id": "android-device-1", "threat_category": "malicious_app", "confidence": 0.92, "action_taken": "warn", "policy_id": "pol_android_mvp_v1", "severity": "high", "description": "Suspicious Android app install observed", "indicators": ["package:com.example.sideload"]}| Feld | Typ | Status | Beschreibung |
|---|---|---|---|
event_id | string | runtime-proven | eindeutige Event-Referenz |
type | string | runtime-proven | aktueller Workspace-Discriminator |
timestamp | string (ISO 8601) | runtime-proven | Zeitpunkt der Event-Erstellung |
tenant_id | string | runtime-proven | Tenant-Bindung |
device_id | string | runtime-proven | Referenz auf das registrierte Android-Gerät |
threat_category | string | runtime-proven | aktuelle Kategorie des Demo-Pfads |
confidence | float | runtime-proven | Confidence-Wert des Event-Objekts |
action_taken | string | runtime-proven | aktueller Pfad nutzt warn oder block im Backend-Vertrag |
policy_id | string | runtime-proven | Policy-Referenz im Event |
severity | string | runtime-proven | low, medium, high, critical im Vertrag |
description | string | runtime-proven | menschenlesbare Beschreibung |
indicators | array[string] | runtime-proven | aktuelle Demo-Indikatoren |
Der aktuelle Runtime-Pfad stellt abgeleitete Alerts über GET /alerts bereit. Belegte Felder sind:
| Feld | Typ | Status |
|---|---|---|
alert_id | string | runtime-proven |
tenant_id | string | runtime-proven |
device_id | string | runtime-proven |
status | string | runtime-proven |
severity | string | runtime-proven |
title | string | runtime-proven |
event_ids | array[string] | runtime-proven |
Incident
Abschnitt betitelt „Incident“Der aktuelle Runtime-Pfad stellt tenant-scoped Incidents über GET /incidents und GET /incidents/{id} bereit. Belegte Felder sind:
| Feld | Typ | Status |
|---|---|---|
id | string | runtime-proven |
tenant_id | string | runtime-proven |
category | string | runtime-proven |
severity | string | runtime-proven |
status | string | runtime-proven |
message | string | runtime-proven |
Job und Trace
Abschnitt betitelt „Job und Trace“Für den verifizierten Android-Read-Pfad sind auch diese Objekte belegbar:
| Objekt | Aktuell belegte Felder |
|---|---|
| Job | job_id, tenant_id, status, workflow_id, trace_id, artifact_refs, updated_at |
| Trace | trace_id, tenant_id, job_id, workflow_id, final_status |
| Trace Step | step_id, trace_id, job_id, tenant_id, step_type, status, error_code, guardrail_result |
Lebenszyklus im verifizierten MVP
Abschnitt betitelt „Lebenszyklus im verifizierten MVP“Der heute belegte Pfad in Worten
Abschnitt betitelt „Der heute belegte Pfad in Worten“- Die Android-App registriert ein Gerät signiert über
POST /devices. - Die Android-App sendet ein signiertes Demo-Event über
POST /events. - Das Backend akzeptiert das Event tenant-scoped und kann daraus Alerts und Incidents ableiten.
- Die App liest
GET /status,GET /alerts,GET /incidents,GET /incidents/{id},GET /jobs,GET /jobs/{id},GET /traces/{id}undGET /traces/{id}/steps. - Für Jobs und Traces ist heute ein kleiner host-seitiger Demo-Pfad verifiziert; daraus folgt kein breiter Endnutzer-Workflow.
Was ausdrücklich Zielarchitektur bleibt
Abschnitt betitelt „Was ausdrücklich Zielarchitektur bleibt“Die folgenden Modelle oder Eigenschaften sind in dieser Form nicht als aktueller Runtime-Stand belegt:
- ein allgemeines
Signal-Objekt als stabiler externer Vertrag - ein ausmodelliertes
Threat-Objekt als langfristig zugesagte Public-API - Push-, E-Mail- oder SIEM-Alert-Kanäle als ausgelieferter Android-v1-Pfad
- lokale AES-256-Event-Speicherung
- feste Retention-Werte wie 90 oder 180 Tage
- Multi-Plattform-Device-Schemata als verifizierter v1-Lieferpfad