全部产品
Search
文档中心

云安全中心:DescribeSuspEvents - 查询安全告警事件

更新时间:Nov 25, 2024

查询未经过告警聚合的安全告警事件的列表。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
yundun-sas:DescribeSuspEventsget
*全部资源
*

请求参数

名称类型必填描述示例值
SourceIpstring

访问源的 IP 地址。

192.168.XX.XX
Dealedstring

要查询的告警事件是否已处理。取值:

  • N:待处理
  • Y:已处理
N
Namestring

受该告警事件影响的资产的名称。

ecs-xxx
Levelsstring

要查询的告警事件处理的紧急程度,多个紧急程度之间使用半角逗号(,)分隔,紧急程度依次递减。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
serious
ParentEventTypesstring

要查询的告警事件的告警类型。取值:

  • 进程异常行为
  • 网站后门
  • 异常登录
  • 异常事件
  • 敏感文件篡改
  • 恶意进程(云查杀)
  • 异常网络连接
  • 异常账号
  • 应用入侵事件
  • 云产品威胁检测
  • 精准防御
  • 应用白名单
  • 持久化后门
  • Web 应用威胁检测
  • 恶意脚本
  • 威胁情报
  • 恶意网络行为
  • 容器集群异常
  • 网站后门(本地查杀)
  • 漏洞利用
  • 恶意进程(本地查杀)
  • 可信异常
  • 其他
other
EventNamesstring

告警事件的子类型。多个类型之间使用半角逗号(,)隔开。

WEBSHELL
Remarkstring

要查询的告警名称或资产的信息。

说明 支持模糊查询。资产信息包含资产名称、公网 IP、内网 IP。
192.168.XX.XX
Statusstring

要查询的告警事件状态。取值:

  • 0:全部
  • 1:待处理
  • 2:已忽略
  • 4:已确认
  • 8:已标记为误报
  • 16:处理中
  • 32:处理完毕
  • 64:已经过期
  • 128:已经删除
  • 512:自动拦截中
  • 513:自动拦截完毕
1
PageSizestring

设置分页查询时,每页显示的告警事件的数量。默认值为 20,表示每页显示 20 条告警事件。最大值为 100。

20
CurrentPagestring

设置从返回结果的第几页开始显示查询结果。默认值为 1,表示从第 1 页开始显示。

1
Langstring

设置请求和接收消息的语言类型。默认值为 zh。取值:

  • zh:中文
  • en:英文
zh
AlarmUniqueInfostring

告警事件的唯一标识 ID。

说明 如果查询单个告警事件的异常事件信息,需要提供告警事件的唯一标识 ID,该 ID 可调用 DescribeSuspEvents 接口获取。
8df914418f4211fb****
UniqueInfostring

安全告警的唯一 key。

73fc06fb175a7405697e402f52864****
Idlong

记录告警事件的唯一标识 ID。

123
Fromstring

告警事件所属数据源标识,固定为 sas。

sas
Sourcestring

告警来源。

aegis_suspicious_file_v2
GroupIdlong

受告警事件影响的资产的分组 ID。

18768
Uuidsstring

要查询告警的服务器的 UUID,多个 UUID 使用半角逗号(,)分隔。

bb5d2484-f10e-450d-8917-3e79667e****,0e7c2fcd-7100-42c7-a21a-db6e4f32****
ClusterIdstring

需要查询告警事件的集群 ID。

c4af4fdf38a98496a9b63c2be5dae****
ContainerFieldNamestring

容器检索项。取值:

  • instanceId:实例 ID
  • appName:应用名
  • clusterId:集群 ID
  • regionId:地域
  • nodeName:节点名
  • namespace:命名空间
  • clusterName:集群名称
  • image:镜像名称
  • imageRepoName:镜像的仓库名称
  • imageRepoNamespace:镜像的仓库命名空间
  • imageRepoTag:镜像的标签
  • imageDigest:镜像摘要
instanceId
ContainerFieldValuestring

容器检索项对应值。

ccf9769c22b844ff9b8d57417683b****
TargetTypestring

容器检索目标类型。取值:

  • containerId:容器 ID
  • uuid:服务器 UUID
  • imageUuid:镜像 UUID
containerId
TacticIdstring

ATT&CK 的战术 ID。

TA0001
OperateErrorCodeListarray

告警事件处理结果码集合。

string

告警事件处理结果码。格式为:操作类型.操作结果码。包括以下操作类型:

  • Common:通用操作
  • deal:处理
  • ignore:忽略
  • offline_handled:告警已确认
  • mark_mis_info:加白名单
  • rm_mark_mis_info:取消加白名单
  • quara:隔离
  • kill_and_quara:普通查杀
  • kill_virus:深度清理
  • block_ip:阻断
  • manual_handled:手工处理
  • advance_mark_mis_info:精准防御加白名单
  • advance_mark_mis_info.System:精准防御加白名单自动加白
  • advance_mark_mis_info.User:精准防御加白名单手动加白

操作结果码:

  • Success:成功
  • Failure:失败
  • AgentOffline:客户端离线
ignore. Success
OperateTimeStartstring

处理时间开始时间戳。

2022-07-05 13:50:38
OperateTimeEndstring

处理时间结束时间戳。

2022-07-06 13:50:38
TimeStartstring

最新发生时间起始时间。

2022-07-05 13:50:38
TimeEndstring

最新发生时间结束时间。

2022-07-06 13:50:38
SortColumnstring

自定义排序字段,默认 operateTime,取值:

  • lastTime:最新发生时间。
  • operateTime:处理时间。
说明 该字段作用于 Dealed 为 Y。
operateTime
SortTypestring

自定义排序类型,默认 desc,取值:

  • asc:升序。
  • desc:倒叙。
说明 该字段作用于 Dealed 为 Y。
desc
AssetsTypeListarray

资产类型集合。

string

资产类型。

  • ECS:云服务器
  • CONTAINER:容器
  • K8S:K8s 集群
ECS
ResourceDirectoryAccountIdlong

资源目录成员账号主账号 ID。

说明 调用 DescribeMonitorAccounts 接口可以获取该参数。
16670360956*****
StrictModestring

是否属于严格模式告警标识。

  • N:否
  • Y:是
Y
MultiAccountActionTypeinteger

多账号查询类型。默认值为 0。取值:

  • 0:查询当前账号数据
  • 1:查询所有账号数据
0
SourceAliUidsarray

产生告警的阿里云账号 ID 列表。

long

产生告警的阿里云账号 ID。

196072141348****

返回参数

名称类型描述示例值
object

告警事件返回数据。

CurrentPageinteger

分页查询时,当前页的页码。

1
PageSizeinteger

分页查询时,每页数据显示的最大条数。

20
RequestIdstring

本次请求的 ID。

0D6E20E4-8326-1D03-A553-2182BE9E82F9
TotalCountinteger

告警事件的总数量。

100
Countinteger

分页查询时,当前页显示的数据条数。

20
SuspEventsarray<object>

告警事件信息。

WarningSummaryobject
Stagesstring

攻击阶段。

"["authority_maintenance"]"
TacticItemsarray<object>

攻击阶段展示名。

TacticItemobject
TacticIdstring

ATT&CK 攻击阶段信息。

TA0001
TacticDisplayNamestring

ATT&CK 的战术名称。

Malicious scripts-Malicious script code execution
InternetIpstring

关联实例的公网 IP。

1.2.XX.XX
K8sClusterNamestring

K8s 集群名称。

test-daily
ContainerImageIdstring

容器镜像 ID。

sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****
LastTimeStamplong

最后一次发生的时间戳,单位为毫秒。

1631699497000
OccurrenceTimestring

告警事件首次发生的时间。

2018-09-26 01:51:01
AlarmUniqueInfostring

告警事件的唯一标识 ID。

8df914418f****
Descstring

告警事件的影响概况描述。

webshell
CanCancelFaultboolean

能否取消标记为误报。取值:

  • true:可以取消
  • false:不能取消
false
AlarmEventNameDisplaystring

告警名称。

Login with unusual location
AppNamestring

告警事件所属应用的名称。

pro-deploy-tibasic
SecurityEventIdsstring

告警事件关联的告警事件的 ID。

270789
K8sClusterIdstring

K8s 集群 ID。

c517b37e1401e4961b3951863a49a****
ContainerImageNamestring

容器镜像名称。

centos7_apache:v1.0.1
MarkMisRulesstring

高级加白规则。

<strong>1.</strong>&nbsp&nbsppath&nbsp&nbspcontain&nbsp&nbsp232&nbsp&nbsp
CanBeDealOnLineboolean

是否支持在线处理告警事件,例如隔离。取值包括:

  • true:支持在线处理
  • false:不支持在线处理
true
ContainHwModeboolean

是否为服务器开启了重保护模式。取值:

  • true:已开启。
  • false:未开启。
false
K8sNodeIdstring

K8s 节点 ID。

i-bp14a1ay8e0aa9t0****
InstanceNamestring

关联实例的名称。

nginx
EventStatusinteger

告警事件的状态。取值包括:

  • 1:PENDING(待处理)
  • 2:IGNORE(已忽略)
  • 4:HANDLED(已确认)
  • 8:FAULT(已标记误报)
  • 16:DEALING(处理中)
  • 32:DONE(处理完毕)
  • 64:EXPIRE(已经过期)
  • 604:SYSTEM_FAULT(系统标记为误报)
8
SaleVersionstring

告警事件检测支持的产品售卖版本。取值包括:

  • 0:基础版本
  • 1:企业版本
1
OperateErrorCodestring

告警事件操作的错误码。

kill_and_quara.Success
Namestring

告警事件的完整名称。

Unusual Logon-Login with unusual location
HasTraceInfoboolean

告警事件是否有溯源信息。取值:

  • true:有溯源
  • false:无溯源
true
DataSourcestring

数据来源(可忽略)。

aegis_suspicious_****
OperateTimelong

告警事件操作的时间戳,单位为毫秒。

1631699497000
EventSubTypestring

告警事件子类型。

login_common_location
Advancedboolean

是否离线分析的告警。

true
OccurrenceTimeStamplong

首次发生的时间戳,单位为毫秒。

1631699497000
InstanceIdstring

受告警事件影响的资产实例的 ID。

i-9dp6dwsxdl9z5u1e2f****
AlarmEventTypeDisplaystring

告警事件类型。

Unusual Logon
IntranetIpstring

关联实例的私网 IP。

100.100.XX.XX
LastTimestring

告警事件最近发生时间。

2018-09-26 01:51:01
OperateMsgstring

告警事件操作的备注信息。

success
Uuidstring

关联实例的唯一标识。

bf6b30d3-eea8-4924-9f0a-****
K8sPodNamestring

K8sPod 名称。

myapp-pod
ContainerIdstring

容器 ID。

container_1648601865161_14925_02_000****
AlarmEventTypestring

告警事件类型。

Unusual Logon
K8sNamespacestring

K8s 命名空间。

default
AutoBreakingboolean

是否自动防御。

true
K8sNodeNamestring

K8s 节点名称。

N/A
AlarmEventNamestring

告警事件名称。

login_common_location
UniqueInfostring

安全告警的唯一 key。

e17e****
MaliciousRuleStatusstring

恶意行为防御规则状态。取值包括:

  • open:开启
  • close:关闭
open
Levelstring

告警事件的危险等级。取值包括:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
serious
Idlong

告警事件的唯一标识 ID。

1000
Detailsarray<object>

告警事件详情。

QuaraFileobject
Typestring

告警事件类型。

text
Valuestring

告警事件发生路径。

/etc/crontab
NameDisplaystring

告警事件显示名称。

Login with unusual location
ValueDisplaystring

告警事件发生路径。

/etc/crontab
EventNotesarray<object>

告警事件的备注信息。

EventNoteobject
Notestring

备注信息。

Test
NoteIdlong

事件记录 ID。

123
NoteTimestring

事件记录时间。

2018-09-26 01:51:01
clusterIdstring

集群 ID。

c2051775877374cccbf68af596e6****
ImageUuidstring

镜像 UUID。

70489fb520cea585ad9761d5a842****
DisplaySandboxResultboolean

支持云沙箱检出。取值包括:

  • true:支持。
  • false:不支持。
true
LargeModelboolean

是否支持大模型分析标签。取值包括:

  • true:支持。
  • false:不支持。
true
MarkListarray

告警事件标签集合。

EventMarkstring

告警事件标签。

mark
SourceAliUidlong

产生告警的阿里云账号 ID。

196072141348****

示例

正常返回示例

JSON格式

{
  "CurrentPage": 1,
  "PageSize": 20,
  "RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
  "TotalCount": 100,
  "Count": 20,
  "SuspEvents": [
    {
      "Stages": "\"[\"authority_maintenance\"]\"",
      "TacticItems": [
        {
          "TacticId": "TA0001",
          "TacticDisplayName": "Malicious scripts-Malicious script code execution"
        }
      ],
      "InternetIp": "1.2.XX.XX",
      "K8sClusterName": "test-daily",
      "ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
      "LastTimeStamp": 1631699497000,
      "OccurrenceTime": "2018-09-26 01:51:01",
      "AlarmUniqueInfo": "8df914418f****",
      "Desc": "webshell",
      "CanCancelFault": false,
      "AlarmEventNameDisplay": "Login with unusual location",
      "AppName": "pro-deploy-tibasic",
      "SecurityEventIds": "270789",
      "K8sClusterId": "c517b37e1401e4961b3951863a49a****",
      "ContainerImageName": "centos7_apache:v1.0.1",
      "MarkMisRules": "<strong>1.</strong>&nbsp&nbsppath&nbsp&nbspcontain&nbsp&nbsp232&nbsp&nbsp",
      "CanBeDealOnLine": true,
      "ContainHwMode": false,
      "K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
      "InstanceName": "nginx",
      "EventStatus": 8,
      "SaleVersion": "1",
      "OperateErrorCode": "kill_and_quara.Success",
      "Name": "Unusual Logon-Login with unusual location",
      "HasTraceInfo": true,
      "DataSource": "aegis_suspicious_****",
      "OperateTime": 1631699497000,
      "EventSubType": "login_common_location",
      "Advanced": true,
      "OccurrenceTimeStamp": 1631699497000,
      "InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
      "AlarmEventTypeDisplay": "Unusual Logon",
      "IntranetIp": "100.100.XX.XX",
      "LastTime": "2018-09-26 01:51:01",
      "OperateMsg": "success",
      "Uuid": "bf6b30d3-eea8-4924-9f0a-****",
      "K8sPodName": "myapp-pod\n",
      "ContainerId": "container_1648601865161_14925_02_000****",
      "AlarmEventType": "Unusual Logon",
      "K8sNamespace": "default",
      "AutoBreaking": true,
      "K8sNodeName": "N/A",
      "AlarmEventName": "login_common_location",
      "UniqueInfo": "e17e****",
      "MaliciousRuleStatus": "open",
      "Level": "serious",
      "Id": 1000,
      "Details": [
        {
          "Type": "text",
          "Value": "/etc/crontab",
          "NameDisplay": "Login with unusual location",
          "ValueDisplay": "/etc/crontab"
        }
      ],
      "EventNotes": [
        {
          "Note": "Test",
          "NoteId": 123,
          "NoteTime": "2018-09-26 01:51:01\n"
        }
      ],
      "clusterId": "c2051775877374cccbf68af596e6****",
      "ImageUuid": "70489fb520cea585ad9761d5a842****",
      "DisplaySandboxResult": true,
      "LargeModel": true,
      "MarkList": [
        "mark"
      ],
      "SourceAliUid": 0
    }
  ]
}

错误码

HTTP status code错误码错误信息描述
400NoPermissionno permission无此服务的访问权限。
400UnknownErrorUnknownError未知错误,请稍后重试!
400RdCheckNoPermissionResource directory account verification has no permission.资源目录账号校验无权限。
403NoPermissioncaller has no permission当前操作未被授权,请联系主账号在RAM控制台进行授权后再执行操作。
500RdCheckInnerErrorResource directory account service internal error.资源目录账号服务内部错误。
500ServerErrorServerError服务故障,请稍后重试!

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2024-09-05OpenAPI 错误码发生变更、OpenAPI 入参发生变更、OpenAPI 返回结构发生变更查看变更详情
2024-06-21OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2024-05-13OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情
2024-01-24OpenAPI 错误码发生变更查看变更详情
2023-09-21OpenAPI 错误码发生变更查看变更详情
2023-09-20OpenAPI 错误码发生变更查看变更详情
2023-09-13OpenAPI 错误码发生变更查看变更详情
2023-09-07OpenAPI 错误码发生变更查看变更详情
2023-08-09OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2023-07-20OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情
2023-04-25OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情