查询未经过告警聚合的安全告警事件的列表。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
下表是API对应的授权信息,可以在RAM权限策略语句的Action
元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:
- 操作:是指具体的权限点。
- 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
- 资源类型:是指操作中支持授权的资源类型。具体说明如下:
- 对于必选的资源类型,用背景高亮的方式表示。
- 对于不支持资源级授权的操作,用
全部资源
表示。
- 条件关键字:是指云产品自身定义的条件关键字。
- 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作 | 访问级别 | 资源类型 | 条件关键字 | 关联操作 |
---|---|---|---|---|
yundun-sas:DescribeSuspEvents | get | *全部资源 * |
| 无 |
请求参数
名称 | 类型 | 必填 | 描述 | 示例值 |
---|---|---|---|---|
SourceIp | string | 否 | 访问源的 IP 地址。 | 192.168.XX.XX |
Dealed | string | 否 | 要查询的告警事件是否已处理。取值:
| N |
Name | string | 否 | 受该告警事件影响的资产的名称。 | ecs-xxx |
Levels | string | 否 | 要查询的告警事件处理的紧急程度,多个紧急程度之间使用半角逗号(,)分隔,紧急程度依次递减。取值:
| serious |
ParentEventTypes | string | 否 | 要查询的告警事件的告警类型。取值:
| other |
EventNames | string | 否 | 告警事件的子类型。多个类型之间使用半角逗号(,)隔开。 | WEBSHELL |
Remark | string | 否 | 要查询的告警名称或资产的信息。 说明
支持模糊查询。资产信息包含资产名称、公网 IP、内网 IP。
| 192.168.XX.XX |
Status | string | 否 | 要查询的告警事件状态。取值:
| 1 |
PageSize | string | 否 | 设置分页查询时,每页显示的告警事件的数量。默认值为 20,表示每页显示 20 条告警事件。最大值为 100。 | 20 |
CurrentPage | string | 否 | 设置从返回结果的第几页开始显示查询结果。默认值为 1,表示从第 1 页开始显示。 | 1 |
Lang | string | 否 | 设置请求和接收消息的语言类型。默认值为 zh。取值:
| zh |
AlarmUniqueInfo | string | 否 | 告警事件的唯一标识 ID。 说明
如果查询单个告警事件的异常事件信息,需要提供告警事件的唯一标识 ID,该 ID 可调用 DescribeSuspEvents 接口获取。
| 8df914418f4211fb**** |
UniqueInfo | string | 否 | 安全告警的唯一 key。 | 73fc06fb175a7405697e402f52864**** |
Id | long | 否 | 记录告警事件的唯一标识 ID。 | 123 |
From | string | 否 | 告警事件所属数据源标识,固定为 sas。 | sas |
Source | string | 否 | 告警来源。 | aegis_suspicious_file_v2 |
GroupId | long | 否 | 受告警事件影响的资产的分组 ID。 | 18768 |
Uuids | string | 否 | 要查询告警的服务器的 UUID,多个 UUID 使用半角逗号(,)分隔。 | bb5d2484-f10e-450d-8917-3e79667e****,0e7c2fcd-7100-42c7-a21a-db6e4f32**** |
ClusterId | string | 否 | 需要查询告警事件的集群 ID。 | c4af4fdf38a98496a9b63c2be5dae**** |
ContainerFieldName | string | 否 | 容器检索项。取值:
| instanceId |
ContainerFieldValue | string | 否 | 容器检索项对应值。 | ccf9769c22b844ff9b8d57417683b**** |
TargetType | string | 否 | 容器检索目标类型。取值:
| containerId |
TacticId | string | 否 | ATT&CK 的战术 ID。 | TA0001 |
OperateErrorCodeList | array | 否 | 告警事件处理结果码集合。 | |
string | 否 | 告警事件处理结果码。格式为:操作类型.操作结果码。包括以下操作类型:
操作结果码:
| ignore. Success | |
OperateTimeStart | string | 否 | 处理时间开始时间戳。 | 2022-07-05 13:50:38 |
OperateTimeEnd | string | 否 | 处理时间结束时间戳。 | 2022-07-06 13:50:38 |
TimeStart | string | 否 | 最新发生时间起始时间。 | 2022-07-05 13:50:38 |
TimeEnd | string | 否 | 最新发生时间结束时间。 | 2022-07-06 13:50:38 |
SortColumn | string | 否 | 自定义排序字段,默认 operateTime,取值:
说明
该字段作用于 Dealed 为 Y。
| operateTime |
SortType | string | 否 | 自定义排序类型,默认 desc,取值:
说明
该字段作用于 Dealed 为 Y。
| desc |
AssetsTypeList | array | 否 | 资产类型集合。 | |
string | 否 | 资产类型。
| ECS | |
ResourceDirectoryAccountId | long | 否 | 资源目录成员账号主账号 ID。 说明
调用 DescribeMonitorAccounts 接口可以获取该参数。
| 16670360956***** |
StrictMode | string | 否 | 是否属于严格模式告警标识。
| Y |
MultiAccountActionType | integer | 否 | 多账号查询类型。默认值为 0。取值:
| 0 |
SourceAliUids | array | 否 | 产生告警的阿里云账号 ID 列表。 | |
long | 否 | 产生告警的阿里云账号 ID。 | 196072141348**** |
返回参数
示例
正常返回示例
JSON
格式
{
"CurrentPage": 1,
"PageSize": 20,
"RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
"TotalCount": 100,
"Count": 20,
"SuspEvents": [
{
"Stages": "\"[\"authority_maintenance\"]\"",
"TacticItems": [
{
"TacticId": "TA0001",
"TacticDisplayName": "Malicious scripts-Malicious script code execution"
}
],
"InternetIp": "1.2.XX.XX",
"K8sClusterName": "test-daily",
"ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
"LastTimeStamp": 1631699497000,
"OccurrenceTime": "2018-09-26 01:51:01",
"AlarmUniqueInfo": "8df914418f****",
"Desc": "webshell",
"CanCancelFault": false,
"AlarmEventNameDisplay": "Login with unusual location",
"AppName": "pro-deploy-tibasic",
"SecurityEventIds": "270789",
"K8sClusterId": "c517b37e1401e4961b3951863a49a****",
"ContainerImageName": "centos7_apache:v1.0.1",
"MarkMisRules": "<strong>1.</strong>  path  contain  232  ",
"CanBeDealOnLine": true,
"ContainHwMode": false,
"K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
"InstanceName": "nginx",
"EventStatus": 8,
"SaleVersion": "1",
"OperateErrorCode": "kill_and_quara.Success",
"Name": "Unusual Logon-Login with unusual location",
"HasTraceInfo": true,
"DataSource": "aegis_suspicious_****",
"OperateTime": 1631699497000,
"EventSubType": "login_common_location",
"Advanced": true,
"OccurrenceTimeStamp": 1631699497000,
"InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
"AlarmEventTypeDisplay": "Unusual Logon",
"IntranetIp": "100.100.XX.XX",
"LastTime": "2018-09-26 01:51:01",
"OperateMsg": "success",
"Uuid": "bf6b30d3-eea8-4924-9f0a-****",
"K8sPodName": "myapp-pod\n",
"ContainerId": "container_1648601865161_14925_02_000****",
"AlarmEventType": "Unusual Logon",
"K8sNamespace": "default",
"AutoBreaking": true,
"K8sNodeName": "N/A",
"AlarmEventName": "login_common_location",
"UniqueInfo": "e17e****",
"MaliciousRuleStatus": "open",
"Level": "serious",
"Id": 1000,
"Details": [
{
"Type": "text",
"Value": "/etc/crontab",
"NameDisplay": "Login with unusual location",
"ValueDisplay": "/etc/crontab"
}
],
"EventNotes": [
{
"Note": "Test",
"NoteId": 123,
"NoteTime": "2018-09-26 01:51:01\n"
}
],
"clusterId": "c2051775877374cccbf68af596e6****",
"ImageUuid": "70489fb520cea585ad9761d5a842****",
"DisplaySandboxResult": true,
"LargeModel": true,
"MarkList": [
"mark"
],
"SourceAliUid": 0
}
]
}
错误码
HTTP status code | 错误码 | 错误信息 | 描述 |
---|---|---|---|
400 | NoPermission | no permission | 无此服务的访问权限。 |
400 | UnknownError | UnknownError | 未知错误,请稍后重试! |
400 | RdCheckNoPermission | Resource directory account verification has no permission. | 资源目录账号校验无权限。 |
403 | NoPermission | caller has no permission | 当前操作未被授权,请联系主账号在RAM控制台进行授权后再执行操作。 |
500 | RdCheckInnerError | Resource directory account service internal error. | 资源目录账号服务内部错误。 |
500 | ServerError | ServerError | 服务故障,请稍后重试! |
访问错误中心查看更多错误码。
变更历史
变更时间 | 变更内容概要 | 操作 |
---|---|---|
2024-09-05 | OpenAPI 错误码发生变更、OpenAPI 入参发生变更、OpenAPI 返回结构发生变更 | 查看变更详情 |
2024-06-21 | OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更 | 查看变更详情 |
2024-05-13 | OpenAPI 错误码发生变更、OpenAPI 入参发生变更 | 查看变更详情 |
2024-01-24 | OpenAPI 错误码发生变更 | 查看变更详情 |
2023-09-21 | OpenAPI 错误码发生变更 | 查看变更详情 |
2023-09-20 | OpenAPI 错误码发生变更 | 查看变更详情 |
2023-09-13 | OpenAPI 错误码发生变更 | 查看变更详情 |
2023-09-07 | OpenAPI 错误码发生变更 | 查看变更详情 |
2023-08-09 | OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更 | 查看变更详情 |
2023-07-20 | OpenAPI 错误码发生变更、OpenAPI 入参发生变更 | 查看变更详情 |
2023-04-25 | OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更 | 查看变更详情 |