调用DescribeAlarmEventList接口获取安全告警处理页面的告警事件信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeAlarmEventList

系统规定参数。取值:DescribeAlarmEventList。

CurrentPage Integer 1

分页查询时,显示的当前页的页码。起始值为1,默认值为1。

From String sas

请求来源标识,固定为sas。

PageSize String 20

分页查询时,显示的每页数据的最大条数。默认值为20。

SourceIp String 1.2.3.4

访问源的IP地址。

Lang String zh

请求和接收消息的语言类型。

  • zh:中文
  • en:英文
Dealed String Y

告警事件状态。

  • N:待处理告警
  • Y:已处理告警
Levels String serious

告警事件的危险等级,多个严重等级用逗号分隔(严重等级递减)。

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
Remark String database_server

告警名称/资产信息。

GroupId String tst***

告警事件受影响资产的分组ID。

AlarmEventName String DDoS木马

告警事件名称。

AlarmEventType String 恶意进程(云查杀)

告警事件类型。

OperateErrorCodeList.N RepeatList ignore. Success

告警事件处理结果码。格式为:操作类型.操作结果码。

包括以下操作类型:

  • Common:通用操作
  • deal:处理
  • ignore:忽略
  • offline_handled:告警已确认
  • mark_mis_info:加白名单
  • rm_mark_mis_info:取消加白名单
  • quara:隔离
  • kill_and_quara:普通查杀
  • kill_virus:深度清理
  • block_ip:阻断
  • manual_handled:手工处理

操作结果码:

  • Success:成功
  • Failure:失败
  • AgentOffline:客户端离线

返回数据

名称 类型 示例值 描述
RequestId String 28267723-D857-4DD8-B295-013100000000

结果的请求ID。

SuspEvents Array

告警事件信息。

AlarmUniqueInfo String 8df914418f4211fbf756efe7a6f40cbc

告警事件的唯一标识ID。

Solution String 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。

告警事件的处理方法。

Level String serious

告警事件的危险等级。

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
CanBeDealOnLine Boolean true

是否能在线处理告警事件,例如阻断隔离、加白名单、忽略等。

  • true:支持在线处理
  • false:不支持在线处理
Description String 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。

告警事件的描述。

StartTime Long 1543740301000

告警事件的开始时间。

EndTime Long 1543740301000

告警事件结束时间毫秒数。

AlarmEventType String 进程异常行为

告警事件类型。

SuspiciousEventCount Integer 1

关联的异常事件的条数。

Uuid String 47900178-885d-4fa4-9d77-***

关联实例的唯一标识。

InstanceName String 测试服务器

受影响资产实例的名称。

InternetIp String 1.2.3.4

受影响资产实例的公网IP。

IntranetIp String 1.2.3.5

受影响资产实例的私网IP。

AlarmEventName String 执行恶意命令

告警事件名称。

SaleVersion String 1

告警事件检测支持的售卖版本。

  • 0:基础版本
  • 1:企业版本
DataSource String aegis_***

数据来源。

CanCancelFault Boolean false

能否取消标记为误报。

Dealed Boolean false

告警是否已处理。

  • true:已处理
  • false:待处理
GmtModified Long 1569235879000

告警最新发生时间毫秒数。

HasTraceInfo Boolean true

告警是否有溯源信息。

  • true:有溯源
  • false:无溯源
SecurityEventIds String 270789

关联异常的ID。

OperateErrorCode String kill_and_quara.Success

告警处理结果码。

AlarmEventNameOriginal String 恶意命令执行精准防御

告警事件原始父名称。

InstanceId String i-e***

受影响资产实例ID。

PageInfo Struct

页面显示信息。

Count Integer 1

分页查询时,显示的当前页的数据条数。

PageSize Integer 20

分页查询时,显示的每页数据的最大条数。

TotalCount Integer 1

告警事件的总条数。

CurrentPage Integer 1

分页查询时,显示的当前页的页码。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeAlarmEventList
&CurrentPage=1
&From=sas
&PageSize=20
&<公共请求参数>

正常返回示例

XML 格式

<DescribeAlarmEventList>
  <RequestId>1D7FB2DD-4B80-41F4-94CF-C484EF6A5CAC</RequestId>
  <PageInfo>
        <Count>1</Count>
        <TotalCount>58</TotalCount>
        <PageSize>1</PageSize>
        <CurrentPage>1</CurrentPage>
  </PageInfo>
  <SuspEvents>
        <Uuid>c4678332-ef35-4ad4-8358-681ebbc0ccab</Uuid>
        <Dealed>true</Dealed>
        <SecurityEventIds>261401</SecurityEventIds>
        <Description>云查杀扫描(挖矿程序)</Description>
        <CanCancelFault>false</CanCancelFault>
        <InstanceId>i-bp***</InstanceId>
        <OperateErrorCode></OperateErrorCode>
        <InternetIp>1.2.3.5</InternetIp>
        <GmtModified>1572524936000</GmtModified>
        <SuspiciousEventCount>1</SuspiciousEventCount>
        <HasTraceInfo>false</HasTraceInfo>
        <AlarmUniqueInfo>8b59e7bd134797758709983c26ece2a2</AlarmUniqueInfo>
        <AlarmEventName>挖矿程序</AlarmEventName>
        <AlarmEventType>精准防御</AlarmEventType>
        <IntranetIp>1.2.3.4</IntranetIp>
        <Level>serious</Level>
        <EndTime>1572524936000</EndTime>
        <StartTime>1572524936000</StartTime>
        <AlarmEventNameOriginal>挖矿程序精准防御</AlarmEventNameOriginal>
        <SaleVersion>0</SaleVersion>
        <CanBeDealOnLine>false</CanBeDealOnLine>
        <InstanceName>cit***</InstanceName>
  </SuspEvents>
</DescribeAlarmEventList>

JSON 格式

{
	"RequestId": "1D7FB2DD-4B80-41F4-94CF-C484EF6A5CAC",
	"PageInfo": {
		"Count": 1,
		"TotalCount": 58,
		"PageSize": 1,
		"CurrentPage": 1
	},
	"SuspEvents": [
		{
			"Uuid": "c4678332-ef35-4ad4-8358-681ebbc0ccab",
			"Dealed": true,
			"SecurityEventIds": "261401",
			"Description": "云查杀扫描(挖矿程序)",
			"CanCancelFault": false,
			"InstanceId": "i-bp***",
			"OperateErrorCode": "",
			"InternetIp": "1.2.3.5",
			"GmtModified": 1572524936000,
			"SuspiciousEventCount": 1,
			"HasTraceInfo": false,
			"AlarmUniqueInfo": "8b59e7bd134797758709983c26ece2a2",
			"AlarmEventName": "挖矿程序",
			"AlarmEventType": "精准防御",
			"IntranetIp": "1.2.3.4",
			"Level": "serious",
			"EndTime": 1572524936000,
			"StartTime": 1572524936000,
			"AlarmEventNameOriginal": "挖矿程序精准防御",
			"SaleVersion": "0",
			"CanBeDealOnLine": false,
			"InstanceName": "cit***"
		}
	]
}

错误码

访问错误中心查看更多错误码。