调用DescribeSuspEvents查询未经过告警聚合的安全告警事件列表_云安全中心（态势感知）-阿里云帮助中心

查询未经过告警聚合的安全告警事件的列表。

接口说明

云安全中心的告警聚合功能可通过分析告警产生的链路，将来自同一IP、同一服务或同一个用户的多条恶意告警聚合为一个告警。

云安全中心查询告警事件列表有两个API接口DescribeAlarmEventList、DescribeSuspEvents。

如果您的云安全中心版本是企业版或旗舰版，并且在云安全中心控制台打开了设置中的告警聚合开关，请您使用DescribeAlarmEventList接口查询告警事件列表。
如果您的云安全中心版本是企业版或旗舰版，但是在云安全中心控制台未打开设置中的告警聚合开关，请您使用本接口查询告警事件列表。
如果您的云安全中心版本不是企业版或旗舰版，请您使用本接口查询告警事件列表。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用背景高亮的方式表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	访问级别	资源类型	条件关键字	关联操作
yundun-sas:DescribeSuspEvents	Read	SecurityCenter acs:yundun-sas::{#accountId}:	无	无

请求参数

名称	类型	必填	描述	示例值
SourceIp	string	否	访问源的IP地址。	192.168.XX.XX
Dealed	string	否	要查询的告警事件是否已处理。取值： N：待处理 Y：已处理	N
Name	string	否	受该告警事件影响的资产的名称。	ecs-xxx
Levels	string	否	要查询的告警事件处理的紧急程度，多个紧急程度之间使用半角逗号（,）分隔，紧急程度依次递减。取值： serious：紧急 suspicious：可疑 remind：提醒	serious
ParentEventTypes	string	否	要查询的告警事件的告警类型。取值：进程异常行为网站后门异常登录异常事件敏感文件篡改恶意进程（云查杀）异常网络连接异常账号应用入侵事件云产品威胁检测精准防御应用白名单持久化后门 Web应用威胁检测恶意脚本威胁情报恶意网络行为容器集群异常网站后门（本地查杀）漏洞利用恶意进程（本地查杀）可信异常其他	网站后门
EventNames	string	否	告警事件的子类型。多个类型之间使用半角逗号（,）隔开。	WEBSHELL
Remark	string	否	要查询的告警名称或资产的信息。说明支持模糊查询。资产信息包含资产名称、公网IP、内网IP。	192.168.XX.XX
Status	string	否	要查询的告警事件状态。取值： 0：全部 1：待处理 2：已忽略 4：已确认 8：已标记为误报 16：处理中 32：处理完毕 64：已经过期 128：已经删除 512：自动拦截中 513：自动拦截完毕	1
PageSize	string	否	设置分页查询时，每页显示的告警事件的数量。默认值为20，表示每页显示20条告警事件。	20
CurrentPage	string	否	设置从返回结果的第几页开始显示查询结果。默认值为1，表示从第1页开始显示。	1
Lang	string	否	设置请求和接收消息的语言类型。默认值为zh。取值： zh：中文 en：英文	zh
AlarmUniqueInfo	string	否	告警事件的唯一标识ID。说明如果查询单个告警事件的异常事件信息，需要提供告警事件的唯一标识ID，该ID可调用DescribeAlarmEventList接口获取。	8df914418f4211fb****
UniqueInfo	string	否	安全告警的唯一key。	73fc06fb175a7405697e402f52864****
Id	long	否	记录告警事件的唯一标识ID。	123
From	string	否	告警事件所属数据源标识，固定为sas。	sas
Source	string	否	告警来源。	aegis_suspicious_file_v2
GroupId	long	否	受告警事件影响的资产的分组ID。	18768
Uuids	string	否	要查询告警的服务器的UUID，多个UUID使用半角逗号（,）分隔。	bb5d2484-f10e-450d-8917-3e79667e**,0e7c2fcd-7100-42c7-a21a-db6e4f32**
ClusterId	string	否	需要查询告警事件的集群ID。	c4af4fdf38a98496a9b63c2be5dae****
ContainerFieldName	string	否	容器检索项。取值： instanceId：实例ID appName：应用名 clusterId：集群ID regionId：地域 nodeName：节点名 namespace：命名空间 clusterName：集群名称 image：镜像名称 imageRepoName：镜像的仓库名称 imageRepoNamespace：镜像的仓库命名空间 imageRepoTag：镜像的标签 imageDigest：镜像摘要	instanceId
ContainerFieldValue	string	否	容器检索项对应值。	ccf9769c22b844ff9b8d57417683b****
TargetType	string	否	容器检索目标类型。取值： containerId：容器ID uuid：服务器UUID imageUuid：镜像UUID	containerId
TacticId	string	否	ATT&CK的战术ID。	TA0001
OperateErrorCodeList	array	否	告警事件处理结果码集合。
	string	否	告警事件处理结果码。格式为：操作类型.操作结果码。包括以下操作类型： Common：通用操作 deal：处理 ignore：忽略 offline_handled：告警已确认 mark_mis_info：加白名单 rm_mark_mis_info：取消加白名单 quara：隔离 kill_and_quara：普通查杀 kill_virus：深度清理 block_ip：阻断 manual_handled：手工处理 advance_mark_mis_info：精准防御加白名单 advance_mark_mis_info.System：精准防御加白名单自动加白 advance_mark_mis_info.User：精准防御加白名单手动加白操作结果码： Success：成功 Failure：失败 AgentOffline：客户端离线	ignore. Success
OperateTimeStart	string	否	处理时间开始时间戳。	2022-07-05 13:50:38
OperateTimeEnd	string	否	处理时间结束时间戳。	2022-07-06 13:50:38
TimeStart	string	否	最新发生时间起始时间。	2022-07-05 13:50:38
TimeEnd	string	否	最新发生时间结束时间。	2022-07-06 13:50:38
SortColumn	string	否	自定义排序字段，默认operateTime，取值： lastTime：最新发生时间。 operateTime：处理时间。说明该字段作用于Dealed为Y。	operateTime
SortType	string	否	自定义排序类型，默认desc，取值： asc：升序。 desc：倒叙。说明该字段作用于Dealed为Y。	desc
AssetsTypeList	array	否	资产类型集合。
	string	否	资产类型。 ECS：云服务器 CONTAINER：容器 K8S：K8S集群	ECS

返回参数

名称	类型	描述	示例值
	object	告警事件返回数据。
CurrentPage	integer	分页查询时，当前页的页码。	1
PageSize	integer	分页查询时，每页数据显示的最大条数。	20
RequestId	string	本次请求的ID。	0D6E20E4-8326-1D03-A553-2182BE9E82F9
TotalCount	integer	告警事件的总数量。	100
Count	integer	分页查询时，当前页显示的数据条数。	20
SuspEvents	array	告警事件信息。
	object
Stages	string	攻击阶段。	"["authority_maintenance"]"
TacticItems	array	攻击阶段展示名。
	object
TacticId	string	ATT&CK攻击阶段信息。	TA0001
TacticDisplayName	string	ATT&CK的战术名称。	Malicious scripts-Malicious script code execution
InternetIp	string	关联实例的公网IP。	1.2.XX.XX
K8sClusterName	string	k8s集群名称。	k8s-daily
ContainerImageId	string	容器镜像ID。	sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****
LastTimeStamp	long	最后一次发生的时间戳，单位为毫秒。	1631699497000
OccurrenceTime	string	告警事件首次发生的时间。	2018-09-26 01:51:01
AlarmUniqueInfo	string	告警事件的唯一标识ID。	8df914418f****
Desc	string	告警事件的影响概况描述。	webshell
CanCancelFault	boolean	能否取消标记为误报。	false
AlarmEventNameDisplay	string	告警事件所属的告警描述。	Login with unusual location
AppName	string	告警事件所属应用的名称。	pro-deploy-tibasic
SecurityEventIds	string	告警事件关联的告警事件的ID。	270789
K8sClusterId	string	K8s集群ID。	c517b37e1401e4961b3951863a49a****
ContainerImageName	string	容器镜像名称。	centos7_apache:v1.0.1
MarkMisRules	string	高级加白规则。	[{\"uuid\":\"ALL\",\"field\":\"gmtModified\",\"operate\":\"contains\",\"fieldValue\":\"222\"}]
CanBeDealOnLine	boolean	是否支持在线处理告警事件，例如隔离。取值包括： true：支持在线处理 false：不支持在线处理	true
ContainHwMode	boolean	是否为服务器开启了重保护模式。取值： true：已开启。 false：未开启。	false
K8sNodeId	string	k8s节点ID。	i-bp14a1ay8e0aa9t0****
InstanceName	string	关联实例的名称。	nginx
EventStatus	integer	告警事件的状态。取值包括： 1：PENDING（待处理） 2：IGNORE（已忽略） 4：HANDLED（已确认） 8：FAULT（已标记误报） 16：DEALING（处理中） 32：DONE（处理完毕） 64：EXPIRE（已经过期）	1
SaleVersion	string	告警事件检测支持的产品售卖版本。取值包括： 0：基础版本 1：企业版本	1
OperateErrorCode	string	告警事件操作的错误码。	kill_and_quara.Success
Name	string	告警事件的完整名称。	Unusual Logon-Login with unusual location
HasTraceInfo	boolean	告警事件是否有溯源信息。取值： true：有溯源 false：无溯源	true
DataSource	string	数据来源（可忽略）。	aegis_suspicious_****
OperateTime	long	告警事件操作的时间戳，单位为毫秒。	1631699497000
EventSubType	string	告警事件名称。	login_common_location
Advanced	boolean	是否离线分析的告警。	true
OccurrenceTimeStamp	long	首次发生的时间戳，单位为毫秒。	1631699497000
InstanceId	string	受告警事件影响的资产实例的ID。	i-9dp6dwsxdl9z5u1e2f****
AlarmEventTypeDisplay	string	告警事件类型。	Unusual Logon
IntranetIp	string	关联实例的私网IP。	100.100.XX.XX
LastTime	string	告警事件最近发生时间。	2018-09-26 01:51:01
OperateMsg	string	告警事件操作的备注信息。	success
Uuid	string	关联实例的唯一标识。	bf6b30d3-eea8-4924-9f0a-****
K8sPodName	string	K8sPod名称。	myapp-pod
ContainerId	string	容器ID。	container_1648601865161_14925_02_000****
AlarmEventType	string	告警事件类型。	Unusual Logon
K8sNamespace	string	K8s命名空间。	default
AutoBreaking	boolean	是否自动防御。	true
K8sNodeName	string	k8s节点名称。	N/A
AlarmEventName	string	告警事件名称。	login_common_location
UniqueInfo	string	安全告警的唯一key。	e17e****
MaliciousRuleStatus	string	恶意行为防御规则状态。取值包括： open：开启 close：关闭	open
Level	string	告警事件的危险等级。取值包括： serious：紧急 suspicious：可疑 remind：提醒	serious
Id	long	告警事件的唯一标识ID。	1000
Details	array	告警事件详情。
	object
Type	string	告警事件类型。	text
Value	string	告警事件发生路径。	/etc/crontab
NameDisplay	string	告警事件显示名称。	Login with unusual location
ValueDisplay	string	告警事件发生路径。	/etc/crontab
EventNotes	array	告警事件的备注信息。
	object
Note	string	备注信息。	Test
NoteId	long	事件记录ID。	123
NoteTime	string	事件记录时间。	2018-09-26 01:51:01
clusterId	string	集群ID。	c2051775877374cccbf68af596e6****
DisplaySandboxResult	boolean	支持云沙箱检出。取值包括： true：支持。 false：不支持。	true

示例

正常返回示例

JSON格式

{
  "CurrentPage": 1,
  "PageSize": 20,
  "RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
  "TotalCount": 100,
  "Count": 20,
  "SuspEvents": [
    {
      "Stages": "\"[\"authority_maintenance\"]\"",
      "TacticItems": [
        {
          "TacticId": "TA0001",
          "TacticDisplayName": "Malicious scripts-Malicious script code execution"
        }
      ],
      "InternetIp": "1.2.XX.XX",
      "K8sClusterName": "k8s-daily",
      "ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
      "LastTimeStamp": 1631699497000,
      "OccurrenceTime": "2018-09-26 01:51:01",
      "AlarmUniqueInfo": "8df914418f****",
      "Desc": "webshell",
      "CanCancelFault": false,
      "AlarmEventNameDisplay": "Login with unusual location",
      "AppName": "pro-deploy-tibasic",
      "SecurityEventIds": "270789",
      "K8sClusterId": "c517b37e1401e4961b3951863a49a****",
      "ContainerImageName": "centos7_apache:v1.0.1",
      "MarkMisRules": "[{\\\"uuid\\\":\\\"ALL\\\",\\\"field\\\":\\\"gmtModified\\\",\\\"operate\\\":\\\"contains\\\",\\\"fieldValue\\\":\\\"222\\\"}]",
      "CanBeDealOnLine": true,
      "ContainHwMode": false,
      "K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
      "InstanceName": "nginx",
      "EventStatus": 1,
      "SaleVersion": "1",
      "OperateErrorCode": "kill_and_quara.Success",
      "Name": "Unusual Logon-Login with unusual location",
      "HasTraceInfo": true,
      "DataSource": "aegis_suspicious_****",
      "OperateTime": 1631699497000,
      "EventSubType": "login_common_location",
      "Advanced": true,
      "OccurrenceTimeStamp": 1631699497000,
      "InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
      "AlarmEventTypeDisplay": "Unusual Logon",
      "IntranetIp": "100.100.XX.XX",
      "LastTime": "2018-09-26 01:51:01",
      "OperateMsg": "success",
      "Uuid": "bf6b30d3-eea8-4924-9f0a-****",
      "K8sPodName": "myapp-pod\n",
      "ContainerId": "container_1648601865161_14925_02_000****",
      "AlarmEventType": "Unusual Logon",
      "K8sNamespace": "default",
      "AutoBreaking": true,
      "K8sNodeName": "N/A",
      "AlarmEventName": "login_common_location",
      "UniqueInfo": "e17e****",
      "MaliciousRuleStatus": "open",
      "Level": "serious",
      "Id": 1000,
      "Details": [
        {
          "Type": "text",
          "Value": "/etc/crontab",
          "NameDisplay": "Login with unusual location",
          "ValueDisplay": "/etc/crontab"
        }
      ],
      "EventNotes": [
        {
          "Note": "Test",
          "NoteId": 123,
          "NoteTime": "2018-09-26 01:51:01\n"
        }
      ],
      "clusterId": "c2051775877374cccbf68af596e6****",
      "DisplaySandboxResult": true
    }
  ]
}

错误码

HTTP status code	错误码	错误信息	描述
400	NoPermission	no permission	无此服务的访问权限。
400	UnknownError	UnknownError	未知错误
403	NoPermission	caller has no permission	当前操作未被授权，请联系主账号在RAM控制台进行授权后再执行操作。
500	ServerError	ServerError	服务故障

访问错误中心查看更多错误码。