调用DescribeSuspEvents查询未经过告警聚合的安全告警事件列表_云安全中心(Security Center)-阿里云帮助中心

查询未经过告警聚合的安全告警事件的列表。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	访问级别	资源类型	条件关键字	关联操作

操作	访问级别	资源类型	条件关键字	关联操作
yundun-sas:DescribeSuspEvents	get	全部资源 ``	无	无

请求参数

名称	类型	必填	描述	示例值

名称	类型	必填	描述	示例值
SourceIp	string	否	访问源的 IP 地址。	192.168.XX.XX
Dealed	string	否	要查询的告警事件是否已处理。取值： N：待处理 Y：已处理	N
Name	string	否	受该告警事件影响的资产的名称。	ecs-xxx
Levels	string	否	要查询的告警事件处理的紧急程度，多个紧急程度之间使用半角逗号（,）分隔，紧急程度依次递减。取值： serious：紧急 suspicious：可疑 remind：提醒	serious
ParentEventTypes	string	否	要查询的告警事件的告警类型。取值：进程异常行为网站后门异常登录异常事件敏感文件篡改恶意进程（云查杀）异常网络连接异常账号应用入侵事件云产品威胁检测精准防御应用白名单持久化后门 Web 应用威胁检测恶意脚本威胁情报恶意网络行为容器集群异常网站后门（本地查杀）漏洞利用恶意进程（本地查杀）可信异常其他	other
EventNames	string	否	告警事件的子类型。多个类型之间使用半角逗号（,）隔开。	WEBSHELL
Remark	string	否	要查询的告警名称或资产的信息。说明支持模糊查询。资产信息包含资产名称、公网 IP、内网 IP。	192.168.XX.XX
Status	string	否	要查询的告警事件状态。取值： 0：全部 1：待处理 2：已忽略 4：已确认 8：已标记为误报 16：处理中 32：处理完毕 64：已经过期 128：已经删除 512：自动拦截中 513：自动拦截完毕	1
PageSize	string	否	设置分页查询时，每页显示的告警事件的数量。默认值为 20，表示每页显示 20 条告警事件。最大值为 100。	20
CurrentPage	string	否	设置从返回结果的第几页开始显示查询结果。默认值为 1，表示从第 1 页开始显示。	1
Lang	string	否	设置请求和接收消息的语言类型。默认值为 zh。取值： zh：中文 en：英文	zh
AlarmUniqueInfo	string	否	告警事件的唯一标识 ID。说明如果查询单个告警事件的异常事件信息，需要提供告警事件的唯一标识 ID，该 ID 可调用 DescribeSuspEvents 接口获取。	8df914418f4211fb****
UniqueInfo	string	否	安全告警的唯一 key。	73fc06fb175a7405697e402f52864****
Id	long	否	记录告警事件的唯一标识 ID。	123
From	string	否	告警事件所属数据源标识，固定为 sas。	sas
Source	string	否	告警来源。	aegis_suspicious_file_v2
GroupId	long	否	受告警事件影响的资产的分组 ID。	18768
Uuids	string	否	要查询告警的服务器的 UUID，多个 UUID 使用半角逗号（,）分隔。	bb5d2484-f10e-450d-8917-3e79667e**,0e7c2fcd-7100-42c7-a21a-db6e4f32**
ClusterId	string	否	需要查询告警事件的集群 ID。	c4af4fdf38a98496a9b63c2be5dae****
ContainerFieldName	string	否	容器检索项。取值： instanceId：实例 ID appName：应用名 clusterId：集群 ID regionId：地域 nodeName：节点名 namespace：命名空间 clusterName：集群名称 image：镜像名称 imageRepoName：镜像的仓库名称 imageRepoNamespace：镜像的仓库命名空间 imageRepoTag：镜像的标签 imageDigest：镜像摘要	instanceId
ContainerFieldValue	string	否	容器检索项对应值。	ccf9769c22b844ff9b8d57417683b****
TargetType	string	否	容器检索目标类型。取值： containerId：容器 ID uuid：服务器 UUID imageUuid：镜像 UUID	containerId
TacticId	string	否	ATT&CK 的战术 ID。	TA0001
OperateErrorCodeList	array	否	告警事件处理结果码集合。
	string	否	告警事件处理结果码。格式为：操作类型.操作结果码。包括以下操作类型： Common：通用操作 deal：处理 ignore：忽略 offline_handled：告警已确认 mark_mis_info：加白名单 rm_mark_mis_info：取消加白名单 quara：隔离 kill_and_quara：普通查杀 kill_virus：深度清理 block_ip：阻断 manual_handled：手工处理 advance_mark_mis_info：精准防御加白名单 advance_mark_mis_info.System：精准防御加白名单自动加白 advance_mark_mis_info.User：精准防御加白名单手动加白操作结果码： Success：成功 Failure：失败 AgentOffline：客户端离线	ignore. Success
OperateTimeStart	string	否	处理时间开始时间戳。	2022-07-05 13:50:38
OperateTimeEnd	string	否	处理时间结束时间戳。	2022-07-06 13:50:38
TimeStart	string	否	最新发生时间起始时间。	2022-07-05 13:50:38
TimeEnd	string	否	最新发生时间结束时间。	2022-07-06 13:50:38
SortColumn	string	否	自定义排序字段，默认 operateTime，取值： lastTime：最新发生时间。 operateTime：处理时间。说明该字段作用于 Dealed 为 Y。	operateTime
SortType	string	否	自定义排序类型，默认 desc，取值： asc：升序。 desc：倒叙。说明该字段作用于 Dealed 为 Y。	desc
AssetsTypeList	array	否	资产类型集合。
	string	否	资产类型。 ECS：云服务器 CONTAINER：容器 K8S：K8s 集群	ECS
ResourceDirectoryAccountId	long	否	资源目录成员账号主账号 ID。说明调用 DescribeMonitorAccounts 接口可以获取该参数。	16670360956*****
StrictMode	string	否	是否属于严格模式告警标识。 N：否 Y：是	Y
MultiAccountActionType	integer	否	多账号查询类型。默认值为 0。取值： 0：查询当前账号数据 1：查询所有账号数据	0
SourceAliUids	array	否	产生告警的阿里云账号 ID 列表。
	long	否	产生告警的阿里云账号 ID。	196072141348****

返回参数

名称	类型	描述	示例值

名称	类型	描述	示例值
	object	告警事件返回数据。
CurrentPage	integer	分页查询时，当前页的页码。	1
PageSize	integer	分页查询时，每页数据显示的最大条数。	20
RequestId	string	本次请求的 ID。	0D6E20E4-8326-1D03-A553-2182BE9E82F9
TotalCount	integer	告警事件的总数量。	100
Count	integer	分页查询时，当前页显示的数据条数。	20
SuspEvents	array<object>	告警事件信息。
WarningSummary	object
Stages	string	攻击阶段。	"["authority_maintenance"]"
TacticItems	array<object>	攻击阶段展示名。
TacticItem	object
TacticId	string	ATT&CK 攻击阶段信息。	TA0001
TacticDisplayName	string	ATT&CK 的战术名称。	Malicious scripts-Malicious script code execution
InternetIp	string	关联实例的公网 IP。	1.2.XX.XX
K8sClusterName	string	K8s 集群名称。	test-daily
ContainerImageId	string	容器镜像 ID。	sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****
LastTimeStamp	long	最后一次发生的时间戳，单位为毫秒。	1631699497000
OccurrenceTime	string	告警事件首次发生的时间。	2018-09-26 01:51:01
AlarmUniqueInfo	string	告警事件的唯一标识 ID。	8df914418f****
Desc	string	告警事件的影响概况描述。	webshell
CanCancelFault	boolean	能否取消标记为误报。取值： true：可以取消 false：不能取消	false
AlarmEventNameDisplay	string	告警名称。	Login with unusual location
AppName	string	告警事件所属应用的名称。	pro-deploy-tibasic
SecurityEventIds	string	告警事件关联的告警事件的 ID。	270789
K8sClusterId	string	K8s 集群 ID。	c517b37e1401e4961b3951863a49a****
ContainerImageName	string	容器镜像名称。	centos7_apache:v1.0.1
MarkMisRules	string	高级加白规则。	<strong>1.</strong>&nbsp&nbsppath&nbsp&nbspcontain&nbsp&nbsp232&nbsp&nbsp
CanBeDealOnLine	boolean	是否支持在线处理告警事件，例如隔离。取值包括： true：支持在线处理 false：不支持在线处理	true
ContainHwMode	boolean	是否为服务器开启了重保护模式。取值： true：已开启。 false：未开启。	false
K8sNodeId	string	K8s 节点 ID。	i-bp14a1ay8e0aa9t0****
InstanceName	string	关联实例的名称。	nginx
EventStatus	integer	告警事件的状态。取值包括： 1：PENDING（待处理） 2：IGNORE（已忽略） 4：HANDLED（已确认） 8：FAULT（已标记误报） 16：DEALING（处理中） 32：DONE（处理完毕） 64：EXPIRE（已经过期） 604：SYSTEM_FAULT（系统标记为误报）	8
SaleVersion	string	告警事件检测支持的产品售卖版本。取值包括： 0：基础版本 1：企业版本	1
OperateErrorCode	string	告警事件操作的错误码。	kill_and_quara.Success
Name	string	告警事件的完整名称。	Unusual Logon-Login with unusual location
HasTraceInfo	boolean	告警事件是否有溯源信息。取值： true：有溯源 false：无溯源	true
DataSource	string	数据来源（可忽略）。	aegis_suspicious_****
OperateTime	long	告警事件操作的时间戳，单位为毫秒。	1631699497000
EventSubType	string	告警事件子类型。	login_common_location
Advanced	boolean	是否离线分析的告警。	true
OccurrenceTimeStamp	long	首次发生的时间戳，单位为毫秒。	1631699497000
InstanceId	string	受告警事件影响的资产实例的 ID。	i-9dp6dwsxdl9z5u1e2f****
AlarmEventTypeDisplay	string	告警事件类型。	Unusual Logon
IntranetIp	string	关联实例的私网 IP。	100.100.XX.XX
LastTime	string	告警事件最近发生时间。	2018-09-26 01:51:01
OperateMsg	string	告警事件操作的备注信息。	success
Uuid	string	关联实例的唯一标识。	bf6b30d3-eea8-4924-9f0a-****
K8sPodName	string	K8sPod 名称。	myapp-pod
ContainerId	string	容器 ID。	container_1648601865161_14925_02_000****
AlarmEventType	string	告警事件类型。	Unusual Logon
K8sNamespace	string	K8s 命名空间。	default
AutoBreaking	boolean	是否自动防御。	true
K8sNodeName	string	K8s 节点名称。	N/A
AlarmEventName	string	告警事件名称。	login_common_location
UniqueInfo	string	安全告警的唯一 key。	e17e****
MaliciousRuleStatus	string	恶意行为防御规则状态。取值包括： open：开启 close：关闭	open
Level	string	告警事件的危险等级。取值包括： serious：紧急 suspicious：可疑 remind：提醒	serious
Id	long	告警事件的唯一标识 ID。	1000
Details	array<object>	告警事件详情。
QuaraFile	object
Type	string	告警事件类型。	text
Value	string	告警事件发生路径。	/etc/crontab
NameDisplay	string	告警事件显示名称。	Login with unusual location
ValueDisplay	string	告警事件发生路径。	/etc/crontab
EventNotes	array<object>	告警事件的备注信息。
EventNote	object
Note	string	备注信息。	Test
NoteId	long	事件记录 ID。	123
NoteTime	string	事件记录时间。	2018-09-26 01:51:01
clusterId	string	集群 ID。	c2051775877374cccbf68af596e6****
ImageUuid	string	镜像 UUID。	70489fb520cea585ad9761d5a842****
DisplaySandboxResult	boolean	支持云沙箱检出。取值包括： true：支持。 false：不支持。	true
LargeModel	boolean	是否支持大模型分析标签。取值包括： true：支持。 false：不支持。	true
MarkList	array	告警事件标签集合。
EventMark	string	告警事件标签。	mark
SourceAliUid	long	产生告警的阿里云账号 ID。	196072141348****

示例

正常返回示例

JSON格式

        

          
      
        
{
  "CurrentPage": 1,
  "PageSize": 20,
  "RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
  "TotalCount": 100,
  "Count": 20,
  "SuspEvents": [
    {
      "Stages": "\"[\"authority_maintenance\"]\"",
      "TacticItems": [
        {
          "TacticId": "TA0001",
          "TacticDisplayName": "Malicious scripts-Malicious script code execution"
        }
      ],
      "InternetIp": "1.2.XX.XX",
      "K8sClusterName": "test-daily",
      "ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
      "LastTimeStamp": 1631699497000,
      "OccurrenceTime": "2018-09-26 01:51:01",
      "AlarmUniqueInfo": "8df914418f****",
      "Desc": "webshell",
      "CanCancelFault": false,
      "AlarmEventNameDisplay": "Login with unusual location",
      "AppName": "pro-deploy-tibasic",
      "SecurityEventIds": "270789",
      "K8sClusterId": "c517b37e1401e4961b3951863a49a****",
      "ContainerImageName": "centos7_apache:v1.0.1",
      "MarkMisRules": "<strong>1.</strong>&nbsp&nbsppath&nbsp&nbspcontain&nbsp&nbsp232&nbsp&nbsp",
      "CanBeDealOnLine": true,
      "ContainHwMode": false,
      "K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
      "InstanceName": "nginx",
      "EventStatus": 8,
      "SaleVersion": "1",
      "OperateErrorCode": "kill_and_quara.Success",
      "Name": "Unusual Logon-Login with unusual location",
      "HasTraceInfo": true,
      "DataSource": "aegis_suspicious_****",
      "OperateTime": 1631699497000,
      "EventSubType": "login_common_location",
      "Advanced": true,
      "OccurrenceTimeStamp": 1631699497000,
      "InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
      "AlarmEventTypeDisplay": "Unusual Logon",
      "IntranetIp": "100.100.XX.XX",
      "LastTime": "2018-09-26 01:51:01",
      "OperateMsg": "success",
      "Uuid": "bf6b30d3-eea8-4924-9f0a-****",
      "K8sPodName": "myapp-pod\n",
      "ContainerId": "container_1648601865161_14925_02_000****",
      "AlarmEventType": "Unusual Logon",
      "K8sNamespace": "default",
      "AutoBreaking": true,
      "K8sNodeName": "N/A",
      "AlarmEventName": "login_common_location",
      "UniqueInfo": "e17e****",
      "MaliciousRuleStatus": "open",
      "Level": "serious",
      "Id": 1000,
      "Details": [
        {
          "Type": "text",
          "Value": "/etc/crontab",
          "NameDisplay": "Login with unusual location",
          "ValueDisplay": "/etc/crontab"
        }
      ],
      "EventNotes": [
        {
          "Note": "Test",
          "NoteId": 123,
          "NoteTime": "2018-09-26 01:51:01\n"
        }
      ],
      "clusterId": "c2051775877374cccbf68af596e6****",
      "ImageUuid": "70489fb520cea585ad9761d5a842****",
      "DisplaySandboxResult": true,
      "LargeModel": true,
      "MarkList": [
        "mark"
      ],
      "SourceAliUid": 0
    }
  ]
}

错误码

HTTP status code	错误码	错误信息	描述

HTTP status code	错误码	错误信息	描述
400	NoPermission	no permission	无此服务的访问权限。
400	UnknownError	UnknownError	未知错误，请稍后重试！
400	RdCheckNoPermission	Resource directory account verification has no permission.	资源目录账号校验无权限。
403	NoPermission	caller has no permission	当前操作未被授权，请联系主账号在RAM控制台进行授权后再执行操作。
500	RdCheckInnerError	Resource directory account service internal error.	资源目录账号服务内部错误。
500	ServerError	ServerError	服务故障，请稍后重试！

访问错误中心查看更多错误码。

变更历史

变更时间	变更内容概要	操作

变更时间	变更内容概要	操作
2024-09-05	OpenAPI 错误码发生变更、OpenAPI 入参发生变更、OpenAPI 返回结构发生变更	查看变更详情
2024-06-21	OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更	查看变更详情
2024-05-13	OpenAPI 错误码发生变更、OpenAPI 入参发生变更	查看变更详情
2024-01-24	OpenAPI 错误码发生变更	查看变更详情
2023-09-21	OpenAPI 错误码发生变更	查看变更详情
2023-09-20	OpenAPI 错误码发生变更	查看变更详情
2023-09-13	OpenAPI 错误码发生变更	查看变更详情
2023-09-07	OpenAPI 错误码发生变更	查看变更详情
2023-08-09	OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更	查看变更详情
2023-07-20	OpenAPI 错误码发生变更、OpenAPI 入参发生变更	查看变更详情
2023-04-25	OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更	查看变更详情