DescribeSuspEvents - 查询安全告警事件

更新时间:2025-02-17 05:24:06

查询未经过告警聚合的安全告警事件的列表。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用前面加 * 表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
操作访问级别资源类型条件关键字关联操作
yundun-sas:DescribeSuspEventsget
*全部资源
*

请求参数

名称类型必填描述示例值
名称类型必填描述示例值
SourceIpstring

访问源的 IP 地址。

192.168.XX.XX
Dealedstring

要查询的告警事件是否已处理。取值:

  • N:待处理
  • Y:已处理
N
Namestring

受该告警事件影响的资产的名称。

ecs-xxx
Levelsstring

要查询的告警事件处理的紧急程度,多个紧急程度之间使用半角逗号(,)分隔,紧急程度依次递减。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
serious
ParentEventTypesstring

要查询的告警事件的告警类型。取值:

  • 进程异常行为
  • 网站后门
  • 异常登录
  • 异常事件
  • 敏感文件篡改
  • 恶意进程(云查杀)
  • 异常网络连接
  • 异常账号
  • 应用入侵事件
  • 云产品威胁检测
  • 精准防御
  • 应用白名单
  • 持久化后门
  • Web 应用威胁检测
  • 恶意脚本
  • 威胁情报
  • 恶意网络行为
  • 容器集群异常
  • 网站后门(本地查杀)
  • 漏洞利用
  • 恶意进程(本地查杀)
  • 可信异常
  • 其他
other
EventNamesstring

告警事件的子类型。多个类型之间使用半角逗号(,)隔开。

WEBSHELL
Remarkstring

要查询的告警名称或资产的信息。

说明
支持模糊查询。资产信息包含资产名称、公网 IP、内网 IP。
192.168.XX.XX
Statusstring

要查询的告警事件状态。取值:

  • 0:全部
  • 1:待处理
  • 2:已忽略
  • 4:已确认
  • 8:已标记为误报
  • 16:处理中
  • 32:处理完毕
  • 64:已经过期
  • 128:已经删除
  • 512:自动拦截中
  • 513:自动拦截完毕
1
PageSizestring

设置分页查询时,每页显示的告警事件的数量。默认值为 20,表示每页显示 20 条告警事件。最大值为 100。

20
CurrentPagestring

设置从返回结果的第几页开始显示查询结果。默认值为 1,表示从第 1 页开始显示。

1
Langstring

设置请求和接收消息的语言类型。默认值为 zh。取值:

  • zh:中文
  • en:英文
zh
AlarmUniqueInfostring

告警事件的唯一标识 ID。

说明
如果查询单个告警事件的异常事件信息,需要提供告警事件的唯一标识 ID,该 ID 可调用 DescribeSuspEvents 接口获取。
8df914418f4211fb****
UniqueInfostring

安全告警的唯一 key。

73fc06fb175a7405697e402f52864****
Idlong

记录告警事件的唯一标识 ID。

123
Fromstring

告警事件所属数据源标识,固定为 sas。

sas
Sourcestring

告警来源。

aegis_suspicious_file_v2
GroupIdlong

受告警事件影响的资产的分组 ID。

18768
Uuidsstring

要查询告警的服务器的 UUID,多个 UUID 使用半角逗号(,)分隔。

bb5d2484-f10e-450d-8917-3e79667e****,0e7c2fcd-7100-42c7-a21a-db6e4f32****
ClusterIdstring

需要查询告警事件的集群 ID。

c4af4fdf38a98496a9b63c2be5dae****
ContainerFieldNamestring

容器检索项。取值:

  • instanceId:实例 ID
  • appName:应用名
  • clusterId:集群 ID
  • regionId:地域
  • nodeName:节点名
  • namespace:命名空间
  • clusterName:集群名称
  • image:镜像名称
  • imageRepoName:镜像的仓库名称
  • imageRepoNamespace:镜像的仓库命名空间
  • imageRepoTag:镜像的标签
  • imageDigest:镜像摘要
instanceId
ContainerFieldValuestring

容器检索项对应值。

ccf9769c22b844ff9b8d57417683b****
TargetTypestring

容器检索目标类型。取值:

  • containerId:容器 ID
  • uuid:服务器 UUID
  • imageUuid:镜像 UUID
containerId
TacticIdstring

ATT&CK 的战术 ID。

TA0001
OperateErrorCodeListarray

告警事件处理结果码集合。

string

告警事件处理结果码。格式为:操作类型.操作结果码。包括以下操作类型:

  • Common:通用操作
  • deal:处理
  • ignore:忽略
  • offline_handled:告警已确认
  • mark_mis_info:加白名单
  • rm_mark_mis_info:取消加白名单
  • quara:隔离
  • kill_and_quara:普通查杀
  • kill_virus:深度清理
  • block_ip:阻断
  • manual_handled:手工处理
  • advance_mark_mis_info:精准防御加白名单
  • advance_mark_mis_info.System:精准防御加白名单自动加白
  • advance_mark_mis_info.User:精准防御加白名单手动加白

操作结果码:

  • Success:成功
  • Failure:失败
  • AgentOffline:客户端离线
ignore. Success
OperateTimeStartstring

处理时间开始时间戳。

2022-07-05 13:50:38
OperateTimeEndstring

处理时间结束时间戳。

2022-07-06 13:50:38
TimeStartstring

最新发生时间起始时间。

2022-07-05 13:50:38
TimeEndstring

最新发生时间结束时间。

2022-07-06 13:50:38
SortColumnstring

自定义排序字段,默认 operateTime,取值:

  • lastTime:最新发生时间。
  • operateTime:处理时间。
说明
该字段作用于 Dealed 为 Y。
operateTime
SortTypestring

自定义排序类型,默认 desc,取值:

  • asc:升序。
  • desc:倒叙。
说明
该字段作用于 Dealed 为 Y。
desc
AssetsTypeListarray

资产类型集合。

string

资产类型。

  • ECS:云服务器
  • CONTAINER:容器
  • K8S:K8s 集群
ECS
ResourceDirectoryAccountIdlong

资源目录成员账号主账号 ID。

说明
调用 DescribeMonitorAccounts 接口可以获取该参数。
16670360956*****
StrictModestring

是否属于严格模式告警标识。

  • N:否
  • Y:是
Y
MultiAccountActionTypeinteger

多账号查询类型。默认值为 0。取值:

  • 0:查询当前账号数据
  • 1:查询所有账号数据
0
SourceAliUidsarray

产生告警的阿里云账号 ID 列表。

long

产生告警的阿里云账号 ID。

196072141348****

返回参数

名称类型描述示例值
名称类型描述示例值
object

告警事件返回数据。

CurrentPageinteger

分页查询时,当前页的页码。

1
PageSizeinteger

分页查询时,每页数据显示的最大条数。

20
RequestIdstring

本次请求的 ID。

0D6E20E4-8326-1D03-A553-2182BE9E82F9
TotalCountinteger

告警事件的总数量。

100
Countinteger

分页查询时,当前页显示的数据条数。

20
SuspEventsarray<object>

告警事件信息。

WarningSummaryobject
Stagesstring

攻击阶段。

"["authority_maintenance"]"
TacticItemsarray<object>

攻击阶段展示名。

TacticItemobject
TacticIdstring

ATT&CK 攻击阶段信息。

TA0001
TacticDisplayNamestring

ATT&CK 的战术名称。

Malicious scripts-Malicious script code execution
InternetIpstring

关联实例的公网 IP。

1.2.XX.XX
K8sClusterNamestring

K8s 集群名称。

test-daily
ContainerImageIdstring

容器镜像 ID。

sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****
LastTimeStamplong

最后一次发生的时间戳,单位为毫秒。

1631699497000
OccurrenceTimestring

告警事件首次发生的时间。

2018-09-26 01:51:01
AlarmUniqueInfostring

告警事件的唯一标识 ID。

8df914418f****
Descstring

告警事件的影响概况描述。

webshell
CanCancelFaultboolean

能否取消标记为误报。取值:

  • true:可以取消
  • false:不能取消
false
AlarmEventNameDisplaystring

告警名称。

Login with unusual location
AppNamestring

告警事件所属应用的名称。

pro-deploy-tibasic
SecurityEventIdsstring

告警事件关联的告警事件的 ID。

270789
K8sClusterIdstring

K8s 集群 ID。

c517b37e1401e4961b3951863a49a****
ContainerImageNamestring

容器镜像名称。

centos7_apache:v1.0.1
MarkMisRulesstring

高级加白规则。

<strong>1.</strong>&nbsp&nbsppath&nbsp&nbspcontain&nbsp&nbsp232&nbsp&nbsp
CanBeDealOnLineboolean

是否支持在线处理告警事件,例如隔离。取值包括:

  • true:支持在线处理
  • false:不支持在线处理
true
ContainHwModeboolean

是否为服务器开启了重保护模式。取值:

  • true:已开启。
  • false:未开启。
false
K8sNodeIdstring

K8s 节点 ID。

i-bp14a1ay8e0aa9t0****
InstanceNamestring

关联实例的名称。

nginx
EventStatusinteger

告警事件的状态。取值包括:

  • 1:PENDING(待处理)
  • 2:IGNORE(已忽略)
  • 4:HANDLED(已确认)
  • 8:FAULT(已标记误报)
  • 16:DEALING(处理中)
  • 32:DONE(处理完毕)
  • 64:EXPIRE(已经过期)
  • 604:SYSTEM_FAULT(系统标记为误报)
8
SaleVersionstring

告警事件检测支持的产品售卖版本。取值包括:

  • 0:基础版本
  • 1:企业版本
1
OperateErrorCodestring

告警事件操作的错误码。

kill_and_quara.Success
Namestring

告警事件的完整名称。

Unusual Logon-Login with unusual location
HasTraceInfoboolean

告警事件是否有溯源信息。取值:

  • true:有溯源
  • false:无溯源
true
DataSourcestring

数据来源(可忽略)。

aegis_suspicious_****
OperateTimelong

告警事件操作的时间戳,单位为毫秒。

1631699497000
EventSubTypestring

告警事件子类型。

login_common_location
Advancedboolean

是否离线分析的告警。

true
OccurrenceTimeStamplong

首次发生的时间戳,单位为毫秒。

1631699497000
InstanceIdstring

受告警事件影响的资产实例的 ID。

i-9dp6dwsxdl9z5u1e2f****
AlarmEventTypeDisplaystring

告警事件类型。

Unusual Logon
IntranetIpstring

关联实例的私网 IP。

100.100.XX.XX
LastTimestring

告警事件最近发生时间。

2018-09-26 01:51:01
OperateMsgstring

告警事件操作的备注信息。

success
Uuidstring

关联实例的唯一标识。

bf6b30d3-eea8-4924-9f0a-****
K8sPodNamestring

K8sPod 名称。

myapp-pod
ContainerIdstring

容器 ID。

container_1648601865161_14925_02_000****
AlarmEventTypestring

告警事件类型。

Unusual Logon
K8sNamespacestring

K8s 命名空间。

default
AutoBreakingboolean

是否自动防御。

true
K8sNodeNamestring

K8s 节点名称。

N/A
AlarmEventNamestring

告警事件名称。

login_common_location
UniqueInfostring

安全告警的唯一 key。

e17e****
MaliciousRuleStatusstring

恶意行为防御规则状态。取值包括:

  • open:开启
  • close:关闭
open
Levelstring

告警事件的危险等级。取值包括:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
serious
Idlong

告警事件的唯一标识 ID。

1000
Detailsarray<object>

告警事件详情。

QuaraFileobject
Typestring

告警事件类型。

text
Valuestring

告警事件发生路径。

/etc/crontab
NameDisplaystring

告警事件显示名称。

Login with unusual location
ValueDisplaystring

告警事件发生路径。

/etc/crontab
EventNotesarray<object>

告警事件的备注信息。

EventNoteobject
Notestring

备注信息。

Test
NoteIdlong

事件记录 ID。

123
NoteTimestring

事件记录时间。

2018-09-26 01:51:01
clusterIdstring

集群 ID。

c2051775877374cccbf68af596e6****
ImageUuidstring

镜像 UUID。

70489fb520cea585ad9761d5a842****
DisplaySandboxResultboolean

支持云沙箱检出。取值包括:

  • true:支持。
  • false:不支持。
true
LargeModelboolean

是否支持大模型分析标签。取值包括:

  • true:支持。
  • false:不支持。
true
MarkListarray

告警事件标签集合。

EventMarkstring

告警事件标签。

mark
SourceAliUidlong

产生告警的阿里云账号 ID。

196072141348****

示例

正常返回示例

JSON格式

{
  "CurrentPage": 1,
  "PageSize": 20,
  "RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
  "TotalCount": 100,
  "Count": 20,
  "SuspEvents": [
    {
      "Stages": "\"[\"authority_maintenance\"]\"",
      "TacticItems": [
        {
          "TacticId": "TA0001",
          "TacticDisplayName": "Malicious scripts-Malicious script code execution"
        }
      ],
      "InternetIp": "1.2.XX.XX",
      "K8sClusterName": "test-daily",
      "ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
      "LastTimeStamp": 1631699497000,
      "OccurrenceTime": "2018-09-26 01:51:01",
      "AlarmUniqueInfo": "8df914418f****",
      "Desc": "webshell",
      "CanCancelFault": false,
      "AlarmEventNameDisplay": "Login with unusual location",
      "AppName": "pro-deploy-tibasic",
      "SecurityEventIds": "270789",
      "K8sClusterId": "c517b37e1401e4961b3951863a49a****",
      "ContainerImageName": "centos7_apache:v1.0.1",
      "MarkMisRules": "<strong>1.</strong>&nbsp&nbsppath&nbsp&nbspcontain&nbsp&nbsp232&nbsp&nbsp",
      "CanBeDealOnLine": true,
      "ContainHwMode": false,
      "K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
      "InstanceName": "nginx",
      "EventStatus": 8,
      "SaleVersion": "1",
      "OperateErrorCode": "kill_and_quara.Success",
      "Name": "Unusual Logon-Login with unusual location",
      "HasTraceInfo": true,
      "DataSource": "aegis_suspicious_****",
      "OperateTime": 1631699497000,
      "EventSubType": "login_common_location",
      "Advanced": true,
      "OccurrenceTimeStamp": 1631699497000,
      "InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
      "AlarmEventTypeDisplay": "Unusual Logon",
      "IntranetIp": "100.100.XX.XX",
      "LastTime": "2018-09-26 01:51:01",
      "OperateMsg": "success",
      "Uuid": "bf6b30d3-eea8-4924-9f0a-****",
      "K8sPodName": "myapp-pod\n",
      "ContainerId": "container_1648601865161_14925_02_000****",
      "AlarmEventType": "Unusual Logon",
      "K8sNamespace": "default",
      "AutoBreaking": true,
      "K8sNodeName": "N/A",
      "AlarmEventName": "login_common_location",
      "UniqueInfo": "e17e****",
      "MaliciousRuleStatus": "open",
      "Level": "serious",
      "Id": 1000,
      "Details": [
        {
          "Type": "text",
          "Value": "/etc/crontab",
          "NameDisplay": "Login with unusual location",
          "ValueDisplay": "/etc/crontab"
        }
      ],
      "EventNotes": [
        {
          "Note": "Test",
          "NoteId": 123,
          "NoteTime": "2018-09-26 01:51:01\n"
        }
      ],
      "clusterId": "c2051775877374cccbf68af596e6****",
      "ImageUuid": "70489fb520cea585ad9761d5a842****",
      "DisplaySandboxResult": true,
      "LargeModel": true,
      "MarkList": [
        "mark"
      ],
      "SourceAliUid": 0
    }
  ]
}

错误码

HTTP status code错误码错误信息描述
HTTP status code错误码错误信息描述
400NoPermissionno permission无此服务的访问权限。
400UnknownErrorUnknownError未知错误,请稍后重试!
400RdCheckNoPermissionResource directory account verification has no permission.资源目录账号校验无权限。
403NoPermissioncaller has no permission当前操作未被授权,请联系主账号在RAM控制台进行授权后再执行操作。
500RdCheckInnerErrorResource directory account service internal error.资源目录账号服务内部错误。
500ServerErrorServerError服务故障,请稍后重试!

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
变更时间变更内容概要操作
2024-09-05OpenAPI 错误码发生变更、OpenAPI 入参发生变更、OpenAPI 返回结构发生变更查看变更详情
2024-06-21OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2024-05-13OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情
2024-01-24OpenAPI 错误码发生变更查看变更详情
2023-09-21OpenAPI 错误码发生变更查看变更详情
2023-09-20OpenAPI 错误码发生变更查看变更详情
2023-09-13OpenAPI 错误码发生变更查看变更详情
2023-09-07OpenAPI 错误码发生变更查看变更详情
2023-08-09OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2023-07-20OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情
2023-04-25OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
  • 本页导读 (1)
  • 调试
  • 授权信息
  • 请求参数
  • 返回参数
  • 示例
  • 错误码
  • 变更历史
AI助理

点击开启售前

在线咨询服务

你好,我是AI助理

可以解答问题、推荐解决方案等