首页 无影云桌面 API参考(云桌面管控) API目录 安全 安全告警 DescribeSuspEvents - 查询异常事件信息

DescribeSuspEvents - 查询异常事件信息

查询异常事件信息。

接口说明

安全告警分为告警和异常两个维度,一个安全告警包含了多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

当前API暂无授权信息透出。

请求参数

名称类型必填描述示例值
RegionIdstring

地域ID。

cn-hangzhou
Langstring

请求和接收消息的语言类型。取值范围:

  • zh:中文
  • en:英文
zh
OfficeSiteIdstring

工作区ID。

cn-hangzhou+dir-363353****
Dealedstring

异常事件的处理状态。取值范围:

  • N:待处理
  • Y:已处理
N
Levelsstring

异常事件的危险等级。取值范围:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
serious
ParentEventTypestring

异常事件所属的告警类型。

网站后门
AlarmUniqueInfostring

异常事件所属的告警ID。

8ff29a086e0ccf4507c55e4ec3af****
CurrentPageinteger

分页查询时,当前页的页码。 起始值:1。 默认值:1。

1
PageSizeinteger

分页查询时,每页最大行数。 默认值:20。

20

返回参数

名称类型描述示例值
object

返回对象。

CurrentPageinteger

分页查询时,当前页的页码。

1
RequestIdstring

请求ID。

1CBAFFAB-B697-4049-A9B1-67E1FC5F****
PageSizestring

分页查询时,每页最大行数。

20
TotalCountinteger

异常事件的总数。

1
SuspEventsarray

异常事件信息。

object

异常事件对象。

DataSourcestring

数据来源(可忽略)。

aegis_suspicious_event
EventSubTypestring

异常事件名称。

启动项异常修改
DesktopNamestring

受影响的云桌面名称。

test
DesktopIdstring

受影响的云桌面ID。

ecd-blbmpzpqjdrdy****
OccurrenceTimestring

异常事件首次发生时间。

2021-05-13 22:54:17
AlarmEventTypeDisplaystring

异常事件所属的告警类型描述。

进程异常行为
AlarmUniqueInfostring

异常事件所属的告警ID。

8ff29a086e0ccf4507c55e4ec3af****
Descstring

异常事件的影响描述。

检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。
AlarmEventNameDisplaystring

异常事件所属的告警描述。

启动项异常修改
CanCancelFaultboolean

是否支持忽略异常事件。可能值:

  • true:支持忽略
  • false:不支持忽略
false
LastTimestring

异常事件最新发生时间。

2021-05-14 14:27:51
OperateMsgstring

异常事件操作的备注信息。

success
CanBeDealOnLinestring

是否支持在线处理异常事件。可能值:

  • true:支持在线处理
  • false:不支持在线处理
false
AlarmEventTypestring

异常事件所属的告警类型。

进程异常行为
EventStatusinteger

异常事件的状态。可能值:

  • 1:PENDING(待处理)
  • 2:IGNORE(已忽略)
  • 4:HANDLED(已确认)
  • 8:FAULT(已标记误报)
  • 16:DEALING(处理中)
  • 32:DONE(处理完毕)
  • 64:EXPIRE(已过期)
1
OperateErrorCodestring

异常事件操作的错误码。

1
AlarmEventNamestring

异常事件所属的告警名称。

启动项异常修改
Namestring

异常事件的完整名称。

进程异常行为-启动项异常修改
UniqueInfostring

异常事件的标识ID。

ea154b41f2c4b4005cb130af0586****
Levelstring

异常事件的危险等级。可能值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
suspicious
Idlong

记录异常事件的标识ID。

19271054
Detailsarray

异常事件详情。

object

异常事件详情对象。

Typestring

属性值的展示方式。大部分是String,还可能是HTML、Markdown等。

text
Valuestring

属性值。

N/A
NameDisplaystring

翻译Name后展示的属性名。

进程路径
Namestring

原始属性名。

${suspicious.property.process_path}
ValueDisplaystring

翻译Value后展示的属性值。

N/A

示例

正常返回示例

JSON格式

{
  "CurrentPage": 1,
  "RequestId": "1CBAFFAB-B697-4049-A9B1-67E1FC5F****",
  "PageSize": "20",
  "TotalCount": 1,
  "SuspEvents": [
    {
      "DataSource": "aegis_suspicious_event",
      "EventSubType": "启动项异常修改",
      "DesktopName": "test",
      "DesktopId": "ecd-blbmpzpqjdrdy****",
      "OccurrenceTime": "2021-05-13 22:54:17",
      "AlarmEventTypeDisplay": "进程异常行为",
      "AlarmUniqueInfo": "8ff29a086e0ccf4507c55e4ec3af****",
      "Desc": "检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。",
      "AlarmEventNameDisplay": "启动项异常修改",
      "CanCancelFault": true,
      "LastTime": "2021-05-14 14:27:51",
      "OperateMsg": "success",
      "CanBeDealOnLine": "false",
      "AlarmEventType": "进程异常行为",
      "EventStatus": 1,
      "OperateErrorCode": "1",
      "AlarmEventName": "启动项异常修改",
      "Name": "进程异常行为-启动项异常修改",
      "UniqueInfo": "ea154b41f2c4b4005cb130af0586****",
      "Level": "suspicious",
      "Id": 19271054,
      "Details": [
        {
          "Type": "text",
          "Value": "N/A",
          "NameDisplay": "进程路径",
          "Name": "${suspicious.property.process_path}",
          "ValueDisplay": "N/A"
        }
      ]
    }
  ]
}

错误码

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2022-11-22
变更项变更内容
阿里云首页 无影云桌面 相关技术圈