文档

DescribeRiskEventGroup - 获取入侵防御事件的详细数据

更新时间:

获取入侵防御事件的详细数据。

接口说明

本接口用于查询和下载入侵防御详细数据,建议一次查询 5~10 条。为避免查询超时,如果无需返回 IP 地理位置信息,请设置参数 NoLocation 为 true。

QPS 限制

本接口的单用户 QPS 限制为 10 次/秒。超过限制,API 调用会被限流,这可能会影响您的业务,请合理调用。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
yundun-cloudfirewall:DescribeRiskEventGroupRead
  • 全部资源
    *

请求参数

名称类型必填描述示例值
Langstring

请求和接收消息的语言类型。取值:

  • zh(默认):表示中文。
  • en:表示英文。
zh
StartTimestring

设置查询开始时间。使用秒级时间戳格式表示。

1534408189
EndTimestring

设置查询结束时间。使用秒级时间戳格式表示。

1534408267
Directionstring

入侵防御事件的流量的方向。取值:

  • in:表示进方向。
  • out:表示出方向。
说明 不设置该参数表示查询所有流量方向。
in
PageSizestring

设置分页查询每页包含多少条结果。

默认值为 6,表示每页包含 6 条结果。最大值为 10

6
CurrentPagestring

设置分页查询返回第几页数据。 默认值为 1,表示返回第 1 页数据。

1
DataTypestring

风险事件类型。
唯一取值:session,表示入侵防御事件。

session
RuleSourcestring

入侵防御事件的检测规则来源。取值:

  • 1:表示基础防御。
  • 2:表示虚拟补丁。
  • 4:表示威胁情报。
说明 不设置该参数表示查询所有规则来源。
1
RuleResultstring

云防火墙的防御状态。取值:

  • 1:表示告警。
  • 2:表示拦截。
说明 不设置该参数表示查询所有防御状态。
1
SrcIPstring

要查询的源 IP。设置该参数表示查询包含了这条源 IP 的入侵防御事件。

192.0.XX.XX
DstIPstring

要查询的目的 IP。设置该参数表示查询包含了这条目的 IP 的入侵防御事件。

192.0.XX.XX
VulLevelstring

入侵防御事件的安全等级。取值:

  • 1:表示低危。
  • 2:表示中危。
  • 3:表示高危。
说明 不设置该参数表示查询所有安全等级。
1
FirewallTypestring

云防火墙类型。取值:

  • VpcFirewall:表示 VPC 边界防火墙。
  • InternetFirewall(默认):表示互联网边界防火墙。
InternetFirewall
SrcNetworkInstanceIdstring

源 VPC 实例 ID。

说明 仅在 FirewallType 为 VpcFirewall 时,需要设置该参数。
vpc-uf6e9a9zyokj2ywuo****
DstNetworkInstanceIdstring

目的 VPC 实例 ID。

说明 仅在 FirewallType 为 VpcFirewall 时,需要设置该参数。
vpc-uf6e9a9zyokj2ywuo****
AttackTypestring

入侵防御事件的攻击类型。取值:

  • 1:表示异常连接。
  • 2:表示命令执行。
  • 3:表示暴力破解。
  • 4:表示扫描。
  • 5:表示其它。
  • 6:表示信息泄露。
  • 7:表示 Dos 攻击。
  • 8:表示溢出攻击。
  • 9:表示 Web 攻击。
  • 10:表示木马后门。
  • 11:表示病毒蠕虫。
  • 12:表示挖矿行为。
  • 13:表示反弹 Shell。
说明 不设置该参数表示查询全部攻击类型。
1
NoLocationstring

是否查询 IP 地址位置信息。

  • true: 表示不查询 IP 地理位置信息。
  • false(默认):表示查询 IP 地理位置信息。
false
AttackApparray

被攻击应用的名称的列表,使用["AttackApp1","AttackApp2"]格式表示。

string

被攻击应用的名称的列表,使用["AttackApp1","AttackApp2"]格式表示。

Redis
BuyVersionlong

购买版本。取值:

  • 2:高级版。
  • 3:企业版。
  • 4:旗舰版。
  • 10:按量付费版。
10
Sortstring

根据指定字段排序。取值:

  • VulLevel(默认):根据风险等级排序。

  • LastTime:根据最近发生时间排序。

LastTime
Orderstring

排序方式。取值:

  • asc:升序。

  • desc(默认):降序。

desc
EventNamestring

入侵防御事件名称。

木马后门通信

调用 API 时,除了本文中该 API 的请求参数,还需加入阿里云 API 公共请求参数。公共请求参数的详细介绍,请参见公共参数。 调用 API 的请求格式,请参见本文示例中的请求示例。

返回参数

名称类型描述示例值
object

入侵防御事件的详细数据。

TotalCountinteger

风险事件的总数量。

20
RequestIdstring

本次请求的 ID。

B14757D0-4640-4B44-AC67-7F558FE7E6EF
DataListobject []

返回数据列表。

Directionstring

该入侵防御事件的流量方向。取值:

  • in:表示进方向。
  • out:表示出方向。
in
EventNamestring

入侵防御事件名称。

Web目录穿越攻击
DstIPstring

查询到的目的 IP。表示入侵防御事件中包含了这条目的 IP。

192.0.XX.XX
AttackTypeinteger

该入侵防御事件的攻击类型。取值:

  • 1:表示异常连接。
  • 2:表示命令执行。
  • 3:表示暴力破解。
  • 4:表示扫描。
  • 5:表示其它。
  • 6:表示信息泄露。
  • 7:表示 Dos 攻击。
  • 8:表示溢出攻击。
  • 9:表示 Web 攻击。
  • 10:表示木马后门。
  • 11:表示病毒蠕虫。
  • 12:表示挖矿行为。
  • 13:表示反弹 Shell。
1
Tagstring

重保情报标签。

重保情报
RuleIdstring

本次入侵防御事件的防护规则 ID。

1000****
EventIdstring

入侵防御事件 ID。

2b58efae-4c4b-4d96-9544-a586fb1f****
ResourceTypestring

该入侵防御事件的公网 IP 类型。取值:

  • EIP:表示弹性公网 IP。
  • EcsPublicIP:表示 ECS 公网 IP。
  • EcsEIP:表示 ECS EIP。
  • NatPublicIP:表示 NAT 公网 IP。
  • NatEIP:表示 NAT EIP。
  • SlbPublicIp:表示 SLB 公网 IP。
EcsPublicIP
FirstEventTimeinteger

入侵事件首次发生时间。使用秒级时间戳格式表示。

1534408189
Descriptionstring

该入侵防御事件的描述。

检测到HTTP请求的Web访问中使用了目录穿越攻击。
EventCountinteger

入侵防御事件数。

100
VulLevelinteger

该入侵防御事件的安全等级。取值:

  • 1:表示低危。
  • 2:表示中危。
  • 3:表示高危。
1
AttackAppstring

被攻击应用的名称。

MySql
RuleSourceinteger

本次入侵防御事件的检测规则来源。取值:

  • 1:表示基础防御。
  • 2:表示虚拟补丁。
  • 4:表示威胁情报。
1
RuleResultinteger

防御状态。取值:

  • 1:表示告警。
  • 2:表示拦截。
2
SrcIPstring

查询到的源 IP。表示入侵防御事件中包含了这条源 IP。

192.0.XX.XX
LastEventTimeinteger

入侵防御事件上次发生的时间。使用秒级时间戳格式表示。

1534408267
ResourcePrivateIPListobject []

该入侵防御事件的私网 IP 信息,以 RegionNoResourceInstanceIdResourceInstanceNameResourcePrivateIP 的数组形式返回该 IP 信息。
其中,RegionNo 表示该 IP 所属的地域 ID,ResourceInstanceId 表示该 IP 所属的实例 ID,ResourceInstanceName 表示该 IP 所属的实例名,ResourcePrivateIP 表示该 IP。

ResourceInstanceNamestring

实例名。

LD-shenzhen-zy****
ResourcePrivateIPstring

私网 IP。

10.255.XX.XX
ResourceInstanceIdstring

实例 ID。

i-wz92jf4scg2zb74p****
RegionNostring

地域 ID。表示私网 IP 所属的地域 ID。

cn-hangzhou
SrcPrivateIPListarray

入侵防御事件的源私网 IP 列表。

string

入侵防御事件的源私网 IP 列表。

说明 只有出方向会返回该参数的值。
["192.168.XX.XX","192.168.XX.XX"]
VpcSrcInfoobject

该入侵防御事件的源 VPC 信息,该结构体包含 EcsInstanceIdEcsInstanceNameNetworkInstanceIdNetworkInstanceNameRegionNo 参数。
其中,EcsInstanceId 表示该 VPC 中的 ECS 实例 ID,EcsInstanceName 表示该 VPC 中的 ECS 实例名,NetworkInstanceId 表示该 VPC 实例 ID,NetworkInstanceName 表示该 VPC 实例名,RegionNo 表示该 VPC 实例所属的地域 ID。

EcsInstanceNamestring

ECS 实例名。

LD-shenzhen-zy****
NetworkInstanceNamestring

VPC 实例名。

VPC-SH-TX****
NetworkInstanceIdstring

VPC 实例 ID。

vpc-uf6e9a9zyokj2ywuo****
EcsInstanceIdstring

ECS 实例 ID。

i-wz92jf4scg2zb74p****
RegionNostring

地域 ID。表示源 VPC 实例所属的地域 ID。

cn-hangzhou
VpcDstInfoobject

该入侵防御事件的目的 VPC 信息,该结构体包含 EcsInstanceIdEcsInstanceNameNetworkInstanceIdNetworkInstanceNameRegionNo 参数。
其中,EcsInstanceId 表示该 VPC 中的 ECS 实例 ID,EcsInstanceName 表示该 VPC 中的 ECS 实例名,NetworkInstanceId 表示该 VPC 实例 ID,NetworkInstanceName 表示该 VPC 实例名,RegionNo 表示该 VPC 实例所属的地域 ID。

EcsInstanceNamestring

ECS 实例名。

LD-shenzhen-zy****
NetworkInstanceNamestring

VPC 实例名。

VPC-SH-TX****
NetworkInstanceIdstring

VPC 实例 ID。

vpc-uf6e9a9zyokj2ywuo****
EcsInstanceIdstring

ECS 实例 ID。

i-wz92jf4scg2zb74p****
RegionNostring

地域 ID。表示目的 VPC 实例所属的地域 ID。

cn-hangzhou
IPLocationInfoobject

IP 地理位置信息,该结构体包含 CityIdCityNameCountryIdCountryName 参数。
其中,CityId 表示该 IP 所属的城市 ID,CityName 表示该 IP 所属的城市名,CountryId 表示该 IP 所属的国家 ID,CountryName 表示该 IP 所属的国家名。

CityIdstring

城市 ID。

510100
CountryNamestring

国家名。

中国
CityNamestring

城市名。

四川省成都
CountryIdstring

国家 ID。

CN
SrcIPTagstring

源 IP 标签,用于标识是否为云产品回源 IP。

WAF Back-to-origin Address

示例

正常返回示例

JSON格式

{
  "TotalCount": 20,
  "RequestId": "B14757D0-4640-4B44-AC67-7F558FE7E6EF",
  "DataList": [
    {
      "Direction": "in",
      "EventName": "Web目录穿越攻击",
      "DstIP": "192.0.XX.XX",
      "AttackType": 1,
      "Tag": "重保情报",
      "RuleId": "1000****",
      "EventId": "2b58efae-4c4b-4d96-9544-a586fb1f****",
      "ResourceType": "EcsPublicIP",
      "FirstEventTime": 1534408189,
      "Description": "检测到HTTP请求的Web访问中使用了目录穿越攻击。",
      "EventCount": 100,
      "VulLevel": 1,
      "AttackApp": "MySql",
      "RuleSource": 1,
      "RuleResult": 2,
      "SrcIP": "192.0.XX.XX",
      "LastEventTime": 1534408267,
      "ResourcePrivateIPList": [
        {
          "ResourceInstanceName": "LD-shenzhen-zy****",
          "ResourcePrivateIP": "10.255.XX.XX",
          "ResourceInstanceId": "i-wz92jf4scg2zb74p****",
          "RegionNo": "cn-hangzhou"
        }
      ],
      "SrcPrivateIPList": [
        "[\"192.168.XX.XX\",\"192.168.XX.XX\"]"
      ],
      "VpcSrcInfo": {
        "EcsInstanceName": "LD-shenzhen-zy****",
        "NetworkInstanceName": "VPC-SH-TX****",
        "NetworkInstanceId": "vpc-uf6e9a9zyokj2ywuo****",
        "EcsInstanceId": "i-wz92jf4scg2zb74p****",
        "RegionNo": "cn-hangzhou"
      },
      "VpcDstInfo": {
        "EcsInstanceName": "LD-shenzhen-zy****",
        "NetworkInstanceName": "VPC-SH-TX****",
        "NetworkInstanceId": "vpc-uf6e9a9zyokj2ywuo****",
        "EcsInstanceId": "i-wz92jf4scg2zb74p****",
        "RegionNo": "cn-hangzhou"
      },
      "IPLocationInfo": {
        "CityId": "510100",
        "CountryName": "中国",
        "CityName": "四川省成都",
        "CountryId": "CN"
      },
      "SrcIPTag": "WAF Back-to-origin Address"
    }
  ]
}

错误码

HTTP status code错误码错误信息描述
400ErrorAliUidThe aliuid is invalid.无效的用户id

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-03-16OpenAPI 错误码发生变更、OpenAPI 入参发生变更看变更集
变更项变更内容
错误码OpenAPI 错误码发生变更
    删除错误码:400
入参OpenAPI 入参发生变更
    新增入参:EventName
2022-09-27OpenAPI 去除了 deprecated 标记、OpenAPI 错误码发生变更、OpenAPI 入参发生变更看变更集
变更项变更内容
API 弃用说明(deprecated)OpenAPI 去除了 deprecated 标记
错误码OpenAPI 错误码发生变更
    删除错误码:400
入参OpenAPI 入参发生变更
    新增入参:Sort
    新增入参:Order