DescribeAlerts - 获取告警列表

获取用户的告警列表。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
yundun-sas:DescribeAlertsget
  • 全部资源
    *

请求参数

名称类型必填描述示例值
AlertUuidstring

事件关联告警 ID。

sas_71e24437d2797ce8fc59692905a4****
Levelarray

威胁等级,格式为 json 数组。取值:

  • serious:高危
  • suspicious:中危
  • remind:低危
Levelstring

威胁等级,格式为 json 数组。取值:

  • serious:高危
  • suspicious:中危
  • remind:低危
["remind","serious"]
Sourcestring

事件关联告警来源产品。

sas
IsDefendstring

是否已防御。取值:

  • 0:检出
  • 1:拦截
1
AlertTitlestring

告警标题。

Unusual Logon-login_common_account
AlertTypestring

告警类型。

异常连接-TFTP恶意扫描
AlertNamestring

告警名称。

异常连接-TFTP恶意扫描
AssetNamestring

资产名称。

异常连接-TFTP恶意扫描
AssetIdstring

资产 id。

异常连接-TFTP恶意扫描
EntityNamestring

实体名称。

异常连接-TFTP恶意扫描
EntityIdstring

实体 id。

异常连接-TFTP恶意扫描
SubUserIdstring

告警实际关联阿里账号 ID。

176555323***
LabelTypestring

告警史记关联阿里账号 ID。

176555323***
StartTimelong

查询开始时间, 单位毫秒。

1577808000000
EndTimelong

查询结束时间, 单位毫秒。

1577808000000
CurrentPageinteger

列表当前页号, 大于等于 1。

1
PageSizeinteger

列表每页条数, 最大不超过 100。

10
RoleTypeinteger

视图类型。

  • 0:当前阿里云账号视图。
  • 1:企业下所有账号的视图。
1
RoleForlong

管理员切换成其他成员视角的用户 ID。

113091674488****
RegionIdstring

威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择管理中心所在地。取值:

  • cn-hangzhou:资产属于中国内地与中国香港
  • ap-southeast-1:资产属于海外地域
cn-hangzhou

返回参数

名称类型描述示例值
object

PageResponse<List>

Successboolean

请求是否成功。取值:

  • true:成功
  • false:失败
true
Codeinteger

请求状态码。

200
Messagestring

请求返回消息。

success
RequestIdstring

请求 ID。

9AAA9ED9-78F4-5021-86DC-D51C7511****
Dataobject

请求返回值。

PageInfoobject

分页记录。

CurrentPageinteger

列表当前页号。

1
PageSizeinteger

每页返回记录数。

10
TotalCountlong

记录总数。

100
ResponseDataarray<object>

详细数据。

ResponseDataobject
Idlong

告警唯一 ID。

123456789
GmtCreatestring

告警入库时间。

2021-01-06 16:37:29
GmtModifiedstring

告警最后更新时间。

2021-01-06 16:37:29
MainUserIdlong

告警关联 siem 主账号 ID。

127608589417****
IncidentUuidstring

事件全局唯一 UUID。

85ea4241-798f-4684-a876-65d4f0c3****
AlertUuidstring

告警 UUID。

sas_71e24437d2797ce8fc59692905a4****
LogTimestring

告警记录时间。

2021-01-06 16:37:29
AlertSrcProdstring

事件关联告警来源产品。

sas
AlertTitlestring

告警标题。

Scan-Try SNMP weak password
AlertTitleEnstring

告警标题英文。

Scan-Try SNMP weak password
AlertTypestring

告警类型。

Scan
AlertTypeEnstring

告警类型英文。

Scan
AlertTypeCodestring

告警类型美杜莎 code。

security_event_config.event_name.webshellName
AlertNamestring

告警名称。

Try SNMP weak password
AlertNameEnstring

告警名称英文。

Try SNMP weak password
AlertNameCodestring

告警名称美杜莎 code。

security_event_config.event_name.webshell
AlertLevelstring

威胁等级。 取值:

  • serious:高危
  • suspicious:中危
  • remind:低危
remind
AssetListstring

资产列表。

[ { "is_main_asset": "1", "asset_name": "47.245.*", "port": "22", "ip": "47.245.*", "asset_type": "ip", "location": "ap-southeast-1", "asset_id": "47.245.*", "net_connect_dir": "in" } ]
OccurTimestring

告警发生时间。

2021-01-06 16:37:29
StartTimestring

告警首次发生时间。

2021-01-06 16:37:29
EndTimestring

告警结束时间。

2021-01-06 16:37:29
AlertSrcProdModulestring

事件关联告警来源产品子模块。

waf
AlertDescstring

告警描述。

The detection model found a suspicious Webshell file on your server, which may be a backdoor file implanted to maintain permissions after the attacker successfully invaded the website.
AlertDescEnstring

告警英文描述。

The detection model found a suspicious Webshell file on your server, which may be a backdoor file implanted to maintain permissions after the attacker successfully invaded the website.
AlertDescCodestring

告警描述美杜莎 code。

security_event_config.event_name.webshell
AlertDetailstring

告警详情。

{"main_user_id": "165295629792****";"log_uuid_count": "99";"attack_ip": "21.92.*.*"}
LogUuidstring

告警日志 UUID。

cfw_d12e285a-a042-4d7e-be89-f8a795ef****
EntityListstring

实体详情(标准化/开启索引)

AttCkstring

ATTCT&攻击技术标签。

T1595.002 Vulnerability Scanning
SubUserIdlong

产生告警阿里账号 ID。

176555323***
SubUserNamestring

产生告警阿里账号 ID。

176555323***
CloudCodestring

云 code。 取值:

  • aliyun:阿里云
  • qcloud:腾讯云
  • hcloud:华为云
aliyun
IsDefendstring

是否已防御。取值:

  • 0:检出
  • 1:拦截
1
AlertInfoListarray<object>

告警详细数据。

aliyun
AlertInfoListobject
Keystring

告警详细属性 key。

suspicious.wbd.wb.trojanpath
KeyNamestring

告警详细数据名称。

Trojan Path
Valuesstring

告警详细数据值。

/root/test33.php

示例

正常返回示例

JSON格式

{
  "Success": true,
  "Code": 200,
  "Message": "success",
  "RequestId": "9AAA9ED9-78F4-5021-86DC-D51C7511****",
  "Data": {
    "PageInfo": {
      "CurrentPage": 1,
      "PageSize": 10,
      "TotalCount": 100
    },
    "ResponseData": [
      {
        "Id": 123456789,
        "GmtCreate": "2021-01-06 16:37:29",
        "GmtModified": "2021-01-06 16:37:29",
        "MainUserId": 0,
        "IncidentUuid": "85ea4241-798f-4684-a876-65d4f0c3****",
        "AlertUuid": "sas_71e24437d2797ce8fc59692905a4****",
        "LogTime": "2021-01-06 16:37:29",
        "AlertSrcProd": "sas",
        "AlertTitle": "Scan-Try SNMP weak password",
        "AlertTitleEn": "Scan-Try SNMP weak password",
        "AlertType": "Scan",
        "AlertTypeEn": "Scan",
        "AlertTypeCode": "security_event_config.event_name.webshellName",
        "AlertName": "Try SNMP weak password",
        "AlertNameEn": "Try SNMP weak password",
        "AlertNameCode": "security_event_config.event_name.webshell",
        "AlertLevel": "remind",
        "AssetList": "[\n      {\n            \"is_main_asset\": \"1\",\n            \"asset_name\": \"47.245.*\",\n            \"port\": \"22\",\n            \"ip\": \"47.245.*\",\n            \"asset_type\": \"ip\",\n            \"location\": \"ap-southeast-1\",\n            \"asset_id\": \"47.245.*\",\n            \"net_connect_dir\": \"in\"\n      }\n]",
        "OccurTime": "2021-01-06 16:37:29",
        "StartTime": "2021-01-06 16:37:29",
        "EndTime": "2021-01-06 16:37:29",
        "AlertSrcProdModule": "waf",
        "AlertDesc": "The detection model found a suspicious Webshell file on your server, which may be a backdoor file implanted to maintain permissions after the attacker successfully invaded the website.",
        "AlertDescEn": "The detection model found a suspicious Webshell file on your server, which may be a backdoor file implanted to maintain permissions after the attacker successfully invaded the website.",
        "AlertDescCode": "security_event_config.event_name.webshell",
        "AlertDetail": "{\"main_user_id\": \"165295629792****\";\"log_uuid_count\": \"99\";\"attack_ip\": \"21.92.*.*\"}",
        "LogUuid": "cfw_d12e285a-a042-4d7e-be89-f8a795ef****",
        "EntityList": "",
        "AttCk": "T1595.002 Vulnerability Scanning",
        "SubUserId": 0,
        "SubUserName": "176555323***",
        "CloudCode": "aliyun",
        "IsDefend": "1",
        "AlertInfoList": [
          {
            "Key": "suspicious.wbd.wb.trojanpath",
            "KeyName": "Trojan Path",
            "Values": "/root/test33.php"
          }
        ]
      }
    ]
  }
}

错误码

HTTP status code错误码错误信息描述
500InternalErrorThe request processing has failed due to some unknown error.服务发生某些未知错误,请稍后再试

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2024-09-26OpenAPI 错误码发生变更、OpenAPI 入参发生变更、OpenAPI 返回结构发生变更查看变更详情
2024-04-17OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情