本产品(
云安全中心(威胁分析)/2022-06-16)的OpenAPI采用RPC签名风格,签名细节参见签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过下载SDK直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过签名机制进行自签名对接。由于自签名细节非常复杂,需花费 5个工作日左右。因此建议加入我们的服务钉钉群(11370001915),在专家指导下进行签名对接。在使用API前,您需要准备好身份账号及访问密钥(AccessKey),才能有效通过客户端工具(SDK、CLI等)访问API。细节请参见获取AccessKey。
多账号管控
| API | 标题 | API概述 |
|---|---|---|
| ListRdUsers | 查看资源目录下用户信息 | 列举已经接入威胁分析多账号管控的阿里云账号,被纳管到威胁分析的阿里云账号才可以使用威胁分析日志接入、事件处置等功能。 |
| AddUser | 纳管指定云账号 | 将指定云账号添加到威胁分析的多账号管控,只有纳管后的云账号才可以试用日志接入等威胁分析功能。 |
| DeleteUser | 删除指定云账号的多账号纳管 | 解除已经添加到威胁分析-多账号管控资源目录阿里云账号纳管,如有需要可以重新添加。 |
日志接入
| API | 标题 | API概述 |
|---|---|---|
| BatchJobSubmit | 按资源目录批量提交产品接入任务 | 支持用户通过资源目录架构配置日志接入任务。 |
| ListAccountsByLog | 按日志查看账号列表 | 按日志查看账号列表。 |
| DescribeUserBuyStatus | 查看阿里云用户威胁分析购买情况 | 查看当前阿里云用户或对应的阿里云企业组织账号是否已经购买威胁分析。 |
| SubmitJobs | 批量提交日志接入 | 批量提交日志接入任务,将对应日志数据接入到威胁分析体系中,进行告警事件分析。 |
| ListProjectLogStores | 自动查找SLS的LogStore信息 | 根据云产品默认的sls project名字的pattern, logstore名字的pattern查找是否存在对应的project和logstore。 |
| ListUserProdLogs | 查看日志接入的用户信息 | 根据产品列举用户接入日志的列表。 |
| ModifyDataSource | 修改数据源 | 修改已经添加的数据源描述信息。 |
| ModifyDataSourceLog | 修改日志 | 修改数据源下添加的日志相关说明信息。 |
| ModifyBindAccount | 修改已经绑定的云账号 | 修改已经绑定的云账号。 |
| ListUsersByProd | 按产品查看已经接入的日志详情 | 按产品查看用户接入的日志详情。 |
| ListImportedLogsByProd | 查看该产品下日志接入详情 | 查看该产品下日志接入详情。 |
| ListDataSourceTypes | 枚举数据源类型 | 枚举目前威胁分析支持的多云接入数据源类型。 |
| ListDataSourceLogs | 查看数据源下的日志列表 | 查看数据源下的日志列表。 |
| ListBindDataSources | 枚举所有数据源 | 枚举所有数据源。 |
| ListAllProds | 查看云产品列表 | 查看当前威胁分析已经支持的数据接入的云产品列表。 |
| EnableServiceForCloudSiem | 开通资源目录权限 | 为威胁分析开通资源目录授权,需要使用资源目录管理员调用。 |
| EnableAccessForCloudSiem | 创建威胁分析SLR | 用户授权接口,点击将创建威胁分析角色AliyunServiceRoleForSasCloudSiem。 |
| DescribeServiceStatus | 查看资源目录是否已给威胁分析授权 | 查看资源目录是否已给威胁分析授权。 |
| DescribeProdCount | 查看多云产品数量 | 查看阿里云、腾讯云、华为云已经支持接入到威胁分析的云产品数量。 |
| DescribeImportedLogCount | 查看接入日志的数量 | 查看接入日志的数量。 |
| DescribeDataSourceParameters | 获取数据源参数详情 | 获取数据源参数详情。 |
| DescribeDataSourceInstance | 查看数据源详情 | 查看数据源详情。 |
| DescribeAuth | 检查是否已经开通SIEM权限 | 检查阿里云账号是否已经给SIEM授权,已经创建了AliyunServiceRoleForSasCloudSiem角色。 |
| DeleteDataSourceLog | 删除日志 | 删除日志。 |
| DeleteDataSource | 删除数据源 | 如果已添加的数据源不再使用,可以调用接口删除数据源。 |
| DeleteBindAccount | 删除已经绑定的多云账号 | 解除已经绑定到威胁分析数据源模块的多云(腾讯云、华为云)子账号AK,解绑后可以更换账号重新绑定。 |
| BindAccount | 绑定多云账号 | 绑定云安全中心功能设置-多云资产中设置的多云账号到威胁分析。 |
| AddUserSourceLogConfig | 添加日志接入 | 添加日志接入任务,将对应的日志数据接入到威胁分析中以便后续的告警、事件分析。 |
| AddDataSourceLog | 添加日志 | 添加日志。 |
| AddDataSource | 添加数据源 | 在该绑定的多云账号下添加数据源。 |
| ListBindAccount | 列举已经绑定的账号列表 | 列举已经绑定到威胁分析的多云账号列表。 |
| ListAccountAccessId | 查看已绑定AK列表 | 查看已经绑定的多云AccessKeyId列表。 |
| SubmitImportLogTasks | 提交接入任务 | 批量提交接入任务。 |
| BatchJobCheck | 检查任务接入状态(旧) | 按提交任务生成的submitId获取接入任务的状态。 |
| DescribeCsImportedProdStatusByUser | 查看用户的阿里云产品开通情况 | 查看阿里云产品的开通情况。 |
安全告警
| API | 标题 | API概述 |
|---|---|---|
| DescribeAlertsWithEntity | 获取实体关联告警列表 | 获取实体关联的告警列表。 |
| DescribeAlerts | 获取告警列表 | 获取用户的告警列表。 |
| DescribeAlertSource | 获取告警数据源列表 | 获取告警数据源列表。 |
| DescribeAlertsCount | 获取告警不同级别计数 | 获取告警不同级别计数。 |
事件处置
| API | 标题 | API概述 |
|---|---|---|
| DescribeEntityInfo | 获取实体详情 | 获取实体详情。 |
| PostEventDisposeAndWhiteruleList | 提交事件处置信息 | 提交事件处置信息。 |
| DescribeWafScope | 获取作用域用户名下waf实例的域名防护列表 | 获取作用域用户名下waf实例的域名防护列表。 |
| DescribeEventDispose | 获取事件历史处置策略 | 获取事件历史处置策略。 |
| DescribeEventCountByThreatLevel | 获取事件各类型计数 | 获取事件各类型计数。 |
| DescribeDisposeAndPlaybook | 获取需要被处置的实体列表与剧本列表 | 获取需要被处置的实体列表与剧本列表。 |
| DescribeCloudSiemEvents | 获取事件列表 | 获取siem事件列表。 |
| DescribeCloudSiemEventDetail | 获取事件详情 | 获取事件详情。 |
| DescribeCloudSiemAssetsCounter | 获取事件关联各类型资产计数 | 获取事件关联各类型资产计数。 |
| DescribeCloudSiemAssets | 获取事件关联资产列表 | 获取事件关联资产列表。 |
| DescribeAttackTimeLine | 获取事件相关的告警时间线数据 | 获取事件相关的告警时间线数据。 |
| DescribeAlertsWithEvent | 获取事件关联的告警列表 | 获取指定事件关联的告警列表。 |
| DescribeAlertSourceWithEvent | 获取事件关联告警数据源列表 | 获取事件关联告警数据源列表。 |
日志分析
| API | 标题 | API概述 |
|---|---|---|
| GetLogs | 获取威胁分析查询分析的日志数据 | 返回日志分析中查询分析SQL语句执行的结果。 |
| GetHistograms | 获取威胁分析日志查询分析结果的直方图数据 | 返回查询分析SQL执行结果的数据直方图数据,可以用来在前端渲染直方图展示。 |
| DoQuickField | 使用快速分析字段进行分析 | 普通成员登录看到的日志分析页面中,可以通过左侧的快速分析字段进行查询分析。 |
| ListQuickQuery | 获取快速查询的列表 | 获取日志分析页面针对当前LogStore的所有快速查询列表。 |
| GetQuickQuery | 获取快速查询的SQL语句 | 根据自定义的快速查询名字,获取日志分析中存储的快速查询分析SQL语句。 |
| SaveQuickQuery | 保存当前查询分析语句为快速查询 | 将日志分析中的查询分析SQL语句保存为快速查询,节省SQL书写时间。 |
| DescribeLogStore | 返回用户存储的相关属性 | 返回用户侧日志服务中威胁分析使用的LogStore的相关属性,如名字、TTL等。 |
| ShowQuickAnalysis | 展示快速分析字段列表 | 在日志分析中展示能够用来进行快速分析(索引字段)的字段列表。 |
| DeleteQuickQuery | 删除设定的快速查询 | 删除之前设定的快速查询语句。 |
规则管理
| API | 标题 | API概述 |
|---|---|---|
| DescribeAlertType | 获取自定义规则可选威胁类型列表 | 获取自定义规则可选威胁类型列表。 |
| DeleteCustomizeRule | 删除自定义规则 | 根据指定ID自定义规则。 |
| DescribeAggregateFunction | 获取自定义规则聚合函数列表 | 获取自定义规则支持的聚合函数列表。 |
| DescribeCustomizeRule | 获取自定义规则详情 | 获取自定义规则详情。 |
| DescribeCustomizeRuleCount | 获取自定义规则计数 | 获取自定义规则计数。 |
| DescribeCustomizeRuleTest | 获取模拟测试场景下的历史模拟数据 | 获取模拟测试场景下的历史模拟数据。 |
| DescribeCustomizeRuleTestHistogram | 获取自定义规则业务测试结果图表 | 获取自定义规则业务测试结果图表。 |
| DescribeLogFields | 获取自定义规则可配置字段列表 | 获取自定义规则可配置字段列表。 |
| DescribeLogSource | 获取自定义规则可配置日志源列表 | 获取自定义规则可配置日志源列表。 |
| DescribeLogType | 获取自定义规则可配置日志类型 | 获取自定义规则可配置日志类型。 |
| DescribeOperators | 获取自定义规则操作符列表 | 获取自定义规则操作符列表。 |
| ListCloudSiemCustomizeRules | 获取自定义规则列表 | 获取自定义规则列表。 |
| ListCloudSiemPredefinedRules | 获取预定义规则列表 | 获取预定义规则列表。 |
| ListCustomizeRuleTestResult | 获取自定义规则测试结果列表 | 获取自定义规则测试结果列表。 |
| PostCustomizeRule | 添加或者更新自定义规则 | 添加或者更新自定义规则。 |
| PostCustomizeRuleTest | 提交自定义规则测试 | 提交自定义规则测试。 |
| PostFinishCustomizeRuleTest | 结束自定义规则测试 | 结束自定义规则测试。 |
| PostRuleStatusChange | 更新自定义规则状态 | 更新自定义规则状态。 |
响应规则
| API | 标题 | API概述 |
|---|---|---|
| DescribeScopeUsers | 获取剧本作用域用户列表 | 获取剧本作用域用户列表。 |
| DeleteAutomateResponseConfig | 删除自动化响应规则 | 删除指定ID的自动化响应规则。 |
| DescribeAutomateResponseConfigCounter | 获取自动化响应规则计数 | 获取自动化响应规则计数。 |
| DescribeAutomateResponseConfigFeature | 获取自动化规则策略可配置字段及操作符 | 获取自动化规则策略可配置字段及操作符。 |
| DescribeAutomateResponseConfigPlayBooks | 获取用户自定义剧本列表 | 获取用户自定义剧本列表。 |
| ListAutomateResponseConfigs | 获取自动化响应规则列表 | 获取自动化响应规则列表。 |
| PostAutomateResponseConfig | 添加或更新自动化响应规则 | 添加或更新自动化响应规则。 |
| UpdateAutomateResponseConfigStatus | 更新自动化响应规则状态 | 更新自动化响应规则状态。 |
处置中心
| API | 标题 | API概述 |
|---|---|---|
| ListDisposeStrategy | 获取处置策略列表 | 获取处置策略列表。 |
| DescribeDisposeStrategyPlaybook | 获取处置策略使用的剧本列表 | 获取处置策略使用的剧本列表。 |
权限管理
| API | 标题 | API概述 |
|---|---|---|
| ListOperation | 获取当前登录用户拥有的资源权限 | 获取当前登录用户所具备的资源操作权限,威胁分析服务存在两种身份,管理员和普通成员,管理员具备所有权限,普通成员只能访问受限资源。 |
| DoSelfDelegate | 是否允许某个普通成员获取告警、日志分析等资源的权限 | 威胁分析管理员对普通成员进行授权和取消授权的操作,使之能够查看或者取消查看日志分析、告警等资源。 |
存储管理
| API | 标题 | API概述 |
|---|---|---|
| RestoreCapacity | 置空已有的存储 | 释放存储空间,降低存储使用量,注意,该操作不可逆,存在数据丢失的风险,谨慎使用。 |
| GetCapacity | 获取当前企业威胁分析存储的使用量及购买量 | 获取当前威胁分析存储的使用量以及预付费的购买量,单位为GB。 |
| SetStorage | 保存用户设置的存储信息 | 保存用户设置的存储天数,存储地域(region)等信息。 |
| DescribeStorage | 判断威胁分析用户的存储是否存在 | 判断威胁分析用户的存储(用户侧日志服务中LogStore)是否正常。 |
| GetStorage | 获取设置的存储信息 | 获取威胁分析与响应产品在用户SLS中创建的存储设置,包含存储天数、存储地域等信息。 |
投递管理
| API | 标题 | API概述 |
|---|---|---|
| ListDelivery | 展示接入威胁分析的日志投递状态 | 查看整个企业或者普通成员接入威胁分析的产品、日志列表,以及这些日志的数据投递情况。 |
| OpenDelivery | 开通日志的投递 | 开通已经接入产品日志的投递。 |
| CloseDelivery | 关闭威胁分析已接入的云产品日志的投递 | 关闭某个已经接入的云产品日志的投递,关闭后用户侧的LogStore里不再有对应日志的新内容。 |
告警加白
| API | 标题 | API概述 |
|---|---|---|
| UpdateWhiteRuleList | 添加或更新告警加白规则 | 添加或更新告警加白规则。 |
| PostEventWhiteruleList | 提交告警加白规则 | 提交告警加白规则。 |
| DescribeWhiteRuleList | 获取告警加白规则列表 | 获取告警加白规则列表。 |
| DescribeAlertScene | 获取告警加白规则场景列表 | 获取告警加白场景。 |
| DescribeAlertSceneByEvent | 获取告警加白场景与加白对象列表 | 获取告警加白场景与加白对象列表。 |
| DeleteWhiteRuleList | 删除告警加白规则 | 删除指定ID的告警加白规则。 |
其他
| API | 标题 | API概述 |
|---|---|---|
| DescribeJobStatus | 检查任务接入状态 | 按提交任务生成的submitId获取接入任务的状态。 |