获取检测规则列表。
接口说明
发送通知有频率和时间的限定。 每天每个用户在 08:00-20:00 点最多收到两次通知,其余时间不会发送。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
调试
授权信息
|
操作 |
访问级别 |
资源类型 |
条件关键字 |
关联操作 |
|
yundun-sas:ListDetectionRules |
list |
*DetectionRule
|
无 | 无 |
请求参数
|
名称 |
类型 |
必填 |
描述 |
示例值 |
| RegionId |
string |
否 |
威胁分析的数据管理中心所在地。您需要根据资产所在地域,选择管理中心所在地。取值:
|
cn-hangzhou |
| Lang |
string |
否 |
返回消息的语言类型。取值:
|
zh |
| DetectionRuleName |
string |
否 |
检测规则名称。 |
Detect Discovery Behavior for Local Systems Groups |
| DetectionRuleId |
string |
否 |
检测规则 ID。 |
dr-ppa85gfw69tgwkys**** |
| DetectionRuleIds |
array |
否 |
检测规则 ID 列表。 |
|
|
string |
否 |
检测规则 ID。 |
dr-ppa85gfw69tgwkys**** |
|
| DetectionRuleType |
string |
否 |
检测规则类型。
|
preset |
| DetectionRuleStatus |
string |
否 |
检测规则状态。 |
enabled |
| AlertType |
string |
否 |
告警类型。 |
siem_rule_type_alert_storm |
| AlertLevel |
string |
否 |
告警威胁等级。 取值:
|
1 |
| AlertTacticId |
string |
否 |
告警战术阶段。 |
TA0042 |
| AlertAttCk |
string |
否 |
告警 Att&Ck。 |
Discovery |
| IncidentAggregationType |
string |
否 |
事件聚合类型。取值:
|
graph_compute |
| LogCategoryId |
string |
否 |
日志规范化类别 ID。 |
NETWORK_CATEGORY |
| LogSchemaId |
string |
否 |
日志规范化方案 ID。 |
API_RISK_ACTIVITY |
| DetectionExpressionType |
string |
否 |
检测规则表达式内容。 |
playbook |
| OrderFieldName |
string |
否 |
排序字段。取值:
|
GmtModified |
| OrderDirection |
string |
否 |
排序方向,取值为:
|
asc |
| PageNumber |
integer |
否 |
分页参数:当前页码。 |
1 |
| PageSize |
integer |
否 |
分页参数:每页显示条数。 |
100 |
| RoleFor |
integer |
否 |
管理员切换成其他成员视角的用户 ID。 |
113091674488**** |
| MaxResults |
integer |
否 |
本次读取的最大数据量。 |
50 |
| NextToken |
string |
否 |
下一个查询开始 Token。 |
AAAAAUqcj6VO4E3ECWIrFczs**** |
返回参数
|
名称 |
类型 |
描述 |
示例值 |
|
object |
返回体。 |
||
| RequestId |
string |
请求消息 ID。 |
508DCFFD-4508-54BF-A8A0-E97A0FA6**** |
| DetectionRules |
array<object> |
检测规则列表。 |
|
|
array<object> |
检测规则。 |
||
| CreateTime |
integer |
创建时间。 |
2023-03-21 13:47:01 |
| UpdateTime |
integer |
更新时间。 |
2023-04-16 10:51:00 |
| DetectionRuleId |
string |
检测规则 ID。 |
jndi-attack-success_http_netstat |
| DetectionRuleName |
string |
检测规则名称。 |
Detect Discovery Behavior for Local Systems Groups |
| DetectionRuleDescription |
string |
检测规则描述。 |
Check the enumeration behavior of local system groups. An attacker may attempt to find the Local Systems group and its permission settings. |
| DetectionRuleType |
string |
检测规则类型。取值:
|
custom |
| DetectionRuleStatus |
string |
检测规则状态。取值:
|
enabled |
| DetectionExpressionType |
string |
检测规则表达式内容。 |
playbook |
| DetectionExpressionContent |
string |
检测规则表达式内容。 |
*|set session mode=scan;SELECT * FROM log WHERE schema = 'PROCESS_START_ACTIVITY' AND ( proc_path LIKE '%/groups' OR ( ( proc_path LIKE '%/cat' OR proc_path LIKE '%/head' OR proc_path LIKE '%/tail' OR proc_path LIKE '%/more' ) AND cmdline LIKE '%/etc/group%' ) ) |
| LogCategoryId |
string |
日志规范化类别 ID。 |
NETWORK_CATEGORY |
| LogSchemaId |
string |
日志规范化方案 ID。 |
API_RISK_ACTIVITY |
| AlertSchemaId |
string |
检测规则告警模版 ID。取值:
|
ALERT_ACTIVITY |
| ScheduleType |
string |
调度类型。取值:
|
fixed_rate |
| ScheduleExpression |
string |
调度 Cron 表达式,ScheduleType 取值为 cron 时需填写。 |
5m |
| ScheduleMaxRetries |
integer |
超时最大重试次数,取值 1~100。 |
1 |
| ScheduleBeginTime |
integer |
调度开始时间(13 位时间戳)。 |
1733269771123 |
| ScheduleWindow |
string |
调度窗口长度。 |
5m |
| ScheduleMaxTimeout |
integer |
超时最长时间,单位秒,取值 60~1800。 |
60 |
| AlertType |
string |
告警类型。 |
WebShell |
| AlertLevel |
string |
告警威胁等级。 取值:
|
1 |
| AlertTacticId |
string |
告警战术阶段。 |
TA0042 |
| AlertAttCk |
string |
告警 Att&Ck。 |
Discovery |
| AlertThresholdPeriod |
string |
告警阈值周期长度。 |
5m |
| AlertThresholdCount |
integer |
告警阈值次数。 |
10 |
| AlertThresholdGroup |
string |
告警阈值字段列表,以英文逗号分隔。 |
alert_type,ip |
| IncidentAggregationType |
string |
事件聚合类型。取值:
|
passthrough |
| IncidentAggregationExpression |
string |
事件聚合周期配置。 |
5m |
| PlaybookUuid |
string |
剧本 UUID。 |
dde983ed-eb56-45ea-ac2e-3b12b2a9**** |
| PlaybookParameters |
string |
剧本用户自定义参数。 |
{ "ip": { "ip": "124.23.*.*" } } |
| Playbook |
object |
剧本的 XML 配置。 |
|
| Flow |
string |
剧本流程配置。 |
[ { "id": "EndEvent_1fqpq4h", "zIndex": 1, "data": { "nodeType": "endEvent", "appType": "basic", "valueData": { }, "icon": "icon-radio-off-full" }, "position": { "x": 1369, "y": 174 } } ] |
| Config |
string |
调用剧本入参配置。 |
[ { "name": "expireDay", "dataType": "Integer", "required": true, "isArray": false, "example": "7", "description": "desc", "typeName": "Integer", "dataClass": "normal", "stanchDefaultValue": "7" } ] |
| EntityMappings |
array<object> |
实体映射配置。 |
|
|
array<object> |
实体映射配置。 |
||
| NormalizationSchemaId |
string |
实体类型 ID。 |
ip |
| NormalizationFieldMappings |
array<object> |
实体映射配置。 |
|
|
object |
实体映射配置。 |
||
| NormalizationFieldName |
string |
实体标准字段。 |
src_ip |
| MappingFieldName |
string |
映射字段。 |
ip |
| NormalizationFieldType |
string |
实体标准字段数据类型。 |
vachar |
| PageNumber |
integer |
分页参数:当前页码。 |
2 |
| PageSize |
integer |
分页参数:每页显示条数。 |
10 |
| TotalCount |
integer |
记录总数。 |
6 |
| MaxResults |
integer |
本次读取的最大数据量。 |
50 |
| NextToken |
string |
下一个查询开始 Token。 |
AAAAAUqcj6VO4E3ECWIrFczs**** |
示例
正常返回示例
JSON格式
{
"RequestId": "508DCFFD-4508-54BF-A8A0-E97A0FA6****",
"DetectionRules": [
{
"CreateTime": 0,
"UpdateTime": 0,
"DetectionRuleId": "jndi-attack-success_http_netstat",
"DetectionRuleName": "Detect Discovery Behavior for Local Systems Groups\n",
"DetectionRuleDescription": "Check the enumeration behavior of local system groups. An attacker may attempt to find the Local Systems group and its permission settings.",
"DetectionRuleType": "custom",
"DetectionRuleStatus": "enabled",
"DetectionExpressionType": "playbook",
"DetectionExpressionContent": "*|set session mode=scan;SELECT * FROM log\nWHERE schema = 'PROCESS_START_ACTIVITY'\nAND (\n proc_path LIKE '%/groups'\n OR (\n (\n proc_path LIKE '%/cat'\n OR proc_path LIKE '%/head'\n OR proc_path LIKE '%/tail'\n OR proc_path LIKE '%/more'\n )\n AND cmdline LIKE '%/etc/group%'\n )\n)",
"LogCategoryId": "NETWORK_CATEGORY",
"LogSchemaId": "API_RISK_ACTIVITY",
"AlertSchemaId": "ALERT_ACTIVITY",
"ScheduleType": "fixed_rate",
"ScheduleExpression": "5m",
"ScheduleMaxRetries": 1,
"ScheduleBeginTime": 1733269771123,
"ScheduleWindow": "5m",
"ScheduleMaxTimeout": 60,
"AlertType": "WebShell",
"AlertLevel": "1",
"AlertTacticId": "TA0042",
"AlertAttCk": "Discovery",
"AlertThresholdPeriod": "5m",
"AlertThresholdCount": 10,
"AlertThresholdGroup": "alert_type,ip",
"IncidentAggregationType": "passthrough",
"IncidentAggregationExpression": "5m",
"PlaybookUuid": "dde983ed-eb56-45ea-ac2e-3b12b2a9****",
"PlaybookParameters": "{\n \"ip\": {\n \"ip\": \"124.23.*.*\"\n }\n}",
"Playbook": {
"Flow": "[\n {\n \"id\": \"EndEvent_1fqpq4h\",\n \"zIndex\": 1,\n \"data\": {\n \"nodeType\": \"endEvent\",\n \"appType\": \"basic\",\n \"valueData\": {\n\n },\n \"icon\": \"icon-radio-off-full\"\n },\n \"position\": {\n \"x\": 1369,\n \"y\": 174\n }\n }\n]",
"Config": "[\n {\n \"name\": \"expireDay\",\n \"dataType\": \"Integer\",\n \"required\": true,\n \"isArray\": false,\n \"example\": \"7\",\n \"description\": \"desc\",\n \"typeName\": \"Integer\",\n \"dataClass\": \"normal\",\n \"stanchDefaultValue\": \"7\"\n }\n]"
},
"EntityMappings": [
{
"NormalizationSchemaId": "ip",
"NormalizationFieldMappings": [
{
"NormalizationFieldName": "src_ip",
"MappingFieldName": "ip",
"NormalizationFieldType": "vachar"
}
]
}
]
}
],
"PageNumber": 2,
"PageSize": 10,
"TotalCount": 6,
"MaxResults": 50,
"NextToken": "AAAAAUqcj6VO4E3ECWIrFczs****"
}错误码
|
HTTP status code |
错误码 |
错误信息 |
描述 |
|---|---|---|---|
| 400 | IdempotentParameterMismatch | The request uses the same client token as a previous, but non-identical request. Do not reuse a client token with different requests, unless the requests are identical. |
访问错误中心查看更多错误码。
变更历史
更多信息,参考变更详情。