すべてのプロダクト
Search

このプロダクト

    Security Center:DescribeSuspEvents

    ドキュメントセンター

    Security Center:DescribeSuspEvents

    最終更新日:Mar 21, 2026

    集約されずに生成されたアラートイベントのリストを照会します。

    今すぐお試しください

    この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

    テスト

    RAM 認証

    下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

    • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

    • API:アクションを具体的に実行するための API。

    • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

    • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

      • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

      • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

    • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

    • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

    アクション

    アクセスレベル

    リソースタイプ

    条件キー

    依存アクション

    yundun-sas:DescribeSuspEvents

    get

    *All Resource

    *

    		 なし なし

    リクエストパラメーター

    パラメーター

    必須 / 任意

    説明

    SourceIp

    string

    任意

    リクエストのソース IP アドレス。

    192.168.XX.XX
    Dealed

    string

    任意

    アラートイベントが処理済みかどうかを指定します。有効な値:

    • N: 未処理

    • Y: 処理済み

    N
    Name

    string

    任意

    アラートイベントによって影響を受ける資産の名前。

    ecs-xxx
    Levels

    string

    任意

    アラートイベントの深刻度。複数の深刻度をカンマ (,) で区切ります。有効な値:

    • 重大

    • 疑わしい

    • 注意

    serious
    ParentEventTypes

    string

    任意

    アラートイベントのアラートタイプ。有効な値:

    • Suspicious process: 不審なプロセス

    • Webshell: Webshell

    • Unusual logon: 不審なログイン

    • Exception: 例外

    • Sensitive file tampering: 機密ファイルの改ざん

    • Malicious process (cloud threat detection): 悪意のあるプロセス (クラウド脅威検知)

    • Suspicious network connection: 不審なネットワーク接続

    • Suspicious account: 不審なアカウント

    • Application intrusion event: アプリケーション侵入イベント

    • Cloud threat detection: クラウド脅威検知

    • Precise defense: 精密防御

    • Application whitelist: アプリケーションホワイトリスト

    • Persistent webshell: 永続的Webshell

    • Web application threat detection: Webアプリケーション脅威検知

    • Malicious script: 悪意のあるスクリプト

    • Threat intelligence: 脅威インテリジェンス

    • Malicious network activity: 悪意のあるネットワークアクティビティ

    • Cluster exception: クラスター例外

    • Webshell (on-premises threat detection): Webshell (オンプレミス脅威検知)

    • Vulnerability exploitation: 脆弱性悪用

    • Malicious process (on-premises threat detection): 悪意のあるプロセス (オンプレミス脅威検知)

    • Trusted exception: 信頼された例外

    • Others: その他

    other
    EventNames

    string

    任意

    アラートイベントのサブタイプ。複数のサブタイプをカンマ (,) で区切ります。

    WEBSHELL
    Remark

    string

    任意

    アラート名または資産に関する情報。

    説明

    あいまい検索がサポートされています。資産情報には、資産の名前、パブリック IP アドレス、およびプライベート IP アドレスが含まれます。

    192.168.XX.XX
    Status

    string

    任意

    アラートイベントのステータス。有効な値:

    • 0: すべて

    • 1: 処理保留中

    • 2: 無視済み

    • 4: 確認済み

    • 8: 誤検知としてマーク済み

    • 16: 処理中

    • 32: 処理済み

    • 64: 期限切れ

    • 128: 削除済み

    • 512: 自動ブロック中

    • 513: 自動ブロック済み

    1
    PageSize

    string

    任意

    ページあたりのエントリ数。デフォルト値:20。最大値:100。

    20
    CurrentPage

    string

    任意

    返すページ番号。デフォルト値:1

    1
    Lang

    string

    任意

    リクエストとレスポンス内のコンテンツの言語。デフォルト値:zh。有効な値:

    • zh: 中国語

    • en: 英語

    zh
    AlarmUniqueInfo

    string

    任意

    アラートイベントの ID。

    説明

    アラートイベントの詳細を照会するには、アラートイベントの ID を指定する必要があります。アラートイベントの ID を照会するには、DescribeSuspEvents 操作を呼び出します。

    8df914418f4211fb****
    UniqueInfo

    string

    任意

    アラートの一意キー。

    73fc06fb175a7405697e402f52864****
    Id

    integer

    任意

    アラートイベントの ID。

    123
    From

    string

    任意

    アラートイベントのデータソース。値を sas に設定します。

    sas
    Source

    string

    任意

    アラートのソース。

    aegis_suspicious_file_v2
    GroupId

    integer

    任意

    影響を受けた資産が属する資産グループの ID。

    18768
    Uuids

    string

    任意

    アラートが検出されたサーバーの UUID。複数の UUID をカンマ (,) で区切ります。

    bb5d2484-f10e-450d-8917-3e79667e****,0e7c2fcd-7100-42c7-a21a-db6e4f32****
    ClusterId

    string

    任意

    アラートイベントを照会するクラスターの ID。

    c4af4fdf38a98496a9b63c2be5dae****
    ContainerFieldName

    string

    任意

    コンテナ上のアラートイベントを照会するために使用される条件のキー。有効な値:

    • instanceId: 資産のインスタンス ID

    • appName: アプリケーション名

    • clusterId: クラスター ID

    • regionId: リージョン ID

    • nodeName: ノード名

    • namespace: 名前空間

    • clusterName: クラスター名

    • image: イメージ名

    • imageRepoName: イメージリポジトリ名

    • imageRepoNamespace: イメージリポジトリが属する名前空間

    • imageRepoTag: イメージに付加されたタグ

    • imageDigest: イメージのダイジェスト

    instanceId
    ContainerFieldValue

    string

    任意

    コンテナ上のアラートイベントを照会するために使用される条件の値。

    ccf9769c22b844ff9b8d57417683b****
    TargetType

    string

    任意

    コンテナを検索するために使用される項目。有効な値:

    • containerId: コンテナ ID

    • uuid: サーバーの UUID

    • imageUuid: イメージの UUID

    containerId
    TacticId

    string

    任意

    ATT&CK の戦術 ID。

    TA0001
    OperateErrorCodeList

    array

    任意

    アラートイベントの処理結果コードで構成される配列。

    string

    任意

    アラートイベントの処理結果コード。値を次の形式で設定します:操作タイプ.操作結果コード。以下の操作タイプがサポートされています:

    • Common: 共通操作を実行します。

    • deal: アラートイベントを処理します。

    • ignore: アラートイベントを無視します。

    • offline_handled: アラートイベントをオフライン処理済みとしてマークします。

    • mark_mis_info: アラートイベントをホワイトリストに追加します。

    • rm_mark_mis_info: アラートイベントのホワイトリストへの追加をキャンセルします。

    • quara: 悪意のあるプロセスのソースファイルを隔離します。

    • kill_and_quara: 悪意のあるプロセスを終了し、ソースファイルを隔離します。

    • kill_virus: 悪意のあるプロセスのソースファイルを削除します。

    • block_ip: ソース IP アドレスをブロックします。

    • manual_handled: アラートイベントを手動処理済みとしてマークします。

    • advance_mark_mis_info: 精密防御用に設定されたホワイトリストにアラートイベントを追加します。

    • advance_mark_mis_info.System: システムによって精密防御用に設定されたホワイトリストにアラートイベントを自動的に追加します。

    • advance_mark_mis_info.User: ユーザーによって精密防御用に設定されたホワイトリストにアラートイベントを手動で追加します。

    以下の処理結果コードがサポートされています:

    • Success: 操作は成功しました。

    • Failure: 操作は失敗しました。

    • AgentOffline: エージェントはオフラインです。

    ignore. Success
    OperateTimeStart

    string

    任意

    処理操作が開始されたタイムスタンプ。

    2022-07-05 13:50:38
    OperateTimeEnd

    string

    任意

    処理操作が終了したタイムスタンプ。

    2022-07-06 13:50:38
    TimeStart

    string

    任意

    アラートイベントが最後に検出された開始時刻。

    2022-07-05 13:50:38
    TimeEnd

    string

    任意

    アラートイベントが最後に検出された終了時刻。

    2022-07-06 13:50:38
    SortColumn

    string

    任意

    カスタムソートフィールド。デフォルト値:operateTime。有効な値:

    • lastTime: 最終発生時間。

    • operateTime: 処理時間。

    説明

    Dealed パラメータを Y に設定した場合に、このパラメータが有効になります。

    operateTime
    SortType

    string

    任意

    カスタムソート順。デフォルト値:desc。有効な値:

    • asc: 昇順

    • desc: 降順

    説明

    Dealed パラメータを Y に設定した場合に、このパラメータが有効になります。

    desc
    AssetsTypeList

    array

    任意

    資産のタイプ。

    string

    任意

    資産のタイプ。有効な値:

    • ECS: Elastic Compute Service (ECS) インスタンス

    • CONTAINER: コンテナ

    • K8S: Kubernetes クラスター

    ECS
    ResourceDirectoryAccountId

    integer

    任意

    リソースディレクトリ内のメンバーの Alibaba Cloud アカウント ID。

    説明

    ID を照会するには、DescribeMonitorAccounts 操作を呼び出します。

    16670360956*****
    StrictMode

    string

    任意

    厳格なアラートモードを有効にするかどうかを指定します。

    • N: いいえ

    • Y: はい

    Y
    MultiAccountActionType

    integer

    任意

    照会するアカウントのタイプ。デフォルト値:0。有効な値:

    • 0: 現在のアカウント。

    • 1: すべてのアカウント。

    0
    SourceAliUids

    array

    任意

    アラートが生成される Alibaba Cloud アカウントの ID。

    integer

    任意

    アラートが生成される Alibaba Cloud アカウントの ID。

    196072141348****
    SupportOperateCodeList

    array

    任意

    サポートされているアラーム操作タイプのリスト。

    string

    任意

    サポートされているアラーム操作タイプ:

    • AI.false_positive: 誤検知の疑い

    • AI.real_attack: 実際の攻撃

    • AI.Insufficient_information_to_evaluate: 評価する情報が不足

    AI.real_attack
    DetectSource

    string

    任意

    検出元 (無効なフィールド)

    linux

    レスポンスフィールド

    フィールド

    説明

    object

    レスポンスパラメーター。

    CurrentPage

    integer

    返されたページのページ番号。

    1
    PageSize

    integer

    ページごとに返されるエントリ数。

    20
    RequestId

    string

    リクエスト ID。

    0D6E20E4-8326-1D03-A553-2182BE9E82F9
    TotalCount

    integer

    アラートイベントの合計数。

    100
    Count

    integer

    現在のページで返されるエントリ数。

    20
    SuspEvents

    array<object>

    アラートイベントに関する情報。

    array<object>

    Stages

    string

    攻撃が検出された段階。

    "["authority_maintenance"]"
    TacticItems

    array<object>

    攻撃段階の表示名。

    object

    TacticId

    string

    ATT&CK の段階情報。

    TA0001
    TacticDisplayName

    string

    ATT&CK の戦術名。

    Malicious scripts-Malicious script code execution
    InternetIp

    string

    関連付けられたインスタンスのパブリック IP アドレス。

    1.2.XX.XX
    K8sClusterName

    string

    Kubernetes クラスターの名前。

    test-daily
    ContainerImageId

    string

    コンテナイメージの ID。

    sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****
    LastTimeStamp

    integer

    アラートイベントが最後に検出されたタイムスタンプ。単位: ミリ秒。

    1631699497000
    OccurrenceTime

    string

    アラートイベントが最初に検出された時間。

    2018-09-26 01:51:01
    AlarmUniqueInfo

    string

    アラートイベントの一意 ID。

    8df914418f****
    Desc

    string

    アラートイベントの影響。

    webshell
    CanCancelFault

    boolean

    アラートイベントを誤検知としてマークするのをキャンセルできるかどうかを示します。有効な値:

    • true: true

    • false: false

    false
    AlarmEventNameDisplay

    string

    アラート名。

    Login with unusual location
    AppName

    string

    アラートイベントが属するアプリケーションの名前。

    pro-deploy-tibasic
    SecurityEventIds

    string

    関連付けられたアラートイベントの ID。

    270789
    K8sClusterId

    string

    Kubernetes クラスターの ID。

    c517b37e1401e4961b3951863a49a****
    ContainerImageName

    string

    コンテナイメージの名前。

    centos7_apache:v1.0.1
    MarkMisRules

    string

    高度なホワイトリストルール。

    1. &nbsppath &nbspcontain &nbsp232  
    CanBeDealOnLine

    boolean

    悪意のあるプロセスのソースファイルの隔離など、アラートイベントをオンラインで処理できるかどうかを示します。有効な値:

    • true: true

    • false: false

    true
    ContainHwMode

    boolean

    主要アクティビティの保護モードがサーバーに対して有効になっているかどうかを示します。有効な値:

    • true: true

    • false: false

    false
    K8sNodeId

    string

    Kubernetes ノードの ID。

    i-bp14a1ay8e0aa9t0****

    InstanceName

    string

    関連付けられたインスタンスの名前。

    nginx
    EventStatus

    integer

    アラートイベントのステータス。有効な値:

    • 1: 処理保留中

    • 2: 無視済み

    • 4: 確認済み

    • 8: 誤検知としてマーク済み

    • 16: 処理中

    • 32: 処理済み

    • 64: 期限切れ

    • 604: システムによって誤検知としてマーク済み

    8
    SaleVersion

    string

    アラートイベントが検出できる Security Center のエディション。有効な値:

    • 0: ベーシックエディション

    • 1: エンタープライズエディション

    1
    OperateErrorCode

    string

    アラートイベントの処理結果コード。

    kill_and_quara.Success
    Name

    string

    アラートイベントの完全な名前。

    Unusual Logon-Login with unusual location
    HasTraceInfo

    boolean

    アラートイベントにトレース情報があるかどうかを示します。有効な値:

    • true: true

    • false: false

    true
    DataSource

    string

    データソース。このパラメータは無視できます。

    aegis_suspicious_****
    OperateTime

    integer

    アラートイベントの処理タイムスタンプ。単位: ミリ秒。

    1631699497000
    EventSubType

    string

    アラートイベントのサブタイプ。

    login_common_location
    Advanced

    boolean

    アラートイベントがオフラインで分析されたかどうかを示します。

    true
    OccurrenceTimeStamp

    integer

    アラートイベントが最初に検出されたタイムスタンプ。単位: ミリ秒。

    1631699497000
    InstanceId

    string

    影響を受けた資産のインスタンス ID。

    i-9dp6dwsxdl9z5u1e2f****
    AlarmEventTypeDisplay

    string

    アラートイベントのタイプの表示名。

    Unusual Logon
    IntranetIp

    string

    関連付けられたインスタンスのプライベート IP アドレス。

    100.100.XX.XX
    LastTime

    string

    アラートイベントが最後に検出された時間。

    2018-09-26 01:51:01
    OperateMsg

    string

    アラートイベントの処理結果メッセージ。

    success
    Uuid

    string

    関連付けられたインスタンスの一意 ID。

    bf6b30d3-eea8-4924-9f0a-****
    K8sPodName

    string

    Kubernetes Pod の名前。

    myapp-pod

    ContainerId

    string

    コンテナの ID。

    container_1648601865161_14925_02_000****
    AlarmEventType

    string

    アラートイベントのタイプ。

    Unusual Logon
    K8sNamespace

    string

    Kubernetes クラスターの名前空間。

    default
    AutoBreaking

    boolean

    自動防御が有効になっているかどうかを示します。

    true
    K8sNodeName

    string

    Kubernetes ノードの名前。

    N/A
    AlarmEventName

    string

    アラートイベントの名前。

    login_common_location
    UniqueInfo

    string

    アラートの一意キー。

    e17e****
    MaliciousRuleStatus

    string

    悪意のある行為防御ルールのステータス。有効な値:

    • open: オープン

    • close: クローズ

    open
    Level

    string

    アラートイベントの重大度。有効な値:

    • serious: シビア

    • suspicious: 疑わしい

    • remind: リマインダー

    serious
    Id

    integer

    アラートイベントの一意 ID。

    1000
    Details

    array<object>

    アラートイベントの詳細。

    object

    例外イベントの詳細。

    Type

    string

    アラートイベントのタイプ。

    text
    Value

    string

    アラートイベントのパス。

    /etc/crontab
    NameDisplay

    string

    アラートイベントの表示名。

    Login with unusual location
    ValueDisplay

    string

    アラートイベントのパスの表示名。

    /etc/crontab
    EventNotes

    array<object>

    アラートイベントに関するノート情報。

    object

    Note

    string

    ノート。

    Test
    NoteId

    integer

    ノートの ID。

    123
    NoteTime

    string

    ノートが作成された時間。

    2018-09-26 01:51:01

    clusterId

    string

    クラスターの ID。

    c2051775877374cccbf68af596e6****
    ImageUuid

    string

    イメージの UUID。

    70489fb520cea585ad9761d5a842****
    DisplaySandboxResult

    boolean

    アラートイベントがクラウドサンドボックスによって検出できるかどうかを示します。有効な値:

    • true: true

    • false: false

    true
    LargeModel

    boolean

    大規模モデル分析タグがサポートされているかどうかを示します。有効な値:

    • true: true

    • false: false

    true
    MarkList

    array

    アラートイベントのタグ。

    string

    アラートイベントのタグ。

    mark
    SourceAliUid

    integer

    アラートが生成される Alibaba Cloud アカウントの ID。

    196072141348****
    SupportOperateCode

    string

    サポートされているアラーム操作タイプ:

    • AI.false_positive: 誤検知の疑い

    • AI.real_attack: 実際の攻撃

    • AI.Insufficient_information_to_evaluate: 評価する情報が不足

    AI.real_attack
    DetectSource

    string

    検出元 (無効なフィールド)

    linux

    成功レスポンス

    JSONJSON

    {
  "CurrentPage": 1,
  "PageSize": 20,
  "RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
  "TotalCount": 100,
  "Count": 20,
  "SuspEvents": [
    {
      "Stages": "\"[\"authority_maintenance\"]\"",
      "TacticItems": [
        {
          "TacticId": "TA0001",
          "TacticDisplayName": "Malicious scripts-Malicious script code execution"
        }
      ],
      "InternetIp": "1.2.XX.XX",
      "K8sClusterName": "test-daily",
      "ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
      "LastTimeStamp": 1631699497000,
      "OccurrenceTime": "2018-09-26 01:51:01",
      "AlarmUniqueInfo": "8df914418f****",
      "Desc": "webshell",
      "CanCancelFault": false,
      "AlarmEventNameDisplay": "Login with unusual location",
      "AppName": "pro-deploy-tibasic",
      "SecurityEventIds": "270789",
      "K8sClusterId": "c517b37e1401e4961b3951863a49a****",
      "ContainerImageName": "centos7_apache:v1.0.1",
      "MarkMisRules": "1. &nbsppath &nbspcontain &nbsp232  ",
      "CanBeDealOnLine": true,
      "ContainHwMode": false,
      "K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
      "InstanceName": "nginx",
      "EventStatus": 8,
      "SaleVersion": "1",
      "OperateErrorCode": "kill_and_quara.Success",
      "Name": "Unusual Logon-Login with unusual location",
      "HasTraceInfo": true,
      "DataSource": "aegis_suspicious_****",
      "OperateTime": 1631699497000,
      "EventSubType": "login_common_location",
      "Advanced": true,
      "OccurrenceTimeStamp": 1631699497000,
      "InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
      "AlarmEventTypeDisplay": "Unusual Logon",
      "IntranetIp": "100.100.XX.XX",
      "LastTime": "2018-09-26 01:51:01",
      "OperateMsg": "success",
      "Uuid": "bf6b30d3-eea8-4924-9f0a-****",
      "K8sPodName": "myapp-pod\n",
      "ContainerId": "container_1648601865161_14925_02_000****",
      "AlarmEventType": "Unusual Logon",
      "K8sNamespace": "default",
      "AutoBreaking": true,
      "K8sNodeName": "N/A",
      "AlarmEventName": "login_common_location",
      "UniqueInfo": "e17e****",
      "MaliciousRuleStatus": "open",
      "Level": "serious",
      "Id": 1000,
      "Details": [
        {
          "Type": "text",
          "Value": "/etc/crontab",
          "NameDisplay": "Login with unusual location",
          "ValueDisplay": "/etc/crontab"
        }
      ],
      "EventNotes": [
        {
          "Note": "Test",
          "NoteId": 123,
          "NoteTime": "2018-09-26 01:51:01\n"
        }
      ],
      "clusterId": "c2051775877374cccbf68af596e6****",
      "ImageUuid": "70489fb520cea585ad9761d5a842****",
      "DisplaySandboxResult": true,
      "LargeModel": true,
      "MarkList": [
        "mark"
      ],
      "SourceAliUid": 0,
      "SupportOperateCode": "AI.real_attack",
      "DetectSource": "linux"
    }
  ]
}

    エラーコード

    HTTP ステータスコード

    エラーコード

    エラーメッセージ

    説明
    400 NoPermission no permission
    400 UnknownError UnknownError
    400 RdCheckNoPermission Resource directory account verification has no permission.
    500 RdCheckInnerError Resource directory account service internal error.
    500 ServerError ServerError
    403 NoPermission caller has no permission

    完全なリストについては、「エラーコード」をご参照ください。

    変更履歴

    完全なリストについては、「変更履歴」をご参照ください。