使用DescribeSuspEvents查詢未經過警示彙總的安全警示事件列表-Security Center-阿里雲

查詢未經過警示彙總的安全警示事件的列表。

調試

您可以在OpenAPI Explorer中直接運行該介面，免去您計算簽名的困擾。運行成功後，OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊，可以在RAM權限原則語句的Action元素中使用，用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下：

操作：是指具體的許可權點。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

yundun-sas:DescribeSuspEvents

get

*全部資源

*

無

請求參數

名稱	類型	必填	描述	樣本值
SourceIp	string	否	訪問源的 IP 位址。	192.168.XX.XX
Dealed	string	否	要查詢的警示事件是否已處理。取值： N：待處理 Y：已處理	N
Name	string	否	受該警示事件影響的資產的名稱。	ecs-xxx
Levels	string	否	要查詢的警示事件處理的緊急程度，多個緊急程度之間使用半形逗號（,）分隔，緊急程度依次遞減。取值： serious：緊急 suspicious：可疑 remind：提醒	serious
ParentEventTypes	string	否	要查詢的警示事件的警示類型。取值：進程異常行為網站後門異常登入例外狀況事件敏感檔案篡改惡意進程（雲查殺）異常網路連接異常帳號應用入侵事件雲產品威脅檢測精準防禦應用白名單持久化後門 Web 應用程式威脅檢測惡意指令碼威脅情報惡意網路行為容器叢集異常網站後門（本地查殺）漏洞利用惡意進程（本地查殺）可信異常其他	other
EventNames	string	否	警示事件的子類型。多個類型之間使用半形逗號（,）隔開。	WEBSHELL
Remark	string	否	要查詢的警示名稱或資產的資訊。說明支援模糊查詢。資產資訊包含資產名稱、公網 IP、內網 IP。	192.168.XX.XX
Status	string	否	要查詢的警示事件狀態。取值： 0：全部 1：待處理 2：已忽略 4：已確認 8：已標記為誤判 16：處理中 32：處理完畢 64：已經到期 128：已經刪除 512：自動攔截中 513：自動攔截完畢	1
PageSize	string	否	設定分頁查詢時，每頁顯示的警示事件的數量。預設值為 20，表示每頁顯示 20 條警示事件。最大值為 100。	20
CurrentPage	string	否	設定從返回結果的第幾頁開始顯示查詢結果。預設值為 1，表示從第 1 頁開始顯示。	1
Lang	string	否	佈建要求和接收訊息的語言類型。預設值為 zh。取值： zh：中文 en：英文	zh
AlarmUniqueInfo	string	否	警示事件的唯一標識 ID。說明如果查詢單個警示事件的例外狀況事件資訊，需要提供警示事件的唯一標識 ID，該 ID 可調用 DescribeSuspEvents 介面擷取。	8df914418f4211fb****
UniqueInfo	string	否	安全警示的唯一 key。	73fc06fb175a7405697e402f52864****
Id	integer	否	記錄警示事件的唯一標識 ID。	123
From	string	否	警示事件所屬資料來源標識，固定為 sas。	sas
Source	string	否	警示來源。	aegis_suspicious_file_v2
GroupId	integer	否	受警示事件影響的資產的分組 ID。	18768
Uuids	string	否	要查詢警示的伺服器的 UUID，多個 UUID 使用半形逗號（,）分隔。	bb5d2484-f10e-450d-8917-3e79667e**,0e7c2fcd-7100-42c7-a21a-db6e4f32**
ClusterId	string	否	需要查詢警示事件的叢集 ID。	c4af4fdf38a98496a9b63c2be5dae****
ContainerFieldName	string	否	容器檢索項。取值： instanceId：執行個體 ID appName：應用程式名稱 clusterId：叢集 ID regionId：地區 nodeName：節點名 namespace：命名空間 clusterName：叢集名稱 image：鏡像名稱 imageRepoName：鏡像的倉庫名稱 imageRepoNamespace：鏡像的倉庫命名空間 imageRepoTag：鏡像的標籤 imageDigest：鏡像摘要	instanceId
ContainerFieldValue	string	否	容器檢索項對應值。	ccf9769c22b844ff9b8d57417683b****
TargetType	string	否	容器檢索目標類型。取值： containerId：容器 ID uuid：伺服器 UUID imageUuid：鏡像 UUID	containerId
TacticId	string	否	ATT&CK 的戰術 ID。	TA0001
OperateErrorCodeList	array	否	警示事件處理結果碼集合。
	string	否	警示事件處理結果碼。格式為：操作類型.操作結果碼。包括以下操作類型： Common：通用操作 deal：處理 ignore：忽略 offline_handled：警示已確認 mark_mis_info：加白名單 rm_mark_mis_info：取消加白名單 quara：隔離 kill_and_quara：普通查殺 kill_virus：深度清理 block_ip：阻斷 manual_handled：手工處理 advance_mark_mis_info：精準防禦加白名單 advance_mark_mis_info.System：精準防禦加白名單自動加白 advance_mark_mis_info.User：精準防禦加白名單手動加白操作結果碼： Success：成功 Failure：失敗 AgentOffline：用戶端離線	ignore. Success
OperateTimeStart	string	否	處理時間開始時間戳。	2022-07-05 13:50:38
OperateTimeEnd	string	否	處理時間結束時間戳記。	2022-07-06 13:50:38
TimeStart	string	否	最新發生時間起始時間。	2022-07-05 13:50:38
TimeEnd	string	否	最新發生時間結束時間。	2022-07-06 13:50:38
SortColumn	string	否	自訂排序欄位，預設 operateTime，取值： lastTime：最新發生時間。 operateTime：處理時間。說明該欄位作用於 Dealed 為 Y。	operateTime
SortType	string	否	自訂排序類型，預設 desc，取值： asc：升序。 desc：倒敘。說明該欄位作用於 Dealed 為 Y。	desc
AssetsTypeList	array	否	資產類型集合。
	string	否	資產類型。 ECS：雲端服務器 CONTAINER：容器 K8S：K8s 叢集	ECS
ResourceDirectoryAccountId	integer	否	資來源目錄成員帳號主帳號 ID。說明調用 DescribeMonitorAccounts 介面可以擷取該參數。	16670360956*****
StrictMode	string	否	是否屬於strict 模式警示標識。 N：否 Y：是	Y
MultiAccountActionType	integer	否	多帳號查詢類型。預設值為 0。取值： 0：查詢當前帳號資料 1：查詢所有帳號資料	0
SourceAliUids	array	否	產生警示的阿里雲帳號 ID 列表。
	integer	否	產生警示的阿里雲帳號 ID。	196072141348****
SupportOperateCodeList	array	否	警示支援的操作類型列表。
	string	否	警示支援的操作類型： AI.false_positive：疑似誤判 AI.real_attack：真實攻擊 AI.Insufficient_information_to_evaluate：無法研判	AI.real_attack
DetectSource	string	否	發現來源（無效欄位）	linux

返回參數

名稱	類型	描述	樣本值
	object	警示事件返回資料。
CurrentPage	integer	分頁查詢時，當前頁的頁碼。	1
PageSize	integer	分頁查詢時，每頁資料顯示的最大條數。	20
RequestId	string	本次請求的 ID。	0D6E20E4-8326-1D03-A553-2182BE9E82F9
TotalCount	integer	警示事件的總數量。	100
Count	integer	分頁查詢時，當前頁顯示的資料條數。	20
SuspEvents	array<object>	警示事件資訊。
	array<object>
Stages	string	攻擊階段。	"["authority_maintenance"]"
TacticItems	array<object>	攻擊階段展示名。
	object
TacticId	string	ATT&CK 攻擊階段資訊。	TA0001
TacticDisplayName	string	ATT&CK 的戰術名稱。	Malicious scripts-Malicious script code execution
InternetIp	string	關聯執行個體的公網 IP。	1.2.XX.XX
K8sClusterName	string	K8s 叢集名稱。	test-daily
ContainerImageId	string	容器鏡像 ID。	sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****
LastTimeStamp	integer	最後一次發生的時間戳記，單位為毫秒。	1631699497000
OccurrenceTime	string	警示事件首次發生的時間。	2018-09-26 01:51:01
AlarmUniqueInfo	string	警示事件的唯一標識 ID。	8df914418f****
Desc	string	警示事件的影響概況描述。	webshell
CanCancelFault	boolean	能否取消標幟為誤判。取值： true：可以取消 false：不能取消	false
AlarmEventNameDisplay	string	警示名稱。	Login with unusual location
AppName	string	警示事件所屬應用的名稱。	pro-deploy-tibasic
SecurityEventIds	string	警示事件關聯的警示事件的 ID。	270789
K8sClusterId	string	K8s 叢集 ID。	c517b37e1401e4961b3951863a49a****
ContainerImageName	string	容器鏡像名稱。	centos7_apache:v1.0.1
MarkMisRules	string	進階加白規則。	1. &nbsppath &nbspcontain &nbsp232
CanBeDealOnLine	boolean	是否支援線上處理警示事件，例如隔離。取值包括： true：支援線上處理 false：不支援線上處理	true
ContainHwMode	boolean	是否為伺服器開啟了重保護模式。取值： true：已開啟。 false：未開啟。	false
K8sNodeId	string	K8s 節點 ID。	i-bp14a1ay8e0aa9t0****
InstanceName	string	關聯執行個體的名稱。	nginx
EventStatus	integer	警示事件的狀態。取值包括： 1：PENDING（待處理） 2：IGNORE（已忽略） 4：HANDLED（已確認） 8：FAULT（已標記誤判） 16：DEALING（處理中） 32：DONE（處理完畢） 64：EXPIRE（已經到期） 604：SYSTEM_FAULT（系統標記為誤判）	8
SaleVersion	string	警示事件檢測支援的產品售賣版本。取值包括： 0：基礎版本 1：企業版本	1
OperateErrorCode	string	警示事件操作的錯誤碼。	kill_and_quara.Success
Name	string	警示事件的完整名稱。	Unusual Logon-Login with unusual location
HasTraceInfo	boolean	警示事件是否有溯源資訊。取值： true：有溯源 false：無溯源	true
DataSource	string	資料來源（可忽略）。	aegis_suspicious_****
OperateTime	integer	警示事件操作的時間戳記，單位為毫秒。	1631699497000
EventSubType	string	警示事件子類型。	login_common_location
Advanced	boolean	是否離線分析的警示。	true
OccurrenceTimeStamp	integer	首次發生的時間戳記，單位為毫秒。	1631699497000
InstanceId	string	受警示事件影響的資產執行個體的 ID。	i-9dp6dwsxdl9z5u1e2f****
AlarmEventTypeDisplay	string	警示事件類型。	Unusual Logon
IntranetIp	string	關聯執行個體的私網 IP。	100.100.XX.XX
LastTime	string	警示事件最近發生時間。	2018-09-26 01:51:01
OperateMsg	string	警示事件操作的備忘資訊。	success
Uuid	string	關聯執行個體的唯一標識。	bf6b30d3-eea8-4924-9f0a-****
K8sPodName	string	K8sPod 名稱。	myapp-pod
ContainerId	string	容器 ID。	container_1648601865161_14925_02_000****
AlarmEventType	string	警示事件類型。	Unusual Logon
K8sNamespace	string	K8s 命名空間。	default
AutoBreaking	boolean	是否自動防禦。	true
K8sNodeName	string	K8s 節點名稱。	N/A
AlarmEventName	string	警示事件名稱。	login_common_location
UniqueInfo	string	安全警示的唯一 key。	e17e****
MaliciousRuleStatus	string	惡意行為防禦規則狀態。取值包括： open：開啟 close：關閉	open
Level	string	警示事件的危險等級。取值包括： serious：緊急 suspicious：可疑 remind：提醒	serious
Id	integer	警示事件的唯一標識 ID。	1000
Details	array<object>	警示事件詳情。
	object	例外狀況事件詳情。
Type	string	警示事件類型。	text
Value	string	警示事件發生路徑。	/etc/crontab
NameDisplay	string	警示事件顯示名稱。	Login with unusual location
ValueDisplay	string	警示事件發生路徑。	/etc/crontab
EventNotes	array<object>	警示事件的備忘資訊。
	object
Note	string	備忘資訊。	Test
NoteId	integer	事件記錄 ID。	123
NoteTime	string	事件記錄時間。	2018-09-26 01:51:01
clusterId	string	叢集 ID。	c2051775877374cccbf68af596e6****
ImageUuid	string	鏡像 UUID。	70489fb520cea585ad9761d5a842****
DisplaySandboxResult	boolean	支援雲沙箱檢出。取值包括： true：支援。 false：不支援。	true
LargeModel	boolean	是否支援大模型分析標籤。取值包括： true：支援。 false：不支援。	true
MarkList	array	警示事件標籤集合。
	string	警示事件標籤。	mark
SourceAliUid	integer	產生警示的阿里雲帳號 ID。	196072141348****
SupportOperateCode	string	警示支援的操作類型： AI.false_positive：疑似誤判 AI.real_attack：真實攻擊 AI.Insufficient_information_to_evaluate：無法研判	AI.real_attack
DetectSource	string	發現來源（無效欄位）	linux

樣本

正常返回樣本

JSON格式

{
  "CurrentPage": 1,
  "PageSize": 20,
  "RequestId": "0D6E20E4-8326-1D03-A553-2182BE9E82F9",
  "TotalCount": 100,
  "Count": 20,
  "SuspEvents": [
    {
      "Stages": "\"[\"authority_maintenance\"]\"",
      "TacticItems": [
        {
          "TacticId": "TA0001",
          "TacticDisplayName": "Malicious scripts-Malicious script code execution"
        }
      ],
      "InternetIp": "1.2.XX.XX",
      "K8sClusterName": "test-daily",
      "ContainerImageId": "sha256:2e5a3b0ae5f452b3cb458789a9a7542ef40035a84318469a8528c5e444db1****",
      "LastTimeStamp": 1631699497000,
      "OccurrenceTime": "2018-09-26 01:51:01",
      "AlarmUniqueInfo": "8df914418f****",
      "Desc": "webshell",
      "CanCancelFault": false,
      "AlarmEventNameDisplay": "Login with unusual location",
      "AppName": "pro-deploy-tibasic",
      "SecurityEventIds": "270789",
      "K8sClusterId": "c517b37e1401e4961b3951863a49a****",
      "ContainerImageName": "centos7_apache:v1.0.1",
      "MarkMisRules": "1. &nbsppath &nbspcontain &nbsp232  ",
      "CanBeDealOnLine": true,
      "ContainHwMode": false,
      "K8sNodeId": "i-bp14a1ay8e0aa9t0****\n",
      "InstanceName": "nginx",
      "EventStatus": 8,
      "SaleVersion": "1",
      "OperateErrorCode": "kill_and_quara.Success",
      "Name": "Unusual Logon-Login with unusual location",
      "HasTraceInfo": true,
      "DataSource": "aegis_suspicious_****",
      "OperateTime": 1631699497000,
      "EventSubType": "login_common_location",
      "Advanced": true,
      "OccurrenceTimeStamp": 1631699497000,
      "InstanceId": "i-9dp6dwsxdl9z5u1e2f****",
      "AlarmEventTypeDisplay": "Unusual Logon",
      "IntranetIp": "100.100.XX.XX",
      "LastTime": "2018-09-26 01:51:01",
      "OperateMsg": "success",
      "Uuid": "bf6b30d3-eea8-4924-9f0a-****",
      "K8sPodName": "myapp-pod\n",
      "ContainerId": "container_1648601865161_14925_02_000****",
      "AlarmEventType": "Unusual Logon",
      "K8sNamespace": "default",
      "AutoBreaking": true,
      "K8sNodeName": "N/A",
      "AlarmEventName": "login_common_location",
      "UniqueInfo": "e17e****",
      "MaliciousRuleStatus": "open",
      "Level": "serious",
      "Id": 1000,
      "Details": [
        {
          "Type": "text",
          "Value": "/etc/crontab",
          "NameDisplay": "Login with unusual location",
          "ValueDisplay": "/etc/crontab"
        }
      ],
      "EventNotes": [
        {
          "Note": "Test",
          "NoteId": 123,
          "NoteTime": "2018-09-26 01:51:01\n"
        }
      ],
      "clusterId": "c2051775877374cccbf68af596e6****",
      "ImageUuid": "70489fb520cea585ad9761d5a842****",
      "DisplaySandboxResult": true,
      "LargeModel": true,
      "MarkList": [
        "mark"
      ],
      "SourceAliUid": 0,
      "SupportOperateCode": "AI.real_attack",
      "DetectSource": "linux"
    }
  ]
}

異常返回樣本

JSON格式

{
    "RequestId": "43F670F3-AB40-4E91-BC7D-C57468834F67",
    "HostId": "aegis.cn-hangzhou.aliyuncs.com",
    "Code": "-101",
    "Message": "illegal parameter, xxxx\n"
}

錯誤碼

HTTP status code	錯誤碼	錯誤資訊	描述
400	NoPermission	no permission	無此服務的存取權限。
400	UnknownError	UnknownError	未知錯誤，請稍後重試！
400	RdCheckNoPermission	Resource directory account verification has no permission.	資來源目錄帳號校正無許可權。
500	RdCheckInnerError	Resource directory account service internal error.	資來源目錄帳號服務內部錯誤。
500	ServerError	ServerError	服務故障，請稍後重試！
403	NoPermission	caller has no permission	當前操作未被授權，請聯絡主帳號在RAM控制台進行授權後再執行操作。

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊，參考變更詳情。