调用DescribeSuspEventDetail接口,查询异常事件的详情。告警事件分为告警与异常两种类型,一个告警事件中可以包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeSuspEventDetail

要执行的操作。

取值:DescribeSuspEventDetail

From String sas

异常事件数据的来源,固定为sas。

SourceIp String 1.2.XX.XX

访问源的IP地址。

Lang String zh

请求和接收消息的语言类型。取值包括:

  • zh:中文
  • en:英文
SuspiciousEventId Integer 1

记录异常事件的唯一标识ID。

说明 查询单个异常事件信息时,需要提供记录异常事件的唯一标识ID。您可以调用DescribeSuspEvents接口获取唯一标识ID。

返回数据

名称 类型 示例值 描述
CanBeDealOnLine Boolean true

是否支持在线处理异常事件。取值包括:

  • true:支持在线处理
  • false:不支持在线处理
DataSource String aegis_suspicious_***

异常事件的数据来源。

Details Array of QuaraFile

异常事件的详情。

NameDisplay String 源文件下载

返回参数中,异常事件显示的名称。

Type String html

异常事件详情信息展示的方式。

取值包括:

  • text:文本方式
  • html:富文本的方式
Value String 2018-12-12 12:00:00

异常事件的其他属性信息。例如:异常登录告警的登录时间或登录地点、Webshell告警的木马文件路径或木马类型等。

EventDesc String 该文件极有可能是黑客成功入侵网站后种植的,建议您先确认文件合法性并处理

异常事件的描述信息。

EventName String WEBSHELL

异常事件的名称。

EventStatus String 1

异常事件状态。取值包括:

  • 1:PENDING(待处理)
  • 2:IGNORE(已忽略)
  • 4:HANDLED(已确认)
  • 8:FAULT(已标记误报)
  • 16:DEALING(处理中)
  • 32:DONE(处理完毕)
  • 64:EXPIRE(已经过期)
EventTypeDesc String 网站后门-发现后门(Webshell)文件

异常事件类型说明。

Id Integer 1991

记录异常事件的唯一标识ID。

InstanceName String ca_cpm_test1

发生异常事件的服务器的名称。

InternetIp String 1.1.XX.XX

发生异常事件的服务器的公网IP。

IntranetIp String 1.2.XX.XX

发生异常事件的服务器的私网IP。

LastTime String 2018-10-30 11:43:46

异常事件最新发生时间。

Level String serious

异常事件的危险等级。取值包括:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
OperateErrorCode String quara.Succes

异常事件的处理结果。

OperateMsg String success

异常事件的处理结果的描述信息。

RequestId String 1

结果的请求ID。

SaleVersion String 1

异常事件检测支持的云安全中心版本。取值包括:

  • 0:基础版
  • 1:高级版
  • 2:企业版
Uuid String bffb12c3-590a-4db2-b538-***

发生异常事件的服务器实例的UUID。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeSuspEventDetail
&From=sas
&<公共请求参数>

正常返回示例

XML格式

<DescribeSuspEventDetailResponse>
  <EventDesc>该文件极有可能是黑客成功入侵网站后种植的,建议您先确认文件合法性并处理</EventDesc>
  <EventTypeDesc>网站后门-发现后门(Webshell)文件</EventTypeDesc>
  <RequestId>1</RequestId>
  <OperateErrorCode>quara.Succes</OperateErrorCode>
  <EventStatus>1</EventStatus>
  <EventName>WEBSHELL</EventName>
  <SaleVersion>1</SaleVersion>
  <IntranetIp>1.2.XX.XX</IntranetIp>
  <DataSource>aegis_suspicious_***</DataSource>
  <InstanceName>ca_cpm_test1</InstanceName>
  <CanBeDealOnLine>true</CanBeDealOnLine>
  <OperateMsg>success</OperateMsg>
  <Uuid>bffb12c3-590a-4db2-b538-***</Uuid>
  <Details>
        <Type>html</Type>
        <Value>2018-12-12 12:00:00</Value>
        <NameDisplay>源文件下载</NameDisplay>
  </Details>
  <InternetIp>1.1.XX.XX</InternetIp>
  <Level>serious</Level>
  <Id>1991</Id>
  <LastTime> 2018-10-30 11:43:46 </LastTime>
</DescribeSuspEventDetailResponse>

JSON格式

{
    "EventDesc": "该文件极有可能是黑客成功入侵网站后种植的,建议您先确认文件合法性并处理",
    "EventTypeDesc": "网站后门-发现后门(Webshell)文件",
    "RequestId": 1,
    "OperateErrorCode": "quara.Succes",
    "EventStatus": 1,
    "EventName": "WEBSHELL",
    "SaleVersion": 1,
    "IntranetIp": "1.2.XX.XX",
    "DataSource": "aegis_suspicious_***",
    "InstanceName": "ca_cpm_test1",
    "CanBeDealOnLine": true,
    "OperateMsg": "success",
    "Uuid": "bffb12c3-590a-4db2-b538-***",
    "Details": {
        "Type": "html",
        "Value": "2018-12-12 12:00:00",
        "NameDisplay": "源文件下载"
    },
    "InternetIp": "1.1.XX.XX",
    "Level": "serious",
    "Id": 1991,
    "LastTime": "2018-10-30 11:43:46"
}

错误码

访问错误中心查看更多错误码。