调用DescribeAlarmEventList接口查询安全告警处理页面的告警事件信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeAlarmEventList

要执行的操作。

取值:DescribeAlarmEventList

CurrentPage Integer 1

设置从返回结果的第几页开始显示。起始值为1。默认值为1,表示从第1页开始显示。

From String sas

请求来源标识,固定为sas,表示请求来源为云安全中心。

PageSize String 20

设置分页查询时,每页显示的数据的最大条数。默认值为20

SourceIp String 1.2.X.X

要查询的访问源的IP地址。

Lang String zh

请求和接收消息的语言类型,默认值为zh。取值:

  • zh:中文
  • en:英文
Dealed String Y

要查询的告警事件的状态。取值:

  • N:待处理告警
  • Y:已处理告警
Levels String serious

要查询的告警事件的危险等级,多个危险等级用半角逗号(,)分隔,严重等级递减。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
Remark String database_server

要查询的告警名称或资产信息。

GroupId String tst***

受告警事件影响的资产的分组ID。

AlarmEventName String DDoS木马

要查询的告警事件名称。

AlarmEventType String 恶意进程(云查杀)

要查询的告警事件的类型。

OperateErrorCodeList.N RepeatList ignore. Success

告警事件处理结果码。格式为:操作类型.操作结果码。包括以下操作类型:

  • Common:通用操作
  • deal:处理
  • ignore:忽略
  • offline_handled:告警已确认
  • mark_mis_info:加白名单
  • rm_mark_mis_info:取消加白名单
  • quara:隔离
  • kill_and_quara:普通查杀
  • kill_virus:深度清理
  • block_ip:阻断
  • manual_handled:手工处理

操作结果码:

  • Success:成功
  • Failure:失败
  • AgentOffline:客户端离线

调用API时,除了本文中该API的请求参数,还需加入阿里云API公共请求参数。公共请求参数的详细介绍,请参见公共参数

调用API的请求格式,请参见本文示例中的请求示例。

返回数据

名称 类型 示例值 描述
PageInfo Struct

页面显示的信息。

Count Integer 1

分页查询时,当前页显示的数据条数。

CurrentPage Integer 1

分页查询时,查询到的当前结果页面的页码。起始值为1,默认值为1

PageSize Integer 20

分页查询时,每页显示的数据的最大条数。默认值为20

TotalCount Integer 1

查询到的告警事件的总条数。

RequestId String 28267723-D857-4DD8-B295-013100000000

本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

SuspEvents Array of SuspEvents

告警事件信息。

AlarmEventName String 执行恶意命令

告警事件名称。

AlarmEventNameOriginal String 恶意命令执行精准防御

告警事件的原始父名称。

AlarmEventType String 进程异常行为

告警事件类型。

AlarmUniqueInfo String 8df914418f4211fbf756efe7a6f40cbc

告警事件的唯一标识ID。

CanBeDealOnLine Boolean true

是否能在线处理告警事件,例如阻断隔离、加白名单、忽略等。取值:

  • true:支持在线处理
  • false:不支持在线处理
CanCancelFault Boolean false

能否取消标记为误报。取值:

  • true:可以取消
  • false:不可以取消
DataSource String aegis_***

数据来源。

Dealed Boolean false

告警是否已处理。取值:

  • true:已处理
  • false:待处理
Description String 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。

告警事件的描述。

EndTime Long 1543740301000

告警事件结束时间戳。单位:毫秒。

GmtModified Long 1569235879000

告警最新发生时间戳。单位:毫秒。

HasTraceInfo Boolean true

告警是否有溯源信息。取值:

  • true:有溯源
  • false:无溯源
InstanceId String i-e***

受影响资产实例的ID。

InstanceName String 测试服务器

受影响资产实例的名称。

InternetIp String 1.2.X.X

受影响资产实例的公网IP。

IntranetIp String 1.2.X.X

受影响资产实例的私网IP。

Level String serious

告警事件的危险等级。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
OperateErrorCode String kill_and_quara.Success

告警处理结果码。

OperateTime Long 1631699497000

告警处理的时间戳。单位:毫秒。

SaleVersion String 1

告警事件检测支持的售卖版本。取值:

  • 0:基础版本
  • 1:企业版本
SecurityEventIds String 270789

关联异常的ID。

Solution String 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。

告警事件的处理方法。

Stages String [\"authority_maintenance\"]

攻击的阶段。

StartTime Long 1543740301000

告警事件的开始时间。

SuspiciousEventCount Integer 1

关联的异常事件的条数。

Uuid String 47900178-885d-4fa4-9d77-***

关联实例的唯一标识。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeAlarmEventList
&CurrentPage=1
&From=sas
&PageSize=20
&<公共请求参数>

正常返回示例

XML格式

<DescribeAlarmEventList>
  <PageInfo>
        <TotalCount>1</TotalCount>
        <PageSize>20</PageSize>
        <CurrentPage>1</CurrentPage>
        <Count>1</Count>
  </PageInfo>
  <RequestId>28267723-D857-4DD8-B295-013100000000</RequestId>
  <SuspEvents>
        <Description>黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。</Description>
        <EndTime>1543740301000</EndTime>
        <OperateErrorCode>kill_and_quara.Success</OperateErrorCode>
        <AlarmEventName>执行恶意命令</AlarmEventName>
        <SecurityEventIds>270789</SecurityEventIds>
        <GmtModified>1569235879000</GmtModified>
        <IntranetIp>1.2.X.X</IntranetIp>
        <HasTraceInfo>true</HasTraceInfo>
        <InternetIp>1.2.X.X</InternetIp>
        <AlarmEventType>进程异常行为</AlarmEventType>
        <Solution>请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。</Solution>
        <CanCancelFault>false</CanCancelFault>
        <AlarmEventNameOriginal>恶意命令执行精准防御</AlarmEventNameOriginal>
        <InstanceId>i-e***</InstanceId>
        <Stages>[\"authority_maintenance\"]</Stages>
        <StartTime>1543740301000</StartTime>
        <SaleVersion>1</SaleVersion>
        <Dealed>false</Dealed>
        <DataSource>aegis_***</DataSource>
        <InstanceName>测试服务器</InstanceName>
        <OperateTime>1631699497000</OperateTime>
        <CanBeDealOnLine>true</CanBeDealOnLine>
        <Uuid>47900178-885d-4fa4-9d77-***</Uuid>
        <SuspiciousEventCount>1</SuspiciousEventCount>
        <AlarmUniqueInfo>8df914418f4211fbf756efe7a6f40cbc</AlarmUniqueInfo>
        <Level>serious</Level>
  </SuspEvents>
</DescribeAlarmEventList>

JSON格式

{
    "PageInfo": {
        "TotalCount": "1",
        "PageSize": "20",
        "CurrentPage": "1",
        "Count": "1"
    },
    "RequestId": "28267723-D857-4DD8-B295-013100000000",
    "SuspEvents": [
        {
            "Description": "黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。",
            "EndTime": "1543740301000",
            "OperateErrorCode": "kill_and_quara.Success",
            "AlarmEventName": "执行恶意命令",
            "SecurityEventIds": "270789",
            "GmtModified": "1569235879000",
            "IntranetIp": "1.2.X.X",
            "HasTraceInfo": "true",
            "InternetIp": "1.2.X.X",
            "AlarmEventType": "进程异常行为",
            "Solution": "请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。",
            "CanCancelFault": "false",
            "AlarmEventNameOriginal": "恶意命令执行精准防御",
            "InstanceId": "i-e***",
            "Stages": "[\\\"authority_maintenance\\\"]",
            "StartTime": "1543740301000",
            "SaleVersion": "1",
            "Dealed": "false",
            "DataSource": "aegis_***",
            "InstanceName": "测试服务器",
            "OperateTime": "1631699497000",
            "CanBeDealOnLine": "true",
            "Uuid": "47900178-885d-4fa4-9d77-***",
            "SuspiciousEventCount": "1",
            "AlarmUniqueInfo": "8df914418f4211fbf756efe7a6f40cbc",
            "Level": "serious"
        }
    ]
}

错误码

访问错误中心查看更多错误码。