调用DescribeSuspEvents查询异常事件信息。

接口说明

安全告警分为告警和异常两个维度,一个安全告警包含了多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeSuspEvents

系统规定参数。取值:DescribeSuspEvents。
OfficeSiteId String cn-hangzhou+dir-363353****

工作区ID。
RegionId String cn-hangzhou

地域ID。
Lang String zh

请求和接收消息的语言类型。取值范围:

  • zh:中文
  • en:英文
Dealed String N

异常事件的处理状态。取值范围:

  • N:待处理
  • Y:已处理
Levels String serious

异常事件的危险等级。取值范围:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
ParentEventType String 网站后门

异常事件所属的告警类型。
AlarmUniqueInfo String 8ff29a086e0ccf4507c55e4ec3af****

异常事件所属的告警ID。
CurrentPage Integer 1

分页查询时,当前页的页码。 起始值:1。 默认值:1。
PageSize Integer 20

分页查询时,每页最大行数。 默认值:20。

返回数据

名称 类型 示例值 描述
CurrentPage Integer 1

分页查询时,当前页的页码。
PageSize String 20

分页查询时,每页最大行数。
RequestId String 54EF5D9E-6891-4D25-93A7-A09975C9D3AD

请求ID。
SuspEvents Array of SuspEvent

异常事件信息。
AlarmEventName String 启动项异常修改

异常事件所属的告警名称。
AlarmEventNameDisplay String 启动项异常修改

异常事件所属的告警描述。
AlarmEventType String 进程异常行为

异常事件所属的告警类型。
AlarmEventTypeDisplay String 进程异常行为

异常事件所属的告警类型描述。
AlarmUniqueInfo String 8ff29a086e0ccf4507c55e4ec3af****

异常事件所属的告警ID。
CanBeDealOnLine String false

是否支持在线处理异常事件。可能值:

  • true:支持在线处理
  • false:不支持在线处理
CanCancelFault Boolean false

是否支持忽略异常事件。可能值:

  • true:支持忽略
  • false:不支持忽略
DataSource String aegis_suspicious_event

数据来源(可忽略)。
Desc String 检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。

异常事件的影响描述。
DesktopId String ecd-blbmpzpqjdrdy****

受影响的云桌面ID。
DesktopName String test

受影响的云桌面名称。
Details Array of Detail

异常事件详情。
Name String ${suspicious.property.process_path}

原始属性名。
NameDisplay String 进程路径

翻译Name后展示的属性名。
Type String text

属性值的展示方式。大部分是String,还可能是HTML、Markdown等。
Value String N/A

属性值。
ValueDisplay String N/A

翻译Value后展示的属性值。
EventStatus Integer 1

异常事件的状态。可能值:

  • 1:PENDING(待处理)
  • 2:IGNORE(已忽略)
  • 4:HANDLED(已确认)
  • 8:FAULT(已标记误报)
  • 16:DEALING(处理中)
  • 32:DONE(处理完毕)
  • 64:EXPIRE(已过期)
EventSubType String 启动项异常修改

异常事件名称。
Id Long 19271054

记录异常事件的标识ID。
LastTime String 2021-05-14 14:27:51

异常事件最新发生时间。
Level String suspicious

异常事件的危险等级。可能值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
Name String 进程异常行为-启动项异常修改

异常事件的完整名称。
OccurrenceTime String 2021-05-13 22:54:17

异常事件首次发生时间。
OperateErrorCode String 1

异常事件操作的错误码。
OperateMsg String success

异常事件操作的备注信息。
UniqueInfo String ea154b41f2c4b4005cb130af0586****

异常事件的标识ID。
TotalCount Integer 1

异常事件的总数。

示例

请求示例

https://ecd.cn-hangzhou.aliyuncs.com/?Action=DescribeSuspEvents
&OfficeSiteId=cn-hangzhou+dir-363353****
&RegionId=cn-hangzhou
&<公共请求参数>

正常返回示例

XML格式 

<DescribeSuspEventsResponse>
      <TotalCount>1</TotalCount>
      <PageSize>20</PageSize>
      <RequestId>54EF5D9E-6891-4D25-93A7-A09975C9D3AD</RequestId>
      <CurrentPage>1</CurrentPage>
      <SuspEvents>
            <UniqueInfo>ea154b41f2c4b4005cb130af0586****</UniqueInfo>
            <CanCancelFault>false</CanCancelFault>
            <AlarmEventTypeDisplay>进程异常行为</AlarmEventTypeDisplay>
            <OperateErrorCode>1</OperateErrorCode>
            <AlarmEventName>启动项异常修改</AlarmEventName>
            <DesktopName>test</DesktopName>
            <EventStatus>1</EventStatus>
            <DesktopId>ecd-blbmpzpqjdrdy****</DesktopId>
            <EventSubType>启动项异常修改</EventSubType>
            <DataSource>aegis_suspicious_event</DataSource>
            <Name>进程异常行为-启动项异常修改</Name>
            <OccurrenceTime>2021-05-13 22:54:17</OccurrenceTime>
            <Desc>检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。</Desc>
            <CanBeDealOnLine>false</CanBeDealOnLine>
            <OperateMsg>success</OperateMsg>
            <AlarmEventType>进程异常行为</AlarmEventType>
            <AlarmUniqueInfo>8ff29a086e0ccf4507c55e4ec3af****</AlarmUniqueInfo>
            <Level>suspicious</Level>
            <Id>19271054</Id>
            <AlarmEventNameDisplay>启动项异常修改</AlarmEventNameDisplay>
            <LastTime>2021-05-14 14:27:51</LastTime>
            <Details>
                  <Type>text</Type>
                  <Value>N/A</Value>
                  <ValueDisplay>N/A</ValueDisplay>
                  <NameDisplay>进程路径</NameDisplay>
                  <Name>${suspicious.property.process_path}</Name>
            </Details>
      </SuspEvents>
</DescribeSuspEventsResponse>

JSON格式 

{
	"TotalCount": "1",
	"PageSize": "20",
	"RequestId": "54EF5D9E-6891-4D25-93A7-A09975C9D3AD",
	"CurrentPage": "1",
	"SuspEvents": [{
		"UniqueInfo": "ea154b41f2c4b4005cb130af0586****",
		"CanCancelFault": "false",
		"AlarmEventTypeDisplay": "进程异常行为",
		"OperateErrorCode": "1",
		"AlarmEventName": "启动项异常修改",
		"DesktopName": "test",
		"EventStatus": "1",
		"DesktopId": "ecd-blbmpzpqjdrdy****",
		"EventSubType": "启动项异常修改",
		"DataSource": "aegis_suspicious_event",
		"Name": "进程异常行为-启动项异常修改",
		"OccurrenceTime": "2021-05-13 22:54:17",
		"Desc": "检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。",
		"CanBeDealOnLine": "false",
		"OperateMsg": "success",
		"AlarmEventType": "进程异常行为",
		"AlarmUniqueInfo": "8ff29a086e0ccf4507c55e4ec3af****",
		"Level": "suspicious",
		"Id": "19271054",
		"AlarmEventNameDisplay": "启动项异常修改",
		"LastTime": "2021-05-14 14:27:51",
		"Details": [{
			"Type": "text",
			"Value": "N/A",
			"ValueDisplay": "N/A",
			"NameDisplay": "进程路径",
			"Name": "${suspicious.property.process_path}"
		}]
	}]
}