调用HandleSecurityEvents处理安全告警。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String HandleSecurityEvents

要执行的操作。取值:HandleSecurityEvents

SourceIp String 1.2.XX.XX

访问源的IP地址。

OperationCode String block_ip

告警的处理方式。取值:

  • block_ip:阻断
  • advance_mark_mis_info:加白名单
  • ignore:忽略
  • manual_handled:我已手工处理
  • kill_process:结束进程
  • cleanup:深度查杀
  • kill_and_quara:病毒查杀
  • disable_malicious_defense:关闭恶意行为防御
  • client_problem_check:问题排查
  • quara:隔离
OperationParams String {}

告警事件处理方式子操作的配置。

说明 除了OperationCode值为kill_and_quarablock_ip此参数必填外,OperationCode为其他值的情况下,该参数值可为空。
MarkMissParam String {"field":"md5","operate":"contains","fieldValue":"{"field":"md5","operate":"contains","fieldValue":"aa"}"}

设置加白名单的规则。例如要针对文件MD5进行加白,加白规则是文件中包含字符串a,则该加白的参数就是{"field":"md5","operate":"contains","fieldValue":"aa"}

MarkBatch String true

否是批量加白。

  • true:是
  • false:否
SecurityEventIds.N String 909361

要处理的安全告警的ID列表。

返回数据

名称 类型 示例值 描述
RequestId String FF0020B9-999F-5DE2-985F-DB282BDA5311

本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

HandleSecurityEventsResponse Object

处理安全告警的结果返回。

TaskId Long 15411

处理安全告警的任务ID。

示例

请求示例

http(s)://[Endpoint]/?Action=HandleSecurityEvents
&SourceIp=1.2.XX.XX
&OperationCode=block_ip
&OperationParams={}
&MarkMissParam={"field":"md5","operate":"contains","fieldValue":"{"field":"md5","operate":"contains","fieldValue":"aa"}"}
&MarkBatch=true
&SecurityEventIds=["909361"]
&公共请求参数

正常返回示例

XML格式

HTTP/1.1 200 OK
Content-Type:application/xml

<RequestId>FF0020B9-999F-5DE2-985F-DB282BDA5311</RequestId>
<HandleSecurityEventsResponse>
    <TaskId>15411</TaskId>
</HandleSecurityEventsResponse>

JSON格式

HTTP/1.1 200 OK
Content-Type:application/json

{
  "RequestId" : "FF0020B9-999F-5DE2-985F-DB282BDA5311",
  "HandleSecurityEventsResponse" : {
    "TaskId" : 15411
  }
}

错误码

HttpCode 错误码 错误信息 描述
400 NoPermission no permission 限制访问
400 SecurityEventNotExists Security event not exists. 安全事件不存在
500 ServerError ServerError 服务故障

访问错误中心查看更多错误码。