DescribeThreatEventDetail - 值得关注的安全事件详情 - Web 应用防火墙

值得关注的安全事件详情。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作

访问级别

资源类型

条件关键字

关联操作

yundun-waf:DescribeThreatEventDetail

get

*全部资源

*

acs:ResourceGroupId

无

请求参数

名称	类型	必填	描述	示例值
EventId	string	是	安全事件 ID。	1661131a028f72a976703f4a4082ad87
InstanceId	string	是	WAF 实例 ID。说明您可以通过调用 DescribeInstance 接口查看您当前 WAF 实例 ID。	waf_v2_public_cn-lbj*****
RegionId	string	否	WAF 实例所属地域。取值： cn-hangzhou：表示中国内地。 ap-southeast-1：表示非中国内地。	cn-hangzhou
ResourceManagerResourceGroupId	string	否	阿里云资源组 ID。	rg-aekzhks66****

返回参数

名称	类型	描述	示例值
	object
RequestId	string	本次请求的 id。	D7861F61-5B61-46CE-A47C-6B1****
ThreatEventDetail	object	安全事件详情。
IsPersistent	integer	是否针对性持续攻击事件。 0：表示非持续性攻击。 1：表示持续性攻击。	1
EventLevel	string	事件等级。取值： critical：表示严重。 high：表示高危。 medium：表示中危。 low：表示低危。	high
EventBlock	string	攻击拦截量。	20
EventCnt	string	攻击总量。	20
EndTime	integer	最近攻击时间。格式为 Unix 时间戳（UTC 时间），单位为秒。	1749916800000
EventIntelligence	string	事件关联的威胁情报。以 JSON 格式数组转化成字符串。	["CVE-2020-14882","DDoS Attack"]
EventSrcRegion	string	攻击来源 IP 所属地域。	GB-ENG
EventSrc	string	攻击来源 IP。说明安全事件可能有多个攻击来源 IP，本接口只返回一个。	XX.XX.XX.XX
EventSuggest	string	安全建议。取值为： ProtectInterface：被攻击目标疑似后台管理类地址，如果该地址有固定的访问特征，建议通过访问控制模块配置自定义规则进行限制。 BlockArea：请关注攻击来源区域，如果攻击来源与业务正常的区域分布不同，建议通过访问控制模块配置区域封禁或 IP 黑名单规则进行限制。 SwitchBlock：当前规则防护为告警模式，为保障业务安全，建议切换至拦截模式。在切换前，请注意观察是否存在误拦截等情况。 FixBug：建议排查被攻击目标是否存在安全漏洞，如果存在，请及时修复，避免被攻击者利用。 SwitchStrict：在不影响正常业务的情况下，可适当将规则防护、扫描防护等模块策略调整至更严格的模式。在调整策略前，请注意观察是否存在误拦截等情况。 ProtectFile：建议排查目标域名下是否存在敏感文件或路径，避免被攻击者探测利用。 BlockIP：攻击源 IP 恶意度较高，请保持关注。在不影响正常业务的情况下，建议通过 IP 黑名单等方式，封禁恶意 IP 访问 KeepConcerned：暂未发现风险，建议保持关注。	FixBug
EventCondition	string	查看日志功能的过滤条件。以一系列参数构造的 JSON 格式转化成字符串。	{"end_ts": 1766637714, "start_ts": 1764096746, "condition": {"real_client_ip": ["78.153.140.179", "78.153.140.203", "78.153.140.177", "78.153.140.178", "78.153.140.151"]}}
EventTag	string	事件名称。取值为： MultipleDomainDirscan：表示针对多个域名的目录文件扫描。 SingleDomainDirscan：表示针对单个域名的目录文件扫描。 MultipleDomainWebscan：表示针对多个域名的 Web 漏洞扫描。 SingleDomainWebscan：表示针对单个域名的 Web 漏洞扫描。 MultipleDomainWebattack：表示针对多个域名的 Web 漏洞攻击。 SingleDomainWebattack：表示针对单个域名的 Web 漏洞攻击。 SingleURLWebattack：表示针对特定 URL 的 Web 漏洞攻击。 SingleURLSqlattack：表示针对特定 URL 的 SQL 注入漏洞攻击。 SingleURLXssattack：表示针对特定 URL 的 XSS 漏洞攻击。 WebshellUpload：表示尝试上传后门木马的攻击行为。 RandomVulnTest：表示随机的 Web 漏洞探测行为。	MultipleDomainWebattack
EventSrcCountry	string	攻击来源 IP 所属国家。	GB

示例

正常返回示例

JSON格式

{
  "RequestId": "D7861F61-5B61-46CE-A47C-6B1****",
  "ThreatEventDetail": {
    "IsPersistent": 1,
    "EventLevel": "high",
    "EventBlock": "20",
    "EventCnt": "20",
    "EndTime": 1749916800000,
    "EventIntelligence": "[\"CVE-2020-14882\",\"DDoS Attack\"]",
    "EventSrcRegion": "GB-ENG",
    "EventSrc": "XX.XX.XX.XX",
    "EventSuggest": "FixBug",
    "EventCondition": "{\"end_ts\": 1766637714, \"start_ts\": 1764096746, \"condition\": {\"real_client_ip\": [\"78.153.140.179\", \"78.153.140.203\", \"78.153.140.177\", \"78.153.140.178\", \"78.153.140.151\"]}}",
    "EventTag": "MultipleDomainWebattack",
    "EventSrcCountry": "GB"
  }
}

错误码

访问错误中心查看更多错误码。

变更历史

更多信息，参考变更详情。