入侵检测告警列表接口
更新时间 2025-12-24 16:56:43
最近更新时间: 2025-12-24 16:56:43
接口功能介绍
告警中心-告警事件列表
接口约束
此功能为收费功能。确认已经购买服务器配额,并且开启服务器防护。如果没有购买配额,可按照页面提示进行购买。如果没有开启防护,请在服务器列表页开启机器防护。
URI
POST /v1/instrusion/event/list
路径参数 无
Query参数 无
请求参数
请求头header参数
| 参数 | 是否必填 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|---|
| Content-Type | 是 | String | Content-Type | application/json |
请求体body参数
| 参数 | 是否必填 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|---|
| timeType | 是 | String | 时间类型 LAST_ONE_DAY-最近一天 LAST_THREE_DAY-最近三天 LAST_ONE_WEEK-最近一周 LAST_ONE_MONTH-最近一月 LAST_THREE_MONTH-最近三月 SELF_TIME-自定义时间 | LAST_ONE_DAY | |
| startTime | 否 | String | 开始时间 timeType=SELF_TIME时必填 | 2023-01-01 00:00:00 | |
| endTime | 否 | String | 结束时间 timeType=SELF_TIME时必填 | 2023-01-01 00:00:00 | |
| severityCode | 否 | Integer | 威胁等级编码 1-提醒 2-可疑 3-紧急 | 1 | |
| attckType | 否 | String | 攻击阶段 TA0001-初始访问 TA0002-代码执行 TA0003-持久化 TA0004-权限提升 TA0005-防御绕过 TA0006-凭证访问 TA0007-发现 TA0009-收集 TA0011-命令与控制 TA0040-影响破坏 | TA0001 | |
| status | 否 | Integer | 状态 | ||
| 0-未处理 | |||||
| 2-已加白 | |||||
| 3-已隔离 | |||||
| 6-已拦截 | |||||
| 7-已忽略 | |||||
| 8-已删除 | |||||
| 9-拦截失败 | |||||
| 10-已恢复 | |||||
| 99-处理中 | 0 | ||||
| likeQueryType | 否 | Integer | 模糊查询参数类型 | ||
| 1-服务器名称 | |||||
| 2-服务器ip | |||||
| 5-guid | |||||
| 9-告警名称 | 1 | ||||
| likeQueryParam | 否 | String | 模糊查询参数 | test | |
| agentGuid | 否 | String | guid | 1-1-1-1 | |
| currentPage | 是 | Integer | 分页当前页码 | 1 | |
| pageSize | 是 | Integer | 每页大小 | 10 | |
| handleStatus | 否 | String | {HANDLED=HANDLED, UN_HANDLED=UN_HANDLED, IGNORED=IGNORED} | HANDLED | |
| alarmType | 否 | String | 告警类型 | ||
| 告警类型 1-进程异常行为 2-恶意软件 3-用户异常行为 4-恶意网络连接 5-其他 | 1 | ||||
| eventTypeId | 否 | String | eventTypeId | ||
| 告警名称编码 | 8200 |
响应参数
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| error | String | 返回码 | ||
| CTCSSCN_000000:成功 | ||||
| CTCSSCN_000001:失败 | ||||
| CTCSSCN_000003:用户未签署协议,安全卫士系统无法正常使用 | ||||
| CTCSSCN_000004:鉴权错误 | ||||
| CTCSSCN_000005:用户没有付费版配额,功能不可用 | 0 | |||
| message | String | 返回信息 | success | |
| returnObj | Object | 返回对象 | returnObj | |
| traceId | String | traceId | asaadasd11111 | |
| statusCode | String | 状态码 200-成功 | 200 | |
| 表 returnObj |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| total | Integer | 总数 | 100 | |
| list | Array of Objects | 结果集 | list | |
| pageNum | Integer | 当前页 | 1 | |
| pageSize | Integer | 每页的数量 | 10 | |
| handleTotal | Integer | 已处理总数 | 1 | |
| unHandleTotal | Integer | 待处理总数 | 1 | |
| 表 list |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| id | String | 告警记录id | ALT0001 | |
| createTime | String | 创建时间 | 2025-01-01 00:00:00 | |
| updateTime | String | 更新时间 | 2025-01-01 00:00:00 | |
| firstFindTime | String | 首次发现时间 | 2025-01-01 00:00:00 | |
| timestamp | String | 最后发现时间 | 2025-01-01 00:00:00 | |
| handleTime | String | 处理时间 | 2025-01-01 00:00:00 | |
| status | Integer | 状态 | ||
| 0-未处理 | ||||
| 2-已加白 | ||||
| 3-已隔离 | ||||
| 6-已拦截 | ||||
| 7-已忽略 | ||||
| 8-已删除 | ||||
| 9-拦截失败 | ||||
| 10-已恢复 | ||||
| 99-处理中 | 0 | |||
| agentGuid | String | guid | 1-1-1-1 | |
| alertName | String | 告警摘要 | 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. | |
| attckType | String | 攻击阶段 TA0001-初始访问 TA0002-代码执行 TA0003-持久化 TA0004-权限提升 TA0005-防御绕过 TA0006-凭证访问 TA0007-发现 TA0009-收集 TA0011-命令与控制 TA0040-影响破坏 | TA0001 | |
| severity | Integer | 威胁等级编码 1-提醒 2-可疑 3-紧急 | 1 | |
| attackCount | Integer | 攻击次数 | 1 | |
| eventId | String | 事件id | 8201 | |
| privateIp | String | 私有ip | 192.168.0.1 | |
| publicIp | String | 公有ip | 192.168.0.1 | |
| custName | String | 主机名称 | test | |
| hostName | String | 主机名称 | test | |
| displayName | String | 实例名称 | test | |
| osType | String | 操作系统类型 Linux/Windows | Linux | |
| alarmName | String | 告警名称 | 异常的注册表操作 | |
| alarmDesc | String | 告警摘要 | 存在异常的注册表操作,请检查注册表操作权限。 | |
| alarmType | String | 告警类型 1-进程异常行为 2-恶意软件 3-用户异常行为 4-恶意网络连接 5-其他 | 1 | |
| eventDesc | String | 事件描述 | 检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑,可能与恶意软件或攻击者入侵后在修改相关的配置项。 | |
| handleSuggestion | String | 处理建议 | 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为. | |
| remark | String | 备注 | TEST | |
| alarmTypeName | String | 告警类型名称 | 进程异常行为 | |
| attckTypeName | String | 攻击标识名称 | 初始访问 | |
| riskInfo | Array of Objects | 风险信息 | riskInfo | |
| handleRules | Array of Objects | handleList | ||
| 操作列表 | handleRules | |||
| whiteData | Object | 白名单数据 | whiteData | |
| eventCategoryId | String | 告警类型 1-进程异常行为 2-恶意软件 3-用户异常行为 4-恶意网络连接 5-其他 | 1 | |
| eventTypeId | String | 事件名称id | 8200 | |
| quotaVersion | Integer | 配额配额 1-基础版 2-企业版 3-旗舰版 | 1 | |
| 表 whiteData |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| ruleConditionDesc | String | 规则条件描述 | 告警名称 等于 异常的注册表操作 且 注册表名称 等于 Start 且 注册表路径 等于 \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\edr_monitor | |
| rules | Array of Objects | 白名单规则数据列表 | rules | |
| 表 rules |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| fieldValue | String | 字段值 | Start | |
| condition | String | 字段条件 =: 等于; !=: 不等于; contain: 包含; not_contain: 不包含; | = | |
| fieldEnName | String | 字段名 | reg_key | |
| fieldZnName | String | 字段中文名 | 注册表名称 | |
| canEdit | Boolean | 是否可编辑 | true | |
| 表 handleRules |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| name | String | 操作名称 | 添加白名单 | |
| label | String | 操作标签 ADD_WHITE-添加白名单 ISOLATE-隔离 DELETE-删除 IGNORE-忽略 | ADD_WHITE | |
| 表 riskInfo |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|---|---|---|---|
| fieldEnName | String | 字段中文名 | 进程路径 | |
| fieldZnName | String | 字段英文名 | processPath | |
| fieldValue | Object | 字段值 | C:\Windows\System32\cmd.exe | fieldValue |
| order | Integer | 排序 | 1 | |
| canEdit | Boolean | 是否可编辑 | false | |
| type | String | 类型。string/array | string | |
| 表 fieldValue |
| 参数 | 参数类型 | 说明 | 示例 | 下级对象 |
|---|
枚举参数
无
请求示例
请求url
无
请求头header
{"Content-Type": "application/json"}
请求体body
{"timeType": "LAST_ONE_DAY", "startTime": "2023-01-01 00:00:00", "endTime": "2023-01-01 00:00:00", "severityCode": 1, "attckType": "TA0001", "status": 0, "likeQueryType": 1, "likeQueryParam": "test", "agentGuid": "1-1-1-1", "currentPage": 1, "pageSize": 10, "handleStatus": "HANDLED", "alarmType": "1", "eventTypeId": "8200"}
响应示例
{"message": "success", "traceId": "asaadasd11111", "statusCode": "200", "error": "0", "returnObj": {"total": 100, "list": [{"id": "ALT0001", "createTime": "2025-01-01 00:00:00", "updateTime": "2025-01-01 00:00:00", "firstFindTime": "2025-01-01 00:00:00", "timestamp": "2025-01-01 00:00:00", "handleTime": "2025-01-01 00:00:00", "status": 0, "agentGuid": "1-1-1-1", "alertName": "在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关.", "attckType": "TA0001", "severity": 1, "attackCount": 1, "eventId": "8201", "privateIp": "192.168.0.1", "publicIp": "192.168.0.1", "custName": "test", "hostName": "test", "displayName": "test", "osType": "Linux", "alarmName": "异常的注册表操作", "alarmDesc": "存在异常的注册表操作,请检查注册表操作权限。", "alarmType": "1", "eventDesc": "检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑,可能与恶意软件或攻击者入侵后在修改相关的配置项。", "handleSuggestion": "请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.", "remark": "TEST", "alarmTypeName": "进程异常行为", "attckTypeName": "初始访问", "riskInfo": [{"fieldEnName": "进程路径", "fieldZnName": "processPath", "fieldValue": "C:\\Windows\\System32\\cmd.exe", "order": 1, "canEdit": "false", "type": "string"}], "handleRules": [{"name": "添加白名单", "label": "ADD_WHITE"}], "whiteData": {"ruleConditionDesc": "告警名称 等于 异常的注册表操作 且 注册表名称 等于 Start 且 注册表路径 等于 \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\Services\\edr_monitor", "rules": [{"fieldValue": "Start", "condition": "=", "fieldEnName": "reg_key", "fieldZnName": "注册表名称", "canEdit": "true"}]}, "eventCategoryId": "1", "eventTypeId": "8200", "quotaVersion": 1}], "pageNum": 1, "pageSize": 10, "handleTotal": 1, "unHandleTotal": 1}}
状态码
请参考 状态码
错误码
请参考 错误码
