华为云用户手册

请求示例 查询主机静态网页防篡改防护动态，目标主机ID为caa958ad-a481-4d46-b51e-6861b8864515，查询起始时间为1668563099000，查询终止时间1668563199000。 GET https://{endpoint}/v5/{project_id}/webtamper/static/protect-history { "host_id" : "caa958ad-a481-4d46-b51e-6861b8864515", "start_time" : 1668563099000, "end_time" : 1668563199000, "limit" : 10, "offset" : 0 }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 host_name String 服务器名称 最小长度：0 最大长度：256 protect_status String 防护状态 close : 未开启 opened : 防护中 最小长度：0 最大长度：32 total_num Long total number 最小值：0 最大值：20000000 data_list Array of HostProtectHistoryResponseInfo objects data list 数组长度：0 - 20000 表5 HostProtectHistoryResponseInfo 参数 参数类型 描述 occr_time Long 检测时间 最小值：0 最大值：4070880000000 file_path String 被篡改文件路径 最小长度：0 最大长度：2000 file_operation String 文件操作类型 add: 新增 delete: 删除 modify: 修改内容 attribute: 修改属性 unknown: 未知 最小长度：0 最大长度：32 host_name String 服务器名称 最小长度：0 最大长度：64 host_ip String 服务器ip 最小长度：0 最大长度：64 process_id String 进程ID 最小长度：0 最大长度：8 process_name String 进程名称 最小长度：0 最大长度：200 process_cmd String 进程命令行 最小长度：0 最大长度：8191

URI GET /v5/{project_id}/webtamper/static/protect-history 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户ID 最小长度：0 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目 最小长度：0 最大长度：64 host_id 是 String Host Id 最小长度：0 最大长度：128 start_time 是 Long 起始时间 最小值：0 最大值：4070880000000 end_time 是 Long 终止时间 最小值：0 最大值：4070880000000 limit 是 Integer limit 最小值：0 最大值：100 offset 是 Integer offset 最小值：0 最大值：100 host_name 否 String 服务器名称 最小长度：0 最大长度：128 host_ip 否 String 服务器ip 最小长度：0 最大长度：128 file_path 否 String 防护文件 最小长度：0 最大长度：128 file_operation 否 String 文件操作类型 add: 新增 delete: 删除 modify: 修改内容 attribute: 修改属性 最小长度：0 最大长度：128

响应示例 状态码： 200 防护策略列表 { "total_num" : 1, "data_list" : [ { "bait_protection_status" : "opened", "exclude_directory" : "/opt", "count_associated_server" : 0, "operating_system" : "Linux", "protection_mode" : "alarm_only", "policy_id" : "4117d16-074b-41ae-b7d7-9cc25ee258", "policy_name" : "test", "protection_directory" : "/dd", "protection_type" : "docx", "runtime_detection_status" : "closed" } ] }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数 最小值：0 最大值：2097152 data_list Array of ProtectionPolicyInfo objects 查询防护策略列表 数组长度：0 - 10241 表5 ProtectionPolicyInfo 参数 参数类型 描述 policy_id String 策略ID 最小长度：0 最大长度：128 policy_name String 策略名称 最小长度：0 最大长度：128 protection_mode String 防护动作，包含如下2种。 alarm_and_isolation ：告警并自动隔离。 alarm_only ：仅告警。 最小长度：0 最大长度：128 bait_protection_status String 是否开启诱饵防护，包含如下1种, 默认为开启防护诱饵防护。 opened ：开启。 closed ：关闭。 最小长度：0 最大长度：128 deploy_mode String 是否开启动态诱饵防护，包含如下2种, 默认为关闭动态诱饵防护。 opened ：开启。 closed ：关闭。 最小长度：0 最大长度：128 protection_directory String 防护目录 最小长度：1 最大长度：128 protection_type String 防护文件类型 最小长度：0 最大长度：128 exclude_directory String 排除目录，选填 最小长度：1 最大长度：128 runtime_detection_status String 是否运行时检测，包含如下2种，暂时只有关闭一种状态，为保留字段。 opened ：开启。 closed ：关闭。 最小长度：0 最大长度：128 runtime_detection_directory String 运行时检测目录，所有目录是/,现在为保留字段 最小长度：1 最大长度：128 count_associated_server Integer 关联server个数 最小值：0 最大值：2097152 operating_system String 操作系统类型 最小长度：0 最大长度：128 process_whitelist Array of TrustProcessInfo objects 进程白名单 数组长度：0 - 20 default_policy Integer 是否为默认策略，包含如下2种。 0 ：非默认策略。 1 ：默认策略 最小值：0 最大值：10 表6 TrustProcessInfo 参数 参数类型 描述 path String 进程路径 最小长度：0 最大长度：128 hash String 进程hash 最小长度：0 最大长度：128

URI GET /v5/{project_id}/ransomware/protection/policy 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0 limit 否 Integer 每页显示个数 最小值：10 最大值：200 缺省值：10 policy_name 否 String 防护策略名称 最小长度：0 最大长度：128 protect_policy_id 否 String 防护策略id 最小长度：0 最大长度：128 operating_system 否 String 策略支持的操作系统 最小长度：0 最大长度：128

响应示例 状态码： 200 漏洞对应cve信息列表请求成功 { "total_num" : 1, "data_list" : [ { "cve_id" : "CVE-2021-45960", "cvss_score" : 8.8, "description" : "In Expat (aka libexpat) XXXX", "publish_time" : 1641035700000 } ] }

URI GET /v5/{project_id}/image/vulnerability/{vul_id}/cve 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 vul_id 是 String 漏洞ID 最小长度：0 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0 limit 否 Integer 每页显示个数 最小值：10 最大值：200 缺省值：10

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数 最小值：0 最大值：2147483547 data_list Array of ImageVulCveInfo objects 列表 数组长度：1 - 10000 表5 ImageVulCveInfo 参数 参数类型 描述 cve_id String cve id 最小长度：0 最大长度：32 cvss_score Float CVSS分数 最小值：0 最大值：100 publish_time Long 公布时间 最小值：0 最大值：2147483547 description String cve描述 最小长度：0 最大长度：65534

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 need_urgent_repair Integer 需紧急修复的漏洞数 最小值：0 最大值：2147483647 unrepair Integer 未完成修复的漏洞数 最小值：0 最大值：2147483647 existed_vul_hosts Integer 存在漏洞的服务器数 最小值：0 最大值：2147483647 today_handle Integer 今日处理漏洞数 最小值：0 最大值：2147483647 all_handle Integer 累计处理漏洞数 最小值：0 最大值：2147483647 supported Integer 已支持漏洞数 最小值：0 最大值：2147483647 vul_library_update_time Long 漏洞库更新时间 最小值：0 最大值：9223372036854775807

响应示例 状态码： 200 { "need_urgent_repair" : 22, "unrepair" : 23, "existed_vul_hosts" : 33, "today_handle" : 77, "all_handle" : 44, "supported" : 78, "vul_library_update_time" : 1692170925188 }

URI GET /v5/{project_id}/vulnerability/statistics 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业租户ID，“0”表示默认企业项目，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：0 最大长度：256

请求示例 将主机5a41ca47-8ea7-4a65-a8fb-950d03d8638e已被隔离的文件C:\Users\Public\test.exe从隔离文件中恢复 PUT https://{endpoint}/v5/{project_id}/event/isolated-file { "data_list" : [ { "file_attr" : "0", "file_hash" : "58693382bc0c9f60ef86e5b37cf3c2f3a9c9ec46936901eaa9131f7ee4a09bde", "file_path" : "C:\\Users
ublic\\test.exe", "host_id" : "5a41ca47-8ea7-4a65-a8fb-950d03d8638e" } ] }

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 x-auth-token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 最小长度：1 最大长度：32768 region 是 String region id 最小长度：0 最大长度：128 表4 请求Body参数 参数 是否必选 参数类型 描述 data_list 否 Array of IsolatedFileRequestInfo objects 需要恢复的文件列表 数组长度：0 - 100 表5 IsolatedFileRequestInfo 参数 是否必选 参数类型 描述 host_id 否 String 服务器ID file_hash 否 String 文件哈希 file_path 否 String 文件路径 file_attr 否 String 文件属性

URI PUT /v5/{project_id}/event/isolated-file 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：20 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 最小长度：0 最大长度：64

URI GET /v5/{project_id}/container/nodes 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0 limit 否 Integer 每页显示个数 最小值：10 最大值：200 缺省值：10 host_name 否 String 节点名称 最小长度：0 最大长度：128 agent_status 否 String Agent状态，包含如下3种。 not_installed ：未安装 online ：在线 offline ：离线 最小长度：1 最大长度：32 protect_status 否 String 防护状态，包含如下2种。 closed ：关闭 opened ：开启 最小长度：1 最大长度：32 container_tags 否 String 标签：用来识别cce容器节点和自建 cce：cce节点 self：自建节点 other：其他节点 最小长度：1 最大长度：32

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 容器节点总数 最小值：0 最大值：65535 data_list Array of ContainerNodeInfo objects 容器节点列表 数组长度：0 - 65535 表5 ContainerNodeInfo 参数 参数类型 描述 agent_id String Agent ID 最小长度：0 最大长度：64 host_id String 服务器ID 最小长度：0 最大长度：128 host_name String 节点名称 最小长度：0 最大长度：128 host_status String 服务器状态，包含如下4种。 ACTIVE ：正在运行。 SHUTOFF ：关机。 BUILDING ：创建中。 ERROR ：故障。 最小长度：1 最大长度：32 agent_status String Agent状态，包含如下3种。 not_installed ：未安装。 online ：在线。 offline ：离线。 最小长度：1 最大长度：32 protect_status String 防护状态，包含如下2种。 closed ：关闭。 opened ：开启。 最小长度：1 最大长度：32 protect_interrupt Boolean 防护是否中断 container_tags String 标签：用来识别cce容器节点和自建 cce：cce节点 self：自建节点 other：其他节点 最小长度：1 最大长度：32 private_ip String 私有IP地址 最小长度：0 最大长度：128 public_ip String 弹性公网IP地址 最小长度：0 最大长度：128 resource_id String 主机安全配额ID（UUID） 最小长度：0 最大长度：128 group_name String 服务器组名称 最小长度：1 最大长度：128 enterprise_project_name String 所属企业项目名称 最小长度：0 最大长度：256 detect_result String 云主机安全检测结果，包含如下4种。 undetected ：未检测。 clean ：无风险。 risk ：有风险。 scanning ：检测中。 最小长度：1 最大长度：32 asset Integer 资产风险 最小值：0 最大值：2097152 vulnerability Integer 漏洞风险 最小值：0 最大值：2097152 intrusion Integer 入侵风险 最小值：0 最大值：2097152 policy_group_id String 策略组ID 最小长度：1 最大长度：128 policy_group_name String 策略组名称 最小长度：1 最大长度：128

响应示例 状态码： 200 success response { "total_num" : 1, "data_list" : [ { "agent_id" : "2d0fe7824005bf001220ad9d892e86f8af44XXXXXXXXXXX", "agent_status" : "online", "host_id" : "host_id", "host_name" : "host_name", "host_status" : "ACTIVE", "protect_status" : "opened", "protect_interrupt" : false, "private_ip" : "192.168.0.114", "public_ip" : "100.85.218.122", "resource_id" : "ef5eb4fd-7376-48ac-886f-16fd057776f3", "group_name" : "as(All projects)", "enterprise_project_name" : "default", "detect_result" : "risk", "asset" : 0, "vulnerability" : 14, "intrusion" : 0, "policy_group_id" : "ce4d5e95-0cbf-4102-9c77-ef1bcb6b35aa", "policy_group_name" : "tenant_linux_enterprise_default_policy_group (All projects)" } ] }

响应消息体（可选） 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于获取用户Token接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "xxxxxxxx", ...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error": { "message": "The request you have made requires authentication.", "title": "Unauthorized" } } 其中，error_code表示错误码，error_msg表示错误描述信息。

响应示例 状态码： 200 查询swr镜像仓库镜像列表,包括私有镜像列表和共享镜像列表（通过传参image_type控制） { "total_num" : 3, "data_list" : [ { "id" : "111(私有镜像举例)", "image_digest" : "sha256:cebcdacde18091448a5040dc55bb1a9f6540b093db8XXXXXX", "image_id" : "cebcdacde18091448a5040dc55bb1a9f6540b093db8XXXXXX", "image_name" : "centos7", "image_size" : "1000 单位（Bytes）", "image_type" : "private_image", "image_version" : "common", "latest_scan_time" : 1691748641788, "latest_update_time" : 1687664346000, "latest_version" : false, "malicious_file_num" : 0, "namespace" : "aaa", "scan_status" : "success", "scannable" : true, "unsafe_setting_num" : 1, "vul_num" : 111, "instance_name" : "", "instance_id" : "", "instance_url" : "" }, { "id" : "222(共享镜像举例)", "domain_name" : "scc_cgs_XXX", "shared_status" : "effective", "image_digest" : "sha256:cebcdacde18091448a5040dc55bb1a9f6540b093db8XXXXXX", "image_id" : "cebcdacde18091448a5040dc55bb1a9f6540b093db8XXXXXX", "image_name" : "mysql", "image_size" : "1000 单位（Bytes）", "image_type" : "shared_image", "image_version" : "5.5", "latest_scan_time" : 1691748641788, "latest_update_time" : 1687664346000, "latest_version" : false, "malicious_file_num" : 0, "namespace" : "aaa", "scan_status" : "success", "scannable" : true, "unsafe_setting_num" : 1, "vul_num" : 111, "instance_name" : "", "instance_id" : "", "instance_url" : "" }, { "id" : "333(企业镜像举例)", "domain_name" : "scc_cgs_XXX", "shared_status" : "effective", "image_digest" : "sha256:cebcdacde18091448a5040dc55bb1a9f6540b093db8XXXXXX", "image_id" : "cebcdacde18091448a5040dc55bb1a9f6540b093db8XXXXXX", "image_name" : "mysql", "image_size" : "1000 单位（Bytes）", "image_type" : "shared_image", "image_version" : "5.5", "latest_scan_time" : 1691748641788, "latest_update_time" : 1687664346000, "latest_version" : false, "malicious_file_num" : 0, "namespace" : "aaa", "scan_status" : "success", "scannable" : true, "unsafe_setting_num" : 1, "vul_num" : 111, "instance_name" : "企业实例名称", "instance_id" : "", "instance_url" : "" } ] }

URI GET /v5/{project_id}/image/swr-repository 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 namespace 否 String 组织名称 最小长度：1 最大长度：256 image_name 否 String 镜像名称 id 最小长度：1 最大长度：128 image_version 否 String 镜像版本 最小长度：1 最大长度：64 latest_version 否 Boolean 仅关注最新版本镜像 缺省值：false offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0 limit 否 Integer 每页显示个数 最小值：10 最大值：200 缺省值：10 image_type 是 String 镜像类型，包含如下: private_image : 私有镜像仓库 shared_image : 共享镜像仓库 local_image : 本地镜像 instance_image : 企业镜像 最小长度：1 最大长度：32 scan_status 否 String 扫描状态，包含如下: unscan : 未扫描 success : 扫描完成 scanning : 扫描中 failed : 扫描失败 download_failed : 下载失败 image_oversized : 镜像超大 最小长度：0 最大长度：32 instance_name 否 String 企业镜像实例名称 最小长度：0 最大长度：128 image_size 否 Long 镜像大小 最小值：0 最大值：2147483547 缺省值：0 start_latest_update_time 否 Long 创建时间开始日期 最小值：0 最大值：4070880000000 缺省值：0 end_latest_update_time 否 Long 创建时间结束日期 最小值：0 最大值：4070880000000 缺省值：0 start_latest_scan_time 否 Long 最近一次扫描完成时间开始日期 最小值：0 最大值：4070880000000 缺省值：0 end_latest_scan_time 否 Long 最近一次扫描完成时间结束日期 最小值：0 最大值：4070880000000 缺省值：0 has_malicious_file 否 Boolean 是否存在恶意文件 has_unsafe_setting 否 Boolean 是否存在基线检查 has_vul 否 Boolean 是否存在软件漏洞 instance_id 否 String 企业仓库实例ID，swr共享版无需使用该参数 最小长度：0 最大长度：128

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数 最小值：0 最大值：2147483547 data_list Array of PrivateImageRepositoryInfo objects 查询swr镜像仓库镜像列表 数组长度：0 - 200 表5 PrivateImageRepositoryInfo 参数 参数类型 描述 id Long id 最小值：0 最大值：2147483547 namespace String 命名空间 最小长度：0 最大长度：64 image_name String 镜像名称 最小长度：0 最大长度：128 image_id String 镜像id 最小长度：0 最大长度：64 image_digest String 镜像digest 最小长度：0 最大长度：128 image_version String 镜像版本 最小长度：0 最大长度：64 image_type String 镜像类型，包含如下2种。 private_image ：私有镜像。 shared_image ：共享镜像。 最小长度：0 最大长度：64 latest_version Boolean 是否是最新版本 scan_status String 扫描状态，包含如下2种。 unscan ：未扫描。 success ：扫描完成。 scanning ：正在扫描。 failed ：扫描失败。 download_failed ：下载失败。 image_oversized ：镜像超大。 waiting_for_scan ：等待扫描。 最小长度：0 最大长度：64 scan_failed_desc String 扫描失败原因，包含如下14种。 "unknown_error" :未知错误 "authentication_failed":认证失败 "download_failed":镜像下载失败 "image_over_sized":镜像大小超限 "image_oversized":镜像超大 "failed_to_scan_vulnerability":漏洞扫描失败 "failed_to_scan_file":文件扫描失败 "failed_to_scan_software":软件扫描失败 "failed_to_check_sensitive_information":敏感信息核查失败 "failed_to_check_baseline":基线检查失败 "failed_to_check_software_compliance":软件合规检查失败 "failed_to_query_basic_image_information":基础镜像信息查询失败 "response_timed_out":响应超时 "database_error" : 数据库错误 "failed_to_send_the_scan_request" : 发送扫描请求失败 最小长度：0 最大长度：64 image_size Long 镜像大小 最小值：0 最大值：2147483547 latest_update_time Long 镜像版本最后更新时间 最小值：0 最大值：4070880000000 latest_scan_time Long 最近扫描时间 最小值：0 最大值：4070880000000 vul_num Integer 漏洞个数 最小值：0 最大值：2147483647 unsafe_setting_num Integer 基线扫描未通过数 最小值：0 最大值：2147483647 malicious_file_num Integer 恶意文件数 最小值：0 最大值：2147483647 domain_name String 拥有者（共享镜像参数） 最小长度：0 最大长度：128 shared_status String 共享镜像状态，包含如下2种。 expired ：已过期。 effective ：有效。 最小长度：1 最大长度：32 scannable Boolean 是否可扫描 instance_name String 企业实例名称 最小长度：0 最大长度：128 instance_id String 企业实例ID 最小长度：0 最大长度：64 instance_url String 企业镜像URL 最小长度：0 最大长度：256 association_images Array of AssociateImages objects 多架构关联镜像信息 数组长度：0 - 200 表6 AssociateImages 参数 参数类型 描述 image_name String 镜像名称 最小长度：0 最大长度：128 image_version String 镜像版本 最小长度：0 最大长度：64 image_type String 镜像类型 最小长度：0 最大长度：64 namespace String 命名空间 最小长度：0 最大长度：64 image_digest String 镜像digest 最小长度：0 最大长度：128 scan_status String 扫描状态，包含如下2种。 unscan ：未扫描。 success ：扫描完成。 scanning ：正在扫描。 failed ：扫描失败。 download_failed ：下载失败。 image_oversized ：镜像超大。 waiting_for_scan ：等待扫描。 最小长度：0 最大长度：32

响应示例 状态码： 200 配额统计列表 { "data_list" : [ { "available_num" : 1, "available_resources_list" : [ { "current_time" : "2022-09-17T17:00:24Z", "resource_id" : "9ecb83a7-8b03-4e37-a26d-c3e90ca97eea", "shared_quota" : "shared" } ], "total_num" : 2, "used_num" : 1, "version" : "hss.version.basic" } ] }

URI GET /v5/{project_id}/billing/quotas 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：128 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 version 否 String 主机开通的版本，包含如下7种输入。 hss.version.null ：无。 hss.version.basic ：基础版。 hss.version.advanced ：专业版。 hss.version.enterprise ：企业版。 hss.version.premium ：旗舰版。 hss.version.wtp ：网页防篡改版。 hss.version.container.enterprise：容器版。 最小长度：1 最大长度：64 charging_mode 否 String 收费模式，包含如下2种。 packet_cycle ：包年/包月。 on_demand ：按需。 最小长度：1 最大长度：32

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 data_list Array of ResourceQuotasInfo objects 配额统计列表 数组长度：0 - 200 表5 ResourceQuotasInfo 参数 参数类型 描述 version String 主机开通的版本，包含如下7种输入。 hss.version.null ：无。 hss.version.basic ：基础版。 hss.version.advanced ：专业版。 hss.version.enterprise ：企业版。 hss.version.premium ：旗舰版。 hss.version.wtp ：网页防篡改版。 hss.version.container.enterprise：容器版。 最小长度：1 最大长度：64 total_num Integer 总配额数 最小值：0 最大值：2000000 used_num Integer 已使用配额数 最小值：0 最大值：2000000 available_num Integer 可用总配额数 最小值：0 最大值：2000000 available_resources_list Array of AvailableResourceIdsInfo objects 可用资源列表 数组长度：0 - 200 表6 AvailableResourceIdsInfo 参数 参数类型 描述 resource_id String 资源ID 最小长度：1 最大长度：256 current_time String 当前时间 最小长度：1 最大长度：64 shared_quota String 是否共享配额 shared：共享的 unshared：非共享的 最小长度：1 最大长度：64

响应示例 状态码： 200 入侵事件列表 { "total_num" : 1, "data_list" : [ { "attack_phase" : "exploit", "attack_tag" : "abnormal_behavior", "event_class_id" : "lgin_1002", "event_id" : "d8a12cf7-6a43-4cd6-92b4-aabf1e917", "event_name" : "different locations", "event_type" : 4004, "forensic_info" : { "country" : "中国", "city" : "兰州市", "ip" : "127.0.0.1", "user" : "zhangsan", "sub_division" : "甘肃省", "city_id" : 3110 }, "handle_status" : "unhandled", "host_name" : "xxx", "occur_time" : 1661593036627, "operate_accept_list" : [ "ignore" ], "operate_detail_list" : [ { "agent_id" : "c9bed5397db449ebdfba15e85fcfc36accee125c68954daf5cab0528bab59bd8", "file_hash" : "e8b50f0b91e3dce0885ccc5902846b139d28108a0a7976c9b8d43154c5dbc44d", "file_path" : "/usr/test", "process_pid" : 3123, "file_attr" : 33261, "keyword" : "file_path=/usr/test", "hash" : "e8b50f0b91e3dce0885ccc5902846b139d28108a0a7976c9b8d43154c5dbc44d", "login_ip" : "127.0.0.1", "private_ip" : "127.0.0.2", "login_user_name" : "root", "is_parent" : false } ], "private_ip" : "127.0.0.1", "resource_info" : { "region_name" : "", "project_id" : "", "enterprise_project_id" : "0", "os_type" : "Linux", "os_version" : "2.5", "vm_name" : "", "vm_uuid" : "71a15ecc", "cloud_id" : "", "container_id" : "", "container_status" : "running / terminated", "image_id" : "", "pod_uid" : "", "pod_name" : "", "namespace" : "", "cluster_id" : "", "cluster_name" : "" }, "severity" : "Medium", "extend_info" : "", "os_type" : "Linux", "agent_status" : "online", "asset_value" : "common", "protect_status" : "opened", "host_status" : "ACTIVE", "event_details" : "file_path:/root/test", "user_info_list" : [ { "login_ip" : "", "service_port" : 22, "service_type" : "ssh", "user_name" : "zhangsan", "login_mode" : 0, "login_last_time" : 1661593024, "login_fail_count" : 0 } ], "description" : "", "event_abstract" : "", "tag_list" : [ "热点事件" ] } ] }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数 data_list Array of EventManagementResponseInfo objects 事件列表详情 数组长度：0 - 1000 表5 EventManagementResponseInfo 参数 参数类型 描述 event_id String 事件编号 event_class_id String 事件分类，包含如下: container_1001 : 容器命名空间 container_1002 : 容器开放端口 container_1003 : 容器安全选项 container_1004 : 容器挂载目录 containerescape_0001 : 容器高危系统调用 containerescape_0002 : Shocker攻击 containerescape_0003 : DirtCow攻击 containerescape_0004 : 容器文件逃逸攻击 dockerfile_001 : 用户自定义容器保护文件被修改 dockerfile_002 : 容器文件系统可执行文件被修改 dockerproc_001 : 容器进程异常事件上报 fileprotect_0001 : 文件提权 fileprotect_0002 : 关键文件变更 fileprotect_0003 : 关键文件路径变更 fileprotect_0004 : 文件/目录变更 av_1002 : 病毒 av_1003 : 蠕虫 av_1004 : 木马 av_1005 : 僵尸网络 av_1006 : 后门 av_1007 : 间谍软件 av_1008 : 恶意广告软件 av_1009 : 钓鱼 av_1010 : Rootkit av_1011 : 勒索软件 av_1012 : 黑客工具 av_1013 : 灰色软件 av_1015 : Webshell av_1016 : 挖矿软件 login_0001 : 尝试暴力破解 login_0002 : 爆破成功 login_1001 : 登录成功 login_1002 : 异地登录 login_1003 : 弱口令 malware_0001 : shell变更事件上报 malware_0002 : 反弹shell事件上报 malware_1001 : 恶意程序 procdet_0001 : 进程异常行为检测 procdet_0002 : 进程提权 procreport_0001 : 危险命令 user_1001 : 账号变更 user_1002 : 风险账号 vmescape_0001 : 虚拟机敏感命令执行 vmescape_0002 : 虚拟化进程访问敏感文件 vmescape_0003 : 虚拟机异常端口访问 webshell_0001 : 网站后门 network_1001 : 恶意挖矿 network_1002 : 对外DDoS攻击 network_1003 : 恶意扫描 network_1004 : 敏感区域攻击 ransomware_0001 : 勒索攻击 ransomware_0002 : 勒索攻击 ransomware_0003 : 勒索攻击 fileless_0001 : 进程注入 fileless_0002 : 动态库注入进程 fileless_0003 : 关键配置变更 fileless_0004 : 环境变量变更 fileless_0005 : 内存文件进程 fileless_0006 : vdso劫持 crontab_1001 : Crontab可疑任务 vul_exploit_0001 : Redis漏洞利用攻击 vul_exploit_0002 : Hadoop漏洞利用攻击 vul_exploit_0003 : MySQL漏洞利用攻击 rootkit_0001 : 可疑rootkit文件 rootkit_0002 : 可疑内核模块 RASP_0004 : 上传Webshell RASP_0018 : 无文件Webshell blockexec_001 : 已知勒索攻击 hips_0001 : Windows Defender防护被禁用 hips_0002 : 可疑的黑客工具 hips_0003 : 可疑的勒索加密行为 hips_0004 : 隐藏账号创建 hips_0005 : 读取用户密码凭据 hips_0006 : 可疑的SAM文件导出 hips_0007 : 可疑shadow copy删除操作 hips_0008 : 备份文件删除 hips_0009 : 可疑勒索病毒操作注册表 hips_0010 : 可疑的异常进程行为 hips_0011 : 可疑的扫描探测 hips_0012 : 可疑的勒索病毒脚本运行 hips_0013 : 可疑的挖矿命令执行 hips_0014 : 可疑的禁用windows安全中心 hips_0015 : 可疑的停止防火墙服务行为 hips_0016 : 可疑的系统自动恢复禁用 hips_0017 : Offies 创建可执行文件 hips_0018 : 带宏Offies文件异常创建 hips_0019 : 可疑的注册表操作 hips_0020 : Confluence远程代码执行 hips_0021 : MSDT远程代码执行 portscan_0001 : 通用端口扫描 portscan_0002 : 秘密端口扫描 k8s_1001 : Kubernetes事件删除 k8s_1002 : 创建特权Pod k8s_1003 : Pod中使用交互式shell k8s_1004 : 创建敏感目录Pod k8s_1005 : 创建主机网络的Pod k8s_1006 : 创建主机Pid空间的Pod k8s_1007 : 普通pod访问APIserver认证失败 k8s_1008 : 普通Pod通过Curl访问APIServer k8s_1009 : 系统管理空间执行exec k8s_1010 : 系统管理空间创建Pod k8s_1011 : 创建静态Pod k8s_1012 : 创建DaemonSet k8s_1013 : 创建集群计划任务 k8s_1014 : Secrets操作 k8s_1015 : 枚举用户可执行的操作 k8s_1016 : 高权限RoleBinding或ClusterRoleBinding k8s_1017 : ServiceAccount创建 k8s_1018 : 创建Cronjob k8s_1019 : Pod中exec使用交互式shell k8s_1020 : 无权限访问Apiserver k8s_1021 : 使用curl访问APIServer k8s_1022 : Ingress漏洞 k8s_1023 : 中间人攻击 k8s_1024 : 蠕虫挖矿木马 k8s_1025 : K8s事件删除 k8s_1026 : SelfSubjectRulesReview场景 imgblock_0001 : 镜像白名单阻断 imgblock_0002 : 镜像黑名单阻断 imgblock_0003 : 镜像标签白名单阻断 imgblock_0004 : 镜像标签黑名单阻断 imgblock_0005 : 创建容器白名单阻断 imgblock_0006 : 创建容器黑名单阻断 imgblock_0007 : 容器mount proc阻断 imgblock_0008 : 容器seccomp unconfined阻断 imgblock_0009 : 容器特权阻断 imgblock_0010 : 容器capabilities阻断 event_type Integer 事件类型，包含如下: 1001 : 通用恶意软件 1002 : 病毒 1003 : 蠕虫 1004 : 木马 1005 : 僵尸网络 1006 : 后门 1010 : Rootkit 1011 : 勒索软件 1012 ：黑客工具 1015 : Webshell 1016 : 挖矿 1017 : 反弹Shell 2001 : 一般漏洞利用 2012 : 远程代码执行 2047 : Redis漏洞利用 2048 : Hadoop漏洞利用 2049 : MySQL漏洞利用 3002 : 文件提权 3003 : 进程提权 3004 : 关键文件变更 3005 : 文件/目录变更 3007 : 进程异常行为 3015 : 高危命令执行 3018 : 异常Shell 3027 : Crontab可疑任务 3029 ：系统安全防护被禁用 3030 ：备份删除 3031 ：异常注册表操作 3036 : 容器镜像阻断 4002 : 暴力破解 4004 : 异常登录 4006 : 非法系统账号 4014 : 用户账号添加 4020 : 用户密码窃取 6002 : 端口扫描 6003 : 主机扫描 13001 : Kubernetes事件删除 13002 : Pod异常行为 13003 : 枚举用户信息 13004 : 绑定集群用户角色 event_name String 事件名称 severity String 威胁等级，包含如下: Security : 安全 Low : 低危 Medium : 中危 High : 高危 Critical : 危急 container_name String 容器实例名称 image_name String 镜像名称 host_name String 服务器名称 host_id String 服务器ID private_ip String 服务器私有IP public_ip String 弹性公网IP地址 os_type String 操作系统类型，包含如下2种。 Linux ：Linux。 Windows ：Windows。 host_status String 服务器状态，包含如下4种。 ACTIVE ：运行中。 SHUTOFF ：关机。 BUILDING ：创建中。 ERROR ：故障。 最小长度：1 最大长度：32 agent_status String Agent状态，包含如下5种。 installed ：已安装。 not_installed ：未安装。 online ：在线。 offline ：离线。 install_failed ：安装失败。 installing ：安装中。 最小长度：1 最大长度：32 protect_status String 防护状态，包含如下2种。 closed ：未防护。 opened ：防护中。 最小长度：1 最大长度：32 asset_value String 资产重要性，包含如下4种 important ：重要资产 common ：一般资产 test ：测试资产 最小长度：0 最大长度：128 attack_phase String 攻击阶段，包含如下： reconnaissance : 侦查跟踪 weaponization : 武器构建 delivery : 载荷投递 exploit : 漏洞利用 installation : 安装植入 command_and_control : 命令与控制 actions : 目标达成 attack_tag String 攻击标识，包含如下： attack_success : 攻击成功 attack_attempt : 攻击尝试 attack_blocked : 攻击被阻断 abnormal_behavior : 异常行为 collapsible_host : 主机失陷 system_vulnerability : 系统脆弱性 occur_time Integer 发生时间，毫秒 handle_time Integer 处理时间，毫秒 handle_status String 处理状态，包含如下: unhandled ：未处理 handled : 已处理 handle_method String 处理方式，包含如下: mark_as_handled : 手动处理 ignore : 忽略 add_to_alarm_whitelist : 加入告警白名单 add_to_login_whitelist : 加入登录白名单 isolate_and_kill : 隔离查杀 handler String 备注信息 operate_accept_list Array of strings 支持的处理操作 operate_detail_list Array of EventDetailResponseInfo objects 操作详情信息列表（页面不展示） 数组长度：0 - 100 forensic_info Object 取证信息，json格式 resource_info EventResourceResponseInfo object 资源信息 geo_info Object 地理位置信息，json格式 malware_info Object 恶意软件信息，json格式 network_info Object 网络信息，json格式 app_info Object 应用信息，json格式 system_info Object 系统信息，json格式 extend_info Object 事件扩展信息，json格式 recommendation String 处置建议 description String 告警说明 最小长度：0 最大长度：1024 event_abstract String 告警摘要 最小长度：0 最大长度：512 process_info_list Array of EventProcessResponseInfo objects 进程信息列表 数组长度：0 - 100 user_info_list Array of EventUserResponseInfo objects 用户信息列表 数组长度：0 - 100 file_info_list Array of EventFileResponseInfo objects 文件信息列表 数组长度：0 - 100 event_details String 事件信息的简述 最小长度：0 最大长度：204800 tag_list Array of strings 标签列表 最小长度：0 最大长度：10 数组长度：0 - 20 event_count Integer 事件发生次数 最小值：0 最大值：2147483647 表6 EventDetailResponseInfo 参数 参数类型 描述 agent_id String Agent ID process_pid Integer 进程id is_parent Boolean 是否是父进程 file_hash String 文件哈希 file_path String 文件路径 file_attr String 文件属性 private_ip String 服务器私有IP login_ip String 登录源IP login_user_name String 登录用户名 keyword String 告警事件关键字，仅用于告警白名单 hash String 告警事件hash，仅用于告警白名单 表7 EventResourceResponseInfo 参数 参数类型 描述 domain_id String 租户账号ID project_id String 项目ID enterprise_project_id String 企业项目ID region_name String Region名称 vpc_id String VPC ID cloud_id String 云主机ID vm_name String 虚拟机名称 vm_uuid String 虚拟机UUID container_id String 容器ID container_status String 容器状态 pod_uid String pod uid pod_name String pod name namespace String namespace cluster_id String 集群id cluster_name String 集群名称 image_id String 镜像ID image_name String 镜像名称 host_attr String 主机属性 service String 业务服务 micro_service String 微服务 sys_arch String 系统CPU架构 os_bit String 操作系统位数 os_type String 操作系统类型 os_name String 操作系统名称 os_version String 操作系统版本 表8 EventProcessResponseInfo 参数 参数类型 描述 process_name String 进程名称 process_path String 进程文件路径 process_pid Integer 进程id 最小值：0 最大值：2147483647 process_uid Integer 进程用户id 最小值：0 最大值：2147483647 process_username String 运行进程的用户名 process_cmdline String 进程文件命令行 process_filename String 进程文件名 process_start_time Long 进程启动时间 最小值：0 最大值：9223372036854775807 process_gid Integer 进程组ID 最小值：0 最大值：2147483647 process_egid Integer 进程有效组ID 最小值：0 最大值：2147483647 process_euid Integer 进程有效用户ID 最小值：0 最大值：2147483647 parent_process_name String 父进程名称 parent_process_path String 父进程文件路径 parent_process_pid Integer 父进程id 最小值：0 最大值：2147483647 parent_process_uid Integer 父进程用户id 最小值：0 最大值：2147483647 parent_process_cmdline String 父进程文件命令行 parent_process_filename String 父进程文件名 parent_process_start_time Long 父进程启动时间 最小值：0 最大值：9223372036854775807 parent_process_gid Integer 父进程组ID 最小值：0 最大值：2147483647 parent_process_egid Integer 父进程有效组ID 最小值：0 最大值：2147483647 parent_process_euid Integer 父进程有效用户ID 最小值：0 最大值：2147483647 child_process_name String 子进程名称 child_process_path String 子进程文件路径 child_process_pid Integer 子进程id 最小值：0 最大值：2147483647 child_process_uid Integer 子进程用户id 最小值：0 最大值：2147483647 child_process_cmdline String 子进程文件命令行 child_process_filename String 子进程文件名 child_process_start_time Long 子进程启动时间 最小值：0 最大值：9223372036854775807 child_process_gid Integer 子进程组ID 最小值：0 最大值：2147483647 child_process_egid Integer 子进程有效组ID 最小值：0 最大值：2147483647 child_process_euid Integer 子进程有效用户ID 最小值：0 最大值：2147483647 virt_cmd String 虚拟化命令 virt_process_name String 虚拟化进程名称 escape_mode String 逃逸方式 escape_cmd String 逃逸后后执行的命令 process_hash String 进程启动文件hash 表9 EventUserResponseInfo 参数 参数类型 描述 user_id Integer 用户uid 最小值：0 最大值：2147483647 user_gid Integer 用户gid 最小值：0 最大值：2147483647 user_name String 用户名称 user_group_name String 用户组名称 user_home_dir String 用户home目录 login_ip String 用户登录ip service_type String 登录的服务类型 service_port Integer 登录服务端口 最小值：0 最大值：2147483647 login_mode Integer 登录方式 最小值：0 最大值：2147483647 login_last_time Long 用户最后一次登录时间 最小值：0 最大值：9223372036854775807 login_fail_count Integer 用户登录失败次数 最小值：0 最大值：2147483647 pwd_hash String 口令hash pwd_with_fuzzing String 匿名化处理后的口令 pwd_used_days Integer 密码使用的天数 最小值：0 最大值：2147483647 pwd_min_days Integer 口令的最短有效期限 最小值：0 最大值：2147483647 pwd_max_days Integer 口令的最长有效期限 最小值：0 最大值：2147483647 pwd_warn_left_days Integer 口令无效时提前告警天数 最小值：0 最大值：2147483647 表10 EventFileResponseInfo 参数 参数类型 描述 file_path String 文件路径 file_alias String 文件别名 file_size Integer 文件大小 最小值：0 最大值：2147483647 file_mtime Long 文件最后一次修改时间 最小值：0 最大值：9223372036854775807 file_atime Long 文件最后一次访问时间 最小值：0 最大值：9223372036854775807 file_ctime Long 文件最后一次状态改变时间 最小值：0 最大值：9223372036854775807 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256 file_type String 文件类型 file_content String 文件内容 file_attr String 文件属性 file_operation Integer 文件操作类型 最小值：0 最大值：2147483647 file_action String 文件动作 file_change_attr String 变更前后的属性 file_new_path String 新文件路径 file_desc String 文件描述 file_key_word String 文件关键字 is_dir Boolean 是否目录 fd_info String 文件句柄信息 fd_count Integer 文件句柄数量 最小值：0 最大值：2147483647

URI GET /v5/{project_id}/event/events 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：20 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 最小长度：0 最大长度：64 last_days 否 Integer 查询时间范围天数，与自定义查询时间begin_time，end_time互斥 最小值：1 最大值：30 host_name 否 String 服务器名称 最小长度：1 最大长度：64 host_id 否 String 服务器ID 最小长度：0 最大长度：64 private_ip 否 String 服务器私有IP 最小长度：1 最大长度：256 public_ip 否 String 服务器公网IP 最小长度：1 最大长度：256 container_name 否 String 容器实例名称 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0 limit 否 Integer 每页显示个数 最小值：10 最大值：1000 缺省值：10 event_types 否 Array 事件类型，包含如下: 1001 : 通用恶意软件 1002 : 病毒 1003 : 蠕虫 1004 : 木马 1005 : 僵尸网络 1006 : 后门 1010 : Rootkit 1011 : 勒索软件 1012 ：黑客工具 1015 : Webshell 1016 : 挖矿 1017 : 反弹Shell 2001 : 一般漏洞利用 2012 : 远程代码执行 2047 : Redis漏洞利用 2048 : Hadoop漏洞利用 2049 : MySQL漏洞利用 3002 : 文件提权 3003 : 进程提权 3004 : 关键文件变更 3005 : 文件/目录变更 3007 : 进程异常行为 3015 : 高危命令执行 3018 : 异常Shell 3026 : crontab提权 3027 : Crontab可疑任务 3029 ：系统安全防护被禁用 3030 ：备份删除 3031 ：异常注册表操作 3036 : 容器镜像阻断 4002 : 暴力破解 4004 : 异常登录 4006 : 非法系统账号 4014 : 用户账号添加 4020 : 用户密码窃取 6002 : 端口扫描 6003 : 主机扫描 13001 : Kubernetes事件删除 13002 : Pod异常行为 13003 : 枚举用户信息 13004 : 绑定集群用户角色 最小值：1000 最大值：30000 数组长度：1 - 500 handle_status 否 String 处置状态，包含如下: unhandled ：未处理 handled : 已处理 最小长度：1 最大长度：32 severity 否 String 威胁等级，包含如下: Security ：安全 Low : 低危 Medium : 中危 High : 高危 Critical : 危急 最小长度：1 最大长度：32 category 是 String 事件类别，包含如下: host : 主机安全事件 container : 容器安全事件 最小长度：0 最大长度：32 begin_time 否 String 自定义查询时间，与查询时间范围天数互斥，查询时间段的起始时间，毫秒级时间戳，end_time减去begin_time小于等于2天，与查询时间范围天数互斥 最小长度：13 最大长度：13 end_time 否 String 自定义时间，查询时间段的终止时间，毫秒级时间戳，end_time减去begin_time小于等于2天，与查询时间范围天数互斥 最小长度：13 最大长度：13 event_class_ids 否 Array 事件标识，包含如下: container_1001 : 容器命名空间 container_1002 : 容器开放端口 container_1003 : 容器安全选项 container_1004 : 容器挂载目录 containerescape_0001 : 容器高危系统调用 containerescape_0002 : Shocker攻击 containerescape_0003 : DirtCow攻击 containerescape_0004 : 容器文件逃逸攻击 dockerfile_001 : 用户自定义容器保护文件被修改 dockerfile_002 : 容器文件系统可执行文件被修改 dockerproc_001 : 容器进程异常事件上报 fileprotect_0001 : 文件提权 fileprotect_0002 : 关键文件变更 fileprotect_0003 : 关键文件路径变更 fileprotect_0004 : 文件/目录变更 av_1002 : 病毒 av_1003 : 蠕虫 av_1004 : 木马 av_1005 : 僵尸网络 av_1006 : 后门 av_1007 : 间谍软件 av_1008 : 恶意广告软件 av_1009 : 钓鱼 av_1010 : Rootkit av_1011 : 勒索软件 av_1012 : 黑客工具 av_1013 : 灰色软件 av_1015 : Webshell av_1016 : 挖矿软件 login_0001 : 尝试暴力破解 login_0002 : 爆破成功 login_1001 : 登录成功 login_1002 : 异地登录 login_1003 : 弱口令 malware_0001 : shell变更事件上报 malware_0002 : 反弹shell事件上报 malware_1001 : 恶意程序 procdet_0001 : 进程异常行为检测 procdet_0002 : 进程提权 crontab_0001 : crontab脚本提权 crontab_0002 : 恶意路径提权 procreport_0001 : 危险命令 user_1001 : 账号变更 user_1002 : 风险账号 vmescape_0001 : 虚拟机敏感命令执行 vmescape_0002 : 虚拟化进程访问敏感文件 vmescape_0003 : 虚拟机异常端口访问 webshell_0001 : 网站后门 network_1001 : 恶意挖矿 network_1002 : 对外DDoS攻击 network_1003 : 恶意扫描 network_1004 : 敏感区域攻击 ransomware_0001 : 勒索攻击 ransomware_0002 : 勒索攻击 ransomware_0003 : 勒索攻击 fileless_0001 : 进程注入 fileless_0002 : 动态库注入进程 fileless_0003 : 关键配置变更 fileless_0004 : 环境变量变更 fileless_0005 : 内存文件进程 fileless_0006 : vdso劫持 crontab_1001 : Crontab可疑任务 vul_exploit_0001 : Redis漏洞利用攻击 vul_exploit_0002 : Hadoop漏洞利用攻击 vul_exploit_0003 : MySQL漏洞利用攻击 rootkit_0001 : 可疑rootkit文件 rootkit_0002 : 可疑内核模块 RASP_0004 : 上传Webshell RASP_0018 : 无文件Webshell blockexec_001 : 已知勒索攻击 hips_0001 : Windows Defender防护被禁用 hips_0002 : 可疑的黑客工具 hips_0003 : 可疑的勒索加密行为 hips_0004 : 隐藏账号创建 hips_0005 : 读取用户密码凭据 hips_0006 : 可疑的SAM文件导出 hips_0007 : 可疑shadow copy删除操作 hips_0008 : 备份文件删除 hips_0009 : 可疑勒索病毒操作注册表 hips_0010 : 可疑的异常进程行为 hips_0011 : 可疑的扫描探测 hips_0012 : 可疑的勒索病毒脚本运行 hips_0013 : 可疑的挖矿命令执行 hips_0014 : 可疑的禁用windows安全中心 hips_0015 : 可疑的停止防火墙服务行为 hips_0016 : 可疑的系统自动恢复禁用 hips_0017 : Offies 创建可执行文件 hips_0018 : 带宏Offies文件异常创建 hips_0019 : 可疑的注册表操作 hips_0020 : Confluence远程代码执行 hips_0021 : MSDT远程代码执行 portscan_0001 : 通用端口扫描 portscan_0002 : 秘密端口扫描 k8s_1001 : Kubernetes事件删除 k8s_1002 : 创建特权Pod k8s_1003 : Pod中使用交互式shell k8s_1004 : 创建敏感目录Pod k8s_1005 : 创建主机网络的Pod k8s_1006 : 创建主机Pid空间的Pod k8s_1007 : 普通pod访问APIserver认证失败 k8s_1008 : 普通Pod通过Curl访问APIServer k8s_1009 : 系统管理空间执行exec k8s_1010 : 系统管理空间创建Pod k8s_1011 : 创建静态Pod k8s_1012 : 创建DaemonSet k8s_1013 : 创建集群计划任务 k8s_1014 : Secrets操作 k8s_1015 : 枚举用户可执行的操作 k8s_1016 : 高权限RoleBinding或ClusterRoleBinding k8s_1017 : ServiceAccount创建 k8s_1018 : 创建Cronjob k8s_1019 : Pod中exec使用交互式shell k8s_1020 : 无权限访问Apiserver k8s_1021 : 使用curl访问APIServer k8s_1022 : Ingress漏洞 k8s_1023 : 中间人攻击 k8s_1024 : 蠕虫挖矿木马 k8s_1025 : K8s事件删除 k8s_1026 : SelfSubjectRulesReview场景 imgblock_0001 : 镜像白名单阻断 imgblock_0002 : 镜像黑名单阻断 imgblock_0003 : 镜像标签白名单阻断 imgblock_0004 : 镜像标签黑名单阻断 imgblock_0005 : 创建容器白名单阻断 imgblock_0006 : 创建容器黑名单阻断 imgblock_0007 : 容器mount proc阻断 imgblock_0008 : 容器seccomp unconfined阻断 imgblock_0009 : 容器特权阻断 imgblock_0010 : 容器capabilities阻断 数组长度：1 - 200 severity_list 否 Array 威胁等级，包含如下: Security ：安全 Low : 低危 Medium : 中危 High : 高危 Critical : 危急 最小长度：0 最大长度：32 数组长度：0 - 5 attack_tag 否 String 攻击标识，包含如下： attack_success : 攻击成功 attack_attempt : 攻击尝试 attack_blocked : 攻击被阻断 abnormal_behavior : 异常行为 collapsible_host : 主机失陷 system_vulnerability : 系统脆弱性 最小长度：0 最大长度：32 asset_value 否 String 资产重要性，包含如下3种 important ：重要资产 common ：一般资产 test ：测试资产 最小长度：0 最大长度：128 tag_list 否 Array 事件标签列表，例如:["热点事件"] 最小长度：0 最大长度：10 数组长度：0 - 20 att_ck 否 String ATT&CK攻击阶，包含如下： Reconnaissance : 侦察 Initial Access : 初始访问 Execution : 执行 Persistence : 持久化 Privilege Escalation : 权限提升 Defense Evasion : 防御绕过 Credential Access : 凭据访问 Command and Control : 命令与控制 Impact : 影响破坏 最小长度：0 最大长度：32 event_name 否 String 告警名称 最小长度：1 最大长度：128

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Long 记录总数 最小值：0 最大值：2147483647 data_list Array of PwdPolicyInfoResponseInfo objects 口令复杂度策略检测列表 数组长度：0 - 2147483647 表5 PwdPolicyInfoResponseInfo 参数 参数类型 描述 host_id String 服务器id(鼠标在“服务器名称”放置后上浮显示) 最小长度：0 最大长度：64 host_name String 服务器名称 最小长度：0 最大长度：256 host_ip String 服务器IP 最小长度：0 最大长度：256 min_length Boolean 口令最小长度 uppercase_letter Boolean 大写字母 lowercase_letter Boolean 小写字母 number Boolean 数字 special_character Boolean 特殊字符 suggestion String 修改建议 最小长度：0 最大长度：65534

响应示例 状态码： 200 口令复杂度策略检测报告 { "total_num" : 1, "data_list" : [ { "host_id" : "76fa440a-5a08-43fa-ac11-d12183ab3a14", "host_ip" : "192.168.0.59", "host_name" : "ecs-6b96", "lowercase_letter" : false, "min_length" : true, "number" : false, "special_character" : false, "suggestion" : "The password should contain at least 3 of the following character types: uppercase letters, lowercase letters, digits, and special characters. ", "uppercase_letter" : false } ] }