导出漏洞请求 - ExportEventRequest

project_id

是

String

参数解释:

项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID。

约束限制:

不涉及

取值范围:

字符长度1-256位

默认取值:

不涉及

enterprise_project_id

否

String

参数解释:

企业项目ID，用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID。

如需查询所有企业项目下的资产请传参“all_granted_eps”。

约束限制:

开通企业项目功能后才需要配置企业项目ID参数。

取值范围:

字符长度1-256位

默认取值:

0，表示默认企业项目（default）。

last_days

否

Integer

参数解释：

查询时间范围天数，与自定义查询时间begin_time，end_time互斥

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及

host_name

否

String

参数解释：

服务器名称

约束限制：

不涉及

取值范围：

字符长度1-64位

默认取值：

不涉及

host_id

否

String

参数解释：

服务器ID

约束限制：

不涉及

取值范围：

字符长度1-256位

默认取值：

不涉及

private_ip

否

String

参数解释：

服务器私有IP

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

container_name

否

String

参数解释：

容器实例名称

约束限制：

不涉及

取值范围：

字符长度1-512位

默认取值：

不涉及

offset

否

Integer

参数解释：

偏移量：指定返回记录的开始位置

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及

limit

否

Integer

参数解释：

每页显示个数

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及

export_size

否

Integer

参数解释：

导出数量

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及

event_type

否

Integer

参数解释：

事件类型

约束限制：

不涉及

取值范围：

• 1001：通用恶意软件

• 1002：病毒

• 1003：蠕虫

• 1004：木马

• 1005：僵尸网络

• 1006：后门

• 1010：Rootkit

• 1011：勒索软件

• 1012：黑客工具

• 1015：Webshell

• 1016：挖矿

• 1017：反弹Shell

• 2001：一般漏洞利用

• 2012：远程代码执行

• 2047：Redis漏洞利用

• 2048：Hadoop漏洞利用

• 2049：MySQL漏洞利用

• 3002：文件提权

• 3003：进程提权

• 3004：关键文件变更

• 3005：文件/目录变更

• 3007：进程异常行为

• 3015：高危命令执行

• 3018：异常Shell

• 3027：Crontab可疑任务

• 3029：系统安全防护被禁用

• 3030：备份删除

• 3031：异常注册表操作

• 3036：容器镜像阻断

• 4002：暴力破解

• 4004：异常登录

• 4006：非法系统账号

• 4014：用户账号添加

• 4020：用户密码窃取

• 6002：端口扫描

• 6003：主机扫描

• 13001：Kubernetes事件删除

• 13002：Pod异常行为

• 13003：枚举用户信息

• 13004：绑定集群用户角色

• 11001：高级威胁事件

默认取值：

不涉及

event_types

否

Array of integers

参数解释：

事件类型

约束限制：

不涉及

取值范围：

• 1001：通用恶意软件

• 1002：病毒

• 1003：蠕虫

• 1004：木马

• 1005：僵尸网络

• 1006：后门

• 1010：Rootkit

• 1011：勒索软件

• 1012：黑客工具

• 1015：Webshell

• 1016：挖矿

• 1017：反弹Shell

• 2001：一般漏洞利用

• 2012：远程代码执行

• 2047：Redis漏洞利用

• 2048：Hadoop漏洞利用

• 2049：MySQL漏洞利用

• 3002：文件提权

• 3003：进程提权

• 3004：关键文件变更

• 3005：文件/目录变更

• 3007：进程异常行为

• 3015：高危命令执行

• 3018：异常Shell

• 3027：Crontab可疑任务

• 3029：系统安全防护被禁用

• 3030：备份删除

• 3031：异常注册表操作

• 3036：容器镜像阻断

• 4002：暴力破解

• 4004：异常登录

• 4006：非法系统账号

• 4014：用户账号添加

• 4020：用户密码窃取

• 6002：端口扫描

• 6003：主机扫描

• 13001：Kubernetes事件删除

• 13002：Pod异常行为

• 13003：枚举用户信息

• 13004：绑定集群用户角色

• 11001：高级威胁事件

默认取值：

不涉及

handle_status

否

String

参数解释:

处置状态

约束限制:

不涉及

取值范围:

• unhandled：未处理

• handled：已处理

默认取值:

不涉及

severity

否

String

参数解释:

威胁等级

约束限制:

不涉及

取值范围:

• Security：安全

• Low：低危

• Medium：中危

• High：高危

• Critical：危急

默认取值:

不涉及

category

是

String

参数解释：

事件类别

约束限制：

不涉及

取值范围：

• host：主机安全事件

• container：容器安全事件

默认取值：

不涉及

begin_time

否

Long

参数解释：

自定义查询时间，与查询时间范围天数互斥，查询时间段的起始时间，毫秒级时间戳，end_time减去begin_time小于等于2天，与查询时间范围天数互斥

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及

end_time

否

Long

参数解释：

自定义时间，查询时间段的终止时间，毫秒级时间戳，end_time减去begin_time小于等于2天，与查询时间范围天数互斥

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及

event_class_ids

否

Array of strings

参数解释：

事件标识

约束限制：

不涉及

取值范围：

• container_1001：容器命名空间

• container_1002：容器开放端口

• container_1003：容器安全选项

• container_1004：容器挂载目录

• containerescape_0001：容器高危系统调用

• containerescape_0002：Shocker攻击

• containerescape_0003：DirtCow攻击

• containerescape_0004：容器文件逃逸攻击

• dockerfile_001：用户自定义容器保护文件被修改

• dockerfile_002：容器文件系统可执行文件被修改

• dockerproc_001：容器进程异常事件上报

• fileprotect_0001：文件提权

• fileprotect_0002：关键文件变更

• fileprotect_0003：关键文件路径变更

• fileprotect_0004：文件/目录变更

• av_1002：病毒

• av_1003：蠕虫

• av_1004：木马

• av_1005：僵尸网络

• av_1006：后门

• av_1007：间谍软件

• av_1008：恶意广告软件

• av_1009：钓鱼

• av_1010：Rootkit

• av_1011：勒索软件

• av_1012：黑客工具

• av_1013：灰色软件

• av_1015：Webshell

• av_1016：挖矿软件

• login_0001：尝试暴力破解

• login_0002：爆破成功

• login_1001：登录成功

• login_1002：异地登录

• login_1003：弱口令

• malware_0001：shell变更事件上报

• malware_0002：反弹shell事件上报

• malware_1001：恶意程序

• procdet_0001：进程异常行为检测

• procdet_0002：进程提权

• procreport_0001：危险命令

• user_1001：账号变更

• user_1002：风险账号

• vmescape_0001：虚拟机敏感命令执行

• vmescape_0002：虚拟化进程访问敏感文件

• vmescape_0003：虚拟机异常端口访问

• webshell_0001：网站后门

• network_1001：恶意挖矿

• network_1002：对外DDoS攻击

• network_1003：恶意扫描

• network_1004：敏感区域攻击

• ransomware_0001：勒索攻击

• ransomware_0002：勒索攻击

• ransomware_0003：勒索攻击

• fileless_0001：进程注入

• fileless_0002：动态库注入进程

• fileless_0003：关键配置变更

• fileless_0004：环境变量变更

• fileless_0005：内存文件进程

• fileless_0006：vdso劫持

• crontab_1001：Crontab可疑任务

• vul_exploit_0001：Redis漏洞利用攻击

• vul_exploit_0002：Hadoop漏洞利用攻击

• vul_exploit_0003：MySQL漏洞利用攻击

• rootkit_0001：可疑rootkit文件

• rootkit_0002：可疑内核模块

• RASP_0004：上传Webshell

• RASP_0018：无文件Webshell

• blockexec_001：已知勒索攻击

• hips_0001：Windows Defender防护被禁用

• hips_0002：可疑的黑客工具

• hips_0003：可疑的勒索加密行为

• hips_0004：隐藏账号创建

• hips_0005：读取用户密码凭据

• hips_0006：可疑的SAM文件导出

• hips_0007：可疑shadow copy删除操作

• hips_0008：备份文件删除

• hips_0009：可疑勒索病毒操作注册表

• hips_0010：可疑的异常进程行为

• hips_0011：可疑的扫描探测

• hips_0012：可疑的勒索病毒脚本运行

• hips_0013：可疑的挖矿命令执行

• hips_0014：可疑的禁用windows安全中心

• hips_0015：可疑的停止防火墙服务行为

• hips_0016：可疑的系统自动恢复禁用

• hips_0017：Offies 创建可执行文件

• hips_0018：带宏Offies文件异常创建

• hips_0019：可疑的注册表操作

• hips_0020：Confluence远程代码执行

• hips_0021：MSDT远程代码执行

• portscan_0001：通用端口扫描

• portscan_0002：秘密端口扫描

• k8s_1001：Kubernetes事件删除

• k8s_1002：创建特权Pod

• k8s_1003：Pod中使用交互式shell

• k8s_1004：创建敏感目录Pod

• k8s_1005：创建主机网络的Pod

• k8s_1006：创建主机Pid空间的Pod

• k8s_1007：普通pod访问APIserver认证失败

• k8s_1008：普通Pod通过Curl访问APIServer

• k8s_1009：系统管理空间执行exec

• k8s_1010：系统管理空间创建Pod

• k8s_1011：创建静态Pod

• k8s_1012：创建DaemonSet

• k8s_1013：创建集群计划任务

• k8s_1014：Secrets操作

• k8s_1015：枚举用户可执行的操作

• k8s_1016：高权限RoleBinding或ClusterRoleBinding

• k8s_1017：ServiceAccount创建

• k8s_1018：创建Cronjob

• k8s_1019：Pod中exec使用交互式shell

• k8s_1020：无权限访问Apiserver

• k8s_1021：使用curl访问APIServer

• k8s_1022：Ingress漏洞

• k8s_1023：中间人攻击

• k8s_1024：蠕虫挖矿木马

• k8s_1025：K8s事件删除

• k8s_1026：SelfSubjectRulesReview场景

• imgblock_0001：镜像白名单阻断

• imgblock_0002：镜像黑名单阻断

• imgblock_0003：镜像标签白名单阻断

• imgblock_0004：镜像标签黑名单阻断

• imgblock_0005：创建容器白名单阻断

• imgblock_0006：创建容器黑名单阻断

• imgblock_0007：容器mount proc阻断

• imgblock_0008：容器seccomp unconfined阻断

• imgblock_0009：容器特权阻断

• imgblock_0010：容器capabilities阻断

• honeypot_0001：可疑的蜜罐异常访问

默认取值：

不涉及

severity_list

否

Array of strings

参数解释:

威胁等级

约束限制:

不涉及

取值范围:

• Security：安全

• Low：低危

• Medium：中危

• High：高危

• Critical：危急

默认取值:

不涉及

attack_tag

否

String

参数解释:

攻击标识

约束限制:

不涉及

取值范围:

• attack_success：攻击成功

• attack_attempt：攻击尝试

• attack_blocked：攻击被阻断

• abnormal_behavior：异常行为

• collapsible_host：主机失陷

• system_vulnerability：系统脆弱性

默认取值:

不涉及

asset_value

否

String

参数解释:

资产重要性

约束限制:

不涉及

取值范围:

• important：重要资产

• common：般资产

• test：测试资产

默认取值:

不涉及

tag_list

否

Array of strings

参数解释:

事件标签列表

约束限制:

不涉及

取值范围:

不涉及

默认取值:

不涉及

att_ck

否

String

参数解释:

ATT&CK攻击阶段

约束限制:

不涉及

取值范围:

• Reconnaissance：侦察

• Initial Access：初始访问

• Execution：执行

• Persistence：持久化

• Privilege Escalation：权限提升

• Defense Evasion：防御绕过

• Credential Access：凭据访问

• Command and Control：命令与控制

• Impact：影响破坏

默认取值:

不涉及

event_name

否

String

参数解释：

告警名称

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

event_id_list

否

Array of strings

参数解释：

告警id集合

约束限制：

不涉及

取值范围：

不涉及

默认取值：

不涉及 ""

auto_block

否

Boolean

参数解释：

是否自动阻断告警

约束限制：

不涉及

取值范围：

• true：自动阻断告警

• false：不自动阻断告警

默认取值：

不涉及

cluster_id

否

String

参数解释:

集群ID

约束限制:

不涉及

取值范围:

字符长度1-64位

默认取值:

不涉及

event_id

是

String

参数解释：

事件编号

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

public_ip

否

String

参数解释：

服务器公网IP

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

X-Auth-Token

是

String

参数解释:

用户Token，包含了用户的身份、权限等信息，在调用API接口时，可通过Token进行身份认证。获取方式请参见获取用户Token。

约束限制:

不涉及

取值范围:

字符长度1-32768位

默认取值:

不涉及

[数组元素]

是

Array of ExportHead objects

参数解释:

导出数据表头信息详情

约束限制:

表头信息应为如下格式[[字段1,表头1显示名称],[字段2,表头2显示名称],[字段3,表头3显示名称]]

取值范围:

可从如下取值中选取部分或全部组成表头信息

所有资产都有如下字段：

• host_name：主机服务器名

• host_ip：主机ip

• users

  • user_name：用户名

  • login_permission：是否有登录权限

  • root_permission：是否有root权限

  • user_group_name：用户组

  • user_home_dir：用户目录

  • shell：用户启动shell

  • recent_scan_time：最近扫描时间

  • first_scan_time：首次扫描时间

  • container_id：容器id

  • container_name：容器名称

• auto_launch

  • name：名称

  • type：类型

  • path：文件路径

  • hash：文件hash

  • run_user：运行用户

  • recent_scan_time：最近扫描时间

  • container_id：容器id

  • container_name：容器名称

• database

• web_cms

• web_service

  • name：软件名称

  • version：软件版本

  • install_path：安装路径

  • config_path：配置文件路径

  • uid：用户id

  • mode：软件文件权限

  • pid：软件进程id

  • proc_path：软件进程路径

  • record_time：扫描时间

  • container_id：容器id

  • container_name：容器名称

• jar_package

  • name：名称

  • file_name：文件名

  • catalogue：类别

  • file_type：文件类型

  • version：版本

  • path：文件路径

  • hash：文件hash

  • uid：用户id

  • gid：用户组id

  • mode：文件权限

  • pid：进程id

  • proc_path：进程路径

  • is_embedded：是否为内层jar包

  • package_path：外层jar包路径

  • record_time：扫描时间

  • container_id：容器id

  • container_name：容器名称

• port

  • port_status：端口是否需要处理

  • port：端口号

  • type：类型

  • pid：进程ID

  • path：程序文件路径

  • laddr：监听的ip

  • container_id：容器id

  • container_name：容器名称

• process

  • process_path：进程路径

  • launch_params：启动参数

  • launch_time：启动时间

  • user_name：运行用户

  • run_permission：运行权限

  • process_pid：进程ID

  • hash：文件hash

  • container_id：容器id

  • container_name：容器名称

• web_framework

  • name：名称

  • file_name：文件名

  • catalogue：类别

  • file_type：文件类型

  • version：版本

  • path：文件路径

  • hash：文件hash

  • uid：用户id

  • gid：用户组id

  • mode：文件权限

  • pid：进程id

  • proc_path：进程路径

  • record_time：扫描时间

  • container_id：容器id

  • container_name：容器名称

• web_site

  • domain：对外域名

  • port：对外端口号

  • url_path：url路径

  • path：web目录

  • mode：web目录文件权限

  • uid：用户id

  • record_time：扫描时间

  • is_https：是否为https

  • pid：进程id

  • cert_issuer：SSL证书颁发者

  • cert_user：SSL证书使用者

  • cert_issue_time：SSL证书颁发时间

  • cert_expired_time：SSL证书到期时间

  • container_id：容器id

  • container_name：容器名称

• app

  • app_name：软件名称

  • version：版本号

  • update_time：更新时间

  • recent_scan_time：最近扫描时间

  • container_id：容器id

  • container_name：容器名称

• kernel_module

  • name：名称

  • version：版本

  • srcversion：源码版本

  • desc：描述

  • path：文件路径

  • size：文件大小

  • mode：文件权限

  • uid：用户id

  • ctime：文件创建时间

  • mtime：最后修改时间

  • hash：文件hash

  • record_time：扫描时间

其他资产类别特有字段：

默认取值:

不涉及

[数组元素]

否

Array of strings

参数解释:

导出数据表头信息详情

约束限制:

表头信息应为如下格式[[字段1,表头1显示名称],[字段2,表头2显示名称],[字段3,表头3显示名称]]

取值范围:

可从如下取值中选取部分或全部组成表头信息

所有资产都有如下字段：

• host_name：主机服务器名

• host_ip：主机ip

• users

  • user_name：用户名

  • login_permission：是否有登录权限

  • root_permission：是否有root权限

  • user_group_name：用户组

  • user_home_dir：用户目录

  • shell：用户启动shell

  • recent_scan_time：最近扫描时间

  • first_scan_time：首次扫描时间

  • container_id：容器id

  • container_name：容器名称

• auto_launch

  • name：名称

  • type：类型

  • path：文件路径

  • hash：文件hash

  • run_user：运行用户

  • recent_scan_time：最近扫描时间

  • container_id：容器id

  • container_name：容器名称

• database

• web_cms

• web_service

  • name：软件名称

  • version：软件版本

  • install_path：安装路径

  • config_path：配置文件路径

  • uid：用户id

  • mode：软件文件权限

  • pid：软件进程id

  • proc_path：软件进程路径

  • record_time：扫描时间

  • container_id：容器id

  • container_name：容器名称

• jar_package

  • name：名称

  • file_name：文件名

  • catalogue：类别

  • file_type：文件类型

  • version：版本

  • path：文件路径

  • hash：文件hash

  • uid：用户id

  • gid：用户组id

  • mode：文件权限

  • pid：进程id

  • proc_path：进程路径

  • is_embedded：是否为内层jar包

  • package_path：外层jar包路径

  • record_time：扫描时间

  • container_id：容器id

  • container_name：容器名称

• port

  • port_status：端口是否需要处理

  • port：端口号

  • type：类型

  • pid：进程ID

  • path：程序文件路径

  • laddr：监听的ip

  • container_id：容器id

  • container_name：容器名称

• process

  • process_path：进程路径

  • launch_params：启动参数

  • launch_time：启动时间

  • user_name：运行用户

  • run_permission：运行权限

  • process_pid：进程ID

  • hash：文件hash

  • container_id：容器id

  • container_name：容器名称

• web_framework

  • name：名称

  • file_name：文件名

  • catalogue：类别

  • file_type：文件类型

  • version：版本

  • path：文件路径

  • hash：文件hash

  • uid：用户id

  • gid：用户组id

  • mode：文件权限

  • pid：进程id

  • proc_path：进程路径

  • record_time：扫描时间

  • container_id：容器id

  • container_name：容器名称

• web_site

  • domain：对外域名

  • port：对外端口号

  • url_path：url路径

  • path：web目录

  • mode：web目录文件权限

  • uid：用户id

  • record_time：扫描时间

  • is_https：是否为https

  • pid：进程id

  • cert_issuer：SSL证书颁发者

  • cert_user：SSL证书使用者

  • cert_issue_time：SSL证书颁发时间

  • cert_expired_time：SSL证书到期时间

  • container_id：容器id

  • container_name：容器名称

• app

  • app_name：软件名称

  • version：版本号

  • update_time：更新时间

  • recent_scan_time：最近扫描时间

  • container_id：容器id

  • container_name：容器名称

• kernel_module

  • name：名称

  • version：版本

  • srcversion：源码版本

  • desc：描述

  • path：文件路径

  • size：文件大小

  • mode：文件权限

  • uid：用户id

  • ctime：文件创建时间

  • mtime：最后修改时间

  • hash：文件hash

  • record_time：扫描时间

其他资产类别特有字段：

默认取值:

不涉及

record_total_num

Integer

参数解释：

导出记录总数

取值范围：

不涉及

task_id

String

参数解释：

导出任务ID

取值范围：

不涉及

200

请求已成功