文档首页/ 企业主机安全 HSS/ API参考/ API说明/ 病毒查杀/ 处置病毒扫描结果 - HandleAntiVirusResult
更新时间:2025-10-31 GMT+08:00
查看PDF
分享

处置病毒扫描结果 - HandleAntiVirusResult

功能介绍

处置病毒扫描结果

授权信息

账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。

  • 如果使用角色与策略授权,具体权限要求请参见权限和授权项
  • 如果使用身份策略授权,当前API调用无需身份策略权限。

URI

POST /v5/{project_id}/antivirus/result/operate

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数解释:

项目ID,用于明确项目归属,配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID

约束限制:

不涉及

取值范围:

字符长度1-256位

默认取值:

不涉及
表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

参数解释:

企业项目ID,用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID

如需查询所有企业项目下的资产请传参“all_granted_eps”。

约束限制:

开通企业项目功能后才需要配置企业项目ID参数。

取值范围:

字符长度1-256位

默认取值:

0,表示默认企业项目(default)。

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

参数解释:

用户Token,包含了用户的身份、权限等信息,在调用API接口时,可通过Token进行身份认证。获取方式请参见获取用户Token

约束限制:

不涉及

取值范围:

字符长度1-32768位

默认取值:

不涉及
表4 请求Body参数

参数

是否必选

参数类型

描述

operate_type

String

处理方式,包含如下:

  • mark_as_handled:手动处理

  • ignore:忽略

  • add_to_alarm_whitelist:加入告警白名单

  • manual_isolate_and_kill:隔离文件

  • unhandle:取消手动处理

  • do_not_ignore:取消忽略

  • remove_from_alarm_whitelist:删除告警白名单

  • do_not_isolate_or_kill:取消隔离文件

memo

String

备注信息

operate_results

Array of OperateResultRequestInfo objects

处置的结果列表

event_white_rules

Array of AntiVirusEventWhiteRuleListRequestInfo objects

新增告警白名单规则列表
表5 OperateResultRequestInfo

参数

是否必选

参数类型

描述

agent_id

String

参数解释:

Agent ID

约束限制:

不涉及

取值范围:

字符长度1-64位

默认取值:

不涉及

result_id

String

病毒查杀结果ID

event_type

Integer

事件类型

occur_time

Integer

参数解释

发生时间,毫秒

取值范围

最小值0,最大值9223372036854775807

file_hash

String

参数解释

文件哈希

取值范围

字符长度1-256位

file_path

String

参数解释

文件路径

取值范围

字符长度1-256位

file_attr

String

参数解释

文件属性

取值范围

字符长度1-256位
表6 AntiVirusEventWhiteRuleListRequestInfo

参数

是否必选

参数类型

描述

event_type

Integer

参数解释

事件类型

取值范围

  • 1001:通用恶意软件

  • 1002:病毒

  • 1003:蠕虫

  • 1004:木马

  • 1005:僵尸网络

  • 1006:后门

  • 1010:Rootkit

  • 1011:勒索软件

  • 1012:黑客工具

  • 1015:Webshell

  • 1016:挖矿

  • 1017:反弹Shell

  • 2001:一般漏洞利用

  • 2012:远程代码执行

  • 2047:Redis漏洞利用

  • 2048:Hadoop漏洞利用

  • 2049:MySQL漏洞利用

  • 3002:文件提权

  • 3003:进程提权

  • 3004:关键文件变更

  • 3005:文件/目录变更

  • 3007:进程异常行为

  • 3015:高危命令执行

  • 3018:异常Shell

  • 3027:Crontab可疑任务

  • 3029:系统安全防护被禁用

  • 3030:备份删除

  • 3031:异常注册表操作

  • 3036:容器镜像阻断

  • 4002:暴力破解

  • 4004:异常登录

  • 4006:非法系统账号

  • 4014:用户账号添加

  • 4020:用户密码窃取

  • 6002:端口扫描

  • 6003:主机扫描

  • 13001:Kubernetes事件删除

  • 13002:Pod异常行为

  • 13003:枚举用户信息

  • 13004:绑定集群用户角色

field_key

String

加白字段,包含如下:

  • file_path :文件路径

field_value

String

加白字段值

judge_type

String

通配符,包含如下:

  • equal :相等

  • contain :包含

响应参数

状态码:200

请求已成功

请求示例

处置病毒扫描结果,处置动作为加白,agent id为e2ad65100314897c3dc5b50857f49a5f53e78c4b495fbed3d8097249456830f3,任务ID为9767484d-cc39-4de1-b214-621c3acce4b5,事件类型为病毒,文件hash为d36b44b1cd6d5767f788ba3265b075ad74d70ba8a1ce89db7c43ab6ea6e2c8eb,文件路径为/root/xx,文件属性为-rw-r--r--

{
  "operate_type" : "add_to_alarm_whitelist",
  "memo" : "xxx",
  "operate_results" : [ {
    "agent_id" : "e2ad65100314897c3dc5b50857f49a5f53e78c4b495fbed3d8097249456830f3",
    "result_id" : "9767484d-cc39-4de1-b214-621c3acce4b5",
    "event_type" : 1002,
    "file_hash" : "d36b44b1cd6d5767f788ba3265b075ad74d70ba8a1ce89db7c43ab6ea6e2c8eb",
    "file_path" : "/root/xx",
    "file_attr" : "-rw-r--r--"
  } ]
}

响应示例

状态码

状态码

描述

200

请求已成功

错误码

请参见错误码

父主题: 病毒查杀

相关文档