文档首页/ 企业主机安全 HSS/ API参考/ API说明/ 事件管理/ 查询ATT&CK攻击阶段统计列表 - ListEventAttCk
更新时间:2025-10-31 GMT+08:00
查看PDF
分享

查询ATT&CK攻击阶段统计列表 - ListEventAttCk

功能介绍

查询ATT&CK攻击阶段统计列表

授权信息

账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。

  • 如果使用角色与策略授权,具体权限要求请参见权限和授权项
  • 如果使用身份策略授权,当前API调用无需身份策略权限。

URI

GET /v5/{project_id}/event/att-ck

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数解释:

项目ID,用于明确项目归属,配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID

约束限制:

不涉及

取值范围:

字符长度1-256位。

默认取值:

不涉及
表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

参数解释:

企业项目ID,用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID

如需查询所有企业项目下的资产请传参“all_granted_eps”。

约束限制:

开通企业项目功能后才需要配置企业项目ID参数。

取值范围:

字符长度1-256位

默认取值:

0,表示默认企业项目(default)。

last_days

Integer

参数解释:

查询时间范围天数,与自定义查询时间begin_time,end_time互斥。

约束限制:

不涉及

取值范围:

最小值1,最大值30

默认取值:

不涉及

category

String

参数解释:

事件类别

约束限制:

不涉及

取值范围:

  • host : 主机安全事件

  • container : 容器安全事件

  • serverless : serverless场景安全事件

默认取值:

不涉及

host_name

String

参数解释

服务器名称

约束限制

不涉及

取值范围

字符长度1-256位

默认取值

不涉及

host_id

String

参数解释

服务器ID

约束限制

不涉及

取值范围

字符长度1-256位

默认取值

不涉及

private_ip

String

参数解释

服务器私有IP

约束限制

不涉及

取值范围

字符长度1-256位

默认取值

不涉及

public_ip

String

参数解释

服务器公网IP

约束限制

不涉及

取值范围

字符长度1-256位

默认取值

不涉及

container_name

String

参数解释

容器实例名称

约束限制

不涉及

取值范围

字符长度1-512位

默认取值

不涉及

event_type

Integer

参数解释:

事件类型

约束限制:

不涉及

取值范围:

  • 1001:通用恶意软件

  • 1002:病毒

  • 1003:蠕虫

  • 1004:木马

  • 1005:僵尸网络

  • 1006:后门

  • 1010:Rootkit

  • 1011:勒索软件

  • 1012:黑客工具

  • 1015:Webshell

  • 1016:挖矿

  • 1017:反弹Shell

  • 2001:一般漏洞利用

  • 2012:远程代码执行

  • 2047:Redis漏洞利用

  • 2048:Hadoop漏洞利用

  • 2049:MySQL漏洞利用

  • 3002:文件提权

  • 3003:进程提权

  • 3004:关键文件变更

  • 3005:文件/目录变更

  • 3007:进程异常行为

  • 3015:高危命令执行

  • 3018:异常Shell

  • 3026:crontab提权

  • 3027:Crontab可疑任务

  • 3029:系统安全防护被禁用

  • 3030:备份删除

  • 3031:异常注册表操作

  • 3036:容器镜像阻断

  • 4002:暴力破解

  • 4004:异常登录

  • 4006:非法系统账号

  • 4014:用户账号添加

  • 4020:用户密码窃取

  • 6002:端口扫描

  • 6003:主机扫描

  • 13001:Kubernetes事件删除

  • 13002:Pod异常行为

  • 13003:枚举用户信息

  • 13004:绑定集群用户角色

默认取值:

不涉及

handle_status

String

参数解释:

处置状态

约束限制:

不涉及

取值范围:

  • unhandled:未处理

  • handled:已处理

默认取值:

不涉及

severity

String

参数解释:

威胁等级

约束限制:

不涉及

取值范围:

  • Security:安全

  • Low:低危

  • Medium:中危

  • High:高危

  • Critical:危急

默认取值:

不涉及

severity_list

Array of strings

参数解释:

威胁等级

约束限制:

不涉及

取值范围:

  • Security:安全

  • Low:低危

  • Medium:中危

  • High:高危

  • Critical:危急

默认取值:

不涉及

attack_tag

String

参数解释:

攻击标识

约束限制:

不涉及

取值范围:

  • attack_success:攻击成功

  • attack_attempt:攻击尝试

  • attack_blocked:攻击被阻断

  • abnormal_behavior:异常行为

  • collapsible_host:主机失陷

  • system_vulnerability:系统脆弱性

默认取值:

不涉及

asset_value

String

参数解释:

资产重要性

约束限制:

不涉及

取值范围:

  • important:重要资产

  • common:般资产

  • test:测试资产

默认取值:

不涉及

tag_list

Array of strings

事件标签列表,例如:["热点事件"]

event_name

String

参数解释

告警名称

约束限制

不涉及

取值范围

字符长度1-128位

默认取值

不涉及

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

参数解释:

用户Token,包含了用户的身份、权限等信息,在调用API接口时,可通过Token进行身份认证。获取方式请参见获取用户Token

约束限制:

不涉及

取值范围:

字符长度1-32768位

默认取值:

不涉及

region

String

参数解释:

区域ID,用于查询目的区域内的资产。获取方式请参见获取区域ID

约束限制:

不涉及

取值范围:

字符长度0-128位

默认取值:

不涉及

响应参数

状态码:200

表4 响应Body参数

参数

参数类型

描述

data_list

Array of EventAttCkDetailResponseInfo objects

各种攻击阶段详情
表5 EventAttCkDetailResponseInfo

参数

参数类型

描述

att_ck

String

参数解释

攻击阶段名称,根据页面语言环境,返回中文或英文

取值范围

字符长度1-64位

num

Integer

参数解释:

数量

取值范围:

最小值0,最大值2147483647

请求示例

响应示例

状态码:200

请求已成功

{
  "data_list" : [ {
    "att_ck" : "权限提升/Privilege Escalation",
    "num" : 10
  } ]
}

状态码

状态码

描述

200

请求已成功

错误码

请参见错误码

父主题: 事件管理

相关文档