文档首页/ 企业主机安全 HSS/ API参考/ API说明/ 事件管理/ 查询事件类型统计列表 - ListEventType
更新时间:2025-10-31 GMT+08:00
查看PDF
分享

查询事件类型统计列表 - ListEventType

功能介绍

查询事件类型统计列表

授权信息

账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。

  • 如果使用角色与策略授权,具体权限要求请参见权限和授权项
  • 如果使用身份策略授权,当前API调用无需身份策略权限。

URI

GET /v5/{project_id}/event/event-type

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数解释:

项目ID,用于明确项目归属,配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID

约束限制:

不涉及

取值范围:

字符长度1-256位

默认取值:

不涉及
表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

参数解释:

企业项目ID,用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID

如需查询所有企业项目下的资产请传参“all_granted_eps”。

约束限制:

开通企业项目功能后才需要配置企业项目ID参数。

取值范围:

字符长度1-256位

默认取值:

0,表示默认企业项目(default)。

begin_time

Long

参数解释:

开始时间,13位时间戳

约束限制:

不涉及

取值范围:

最小值0,最大值9223372036854775807

默认取值:

不涉及

end_time

Long

参数解释:

结束时间,13位时间戳

约束限制:

不涉及

取值范围:

最小值0,最大值9223372036854775807

默认取值:

不涉及

last_days

Integer

查询时间范围天数,与自定义查询时间begin_time,end_time互斥

category

String

参数解释:

事件类别

约束限制:

不涉及

取值范围:

  • host : 主机安全事件

  • container : 容器安全事件

  • serverless : serverless场景安全事件

默认取值:

不涉及

host_name

String

服务器名称

host_id

String

服务器ID

private_ip

String

服务器私有IP

public_ip

String

服务器公网IP

container_name

String

容器实例名称

event_type

Integer

事件类型,包含如下:

  • 1001 : 通用恶意软件

  • 1002 : 病毒

  • 1003 : 蠕虫

  • 1004 : 木马

  • 1005 : 僵尸网络

  • 1006 : 后门

  • 1010 : Rootkit

  • 1011 : 勒索软件

  • 1012 :黑客工具

  • 1015 : Webshell

  • 1016 : 挖矿

  • 1017 : 反弹Shell

  • 2001 : 一般漏洞利用

  • 2012 : 远程代码执行

  • 2047 : Redis漏洞利用

  • 2048 : Hadoop漏洞利用

  • 2049 : MySQL漏洞利用

  • 3002 : 文件提权

  • 3003 : 进程提权

  • 3004 : 关键文件变更

  • 3005 : 文件/目录变更

  • 3007 : 进程异常行为

  • 3015 : 高危命令执行

  • 3018 : 异常Shell

  • 3027 : Crontab可疑任务

  • 3029 :系统安全防护被禁用

  • 3030 :备份删除

  • 3031 :异常注册表操作

  • 3036 : 容器镜像阻断

  • 4002 : 暴力破解

  • 4004 : 异常登录

  • 4006 : 非法系统账号

  • 4014 : 用户账号添加

  • 4020 : 用户密码窃取

  • 6002 : 端口扫描

  • 6003 : 主机扫描

  • 13001 : Kubernetes事件删除

  • 13002 : Pod异常行为

  • 13003 : 枚举用户信息

  • 13004 : 绑定集群用户角色

handle_status

String

处置状态,包含如下:

  • unhandled :未处理

  • handled : 已处理

severity

String

威胁等级,包含如下:

  • Security :安全

  • Low : 低危

  • Medium : 中危

  • High : 高危

  • Critical : 危急

severity_list

Array of strings

威胁等级,包含如下:

  • Security :安全

  • Low : 低危

  • Medium : 中危

  • High : 高危

  • Critical : 危急

attack_tag

String

攻击标识,包含如下:

  • attack_success : 攻击成功

  • attack_attempt : 攻击尝试

  • attack_blocked : 攻击被阻断

  • abnormal_behavior : 异常行为

  • collapsible_host : 主机失陷

  • system_vulnerability : 系统脆弱性

asset_value

String

资产重要性,包含如下3种

  • important :重要资产

  • common :一般资产

  • test :测试资产

tag_list

Array of strings

事件标签列表,例如:["热点事件"]

att_ck

String

ATT&CK攻击阶,包含如下:

  • Reconnaissance : 侦察

  • Initial Access : 初始访问

  • Execution : 执行

  • Persistence : 持久化

  • Privilege Escalation : 权限提升

  • Defense Evasion : 防御绕过

  • Credential Access : 凭据访问

  • Command and Control : 命令与控制

  • Impact : 影响破坏

event_name

String

告警名称

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

参数解释:

用户Token,包含了用户的身份、权限等信息,在调用API接口时,可通过Token进行身份认证。获取方式请参见获取用户Token

约束限制:

不涉及

取值范围:

字符长度1-32768位

默认取值:

不涉及

region

String

参数解释:

区域ID,用于查询目的区域内的资产。获取方式请参见获取区域ID

约束限制:

不涉及

取值范围:

字符长度1-128位

默认取值:

不涉及

响应参数

状态码:200

表4 响应Body参数

参数

参数类型

描述

total_num

Integer

参数解释:

总数

取值范围:

最小值0,最大值2147483647

data_list

Array of EventTypeDetailResponseInfo objects

各种类型详情
表5 EventTypeDetailResponseInfo

参数

参数类型

描述

event_type_name

String

大类别对应的名字:

  • malicious_software:恶意软件

  • "exploit_attack":漏洞利用

  • "system_abnormal_behavior":系统异常行为

  • "user_abnormal_behavior":用户异常行为

  • "network_abnormal_access":网络异常访问

  • "resource_recon":资源侦查

  • "risk_audit":风险审计

  • "information_destroy":信息破坏

  • "denial_of_service":拒绝服务攻击

  • "advanced_threat":高级威胁

  • "extend":其余未列出的,里面的类别显示到外层中

event_type_num

Integer

事件类别的总数量

event_type_list

Array of EventTypeResponseInfo objects

小类别对应的名称与数量列表
表6 EventTypeResponseInfo

参数

参数类型

描述

event_type

Integer

参数解释

事件类型

取值范围

  • 1001:通用恶意软件

  • 1002:病毒

  • 1003:蠕虫

  • 1004:木马

  • 1005:僵尸网络

  • 1006:后门

  • 1010:Rootkit

  • 1011:勒索软件

  • 1012:黑客工具

  • 1015:Webshell

  • 1016:挖矿

  • 1017:反弹Shell

  • 2001:一般漏洞利用

  • 2012:远程代码执行

  • 2047:Redis漏洞利用

  • 2048:Hadoop漏洞利用

  • 2049:MySQL漏洞利用

  • 3002:文件提权

  • 3003:进程提权

  • 3004:关键文件变更

  • 3005:文件/目录变更

  • 3007:进程异常行为

  • 3015:高危命令执行

  • 3018:异常Shell

  • 3027:Crontab可疑任务

  • 3029:系统安全防护被禁用

  • 3030:备份删除

  • 3031:异常注册表操作

  • 3036:容器镜像阻断

  • 4002:暴力破解

  • 4004:异常登录

  • 4006:非法系统账号

  • 4014:用户账号添加

  • 4020:用户密码窃取

  • 6002:端口扫描

  • 6003:主机扫描

  • 13001:Kubernetes事件删除

  • 13002:Pod异常行为

  • 13003:枚举用户信息

  • 13004:绑定集群用户角色

event_num

Integer

事件数量

status

String

状态,目前包含如下2种。

  • locked :加锁。

  • unlocked :解锁。

请求示例

查询主机事件类型列表

GET https://{endpoint}/v5/{project_id}/event/event-type?enterprise_project_id=all_granted_eps&category=host

响应示例

状态码:200

请求已成功

{
  "total_num" : "1,",
  "data_list" : [ {
    "event_type_name" : "malicious_software",
    "event_type_num" : 1,
    "event_type_list" : [ {
      "event_type" : 1001,
      "event_num" : 1,
      "status" : "unlocked"
    } ]
  } ]
}

状态码

状态码

描述

200

请求已成功

错误码

请参见错误码

父主题: 事件管理

相关文档