文档首页/ 企业主机安全 HSS/ API参考/ API说明/ 事件管理/ 查询某告警事件关联的已处理的相似告警 - ListSimilarHandledEvents
更新时间:2025-10-31 GMT+08:00
查看PDF
分享

查询某告警事件关联的已处理的相似告警 - ListSimilarHandledEvents

功能介绍

查询某告警事件关联的已处理的相似告警

授权信息

账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。

  • 如果使用角色与策略授权,具体权限要求请参见权限和授权项
  • 如果使用身份策略授权,当前API调用无需身份策略权限。

URI

GET /v5/{project_id}/event/similar-handled-events

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数解释:

项目ID,用于明确项目归属,配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID

约束限制:

不涉及

取值范围:

字符长度1-256位

默认取值:

不涉及
表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

参数解释:

企业项目ID,用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID

如需查询所有企业项目下的资产请传参“all_granted_eps”。

约束限制:

开通企业项目功能后才需要配置企业项目ID参数。

取值范围:

字符长度1-256位

默认取值:

0,表示默认企业项目(default)。

event_id

String

事件编号

occur_time

Long

事件发生时间

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

参数解释:

用户Token,包含了用户的身份、权限等信息,在调用API接口时,可通过Token进行身份认证。获取方式请参见获取用户Token

约束限制:

不涉及

取值范围:

字符长度1-32768位

默认取值:

不涉及

region

String

参数解释:

区域ID,用于查询目的区域内的资产。获取方式请参见获取区域ID

约束限制:

不涉及

取值范围:

字符长度1-128位

默认取值:

不涉及

响应参数

状态码:200

表4 响应Body参数

参数

参数类型

描述

total_num

Integer

参数解释:

总数

取值范围:

最小值0,最大值2147483647

data_list

Array of SimilarHandledEvent objects

相似已处置的告警列表
表5 SimilarHandledEvent

参数

参数类型

描述

similiar_type

String

相似类型,包含如下:

  • sameHostAndEventType : 相同的主机和事件类型

  • sameFileHash : 相同的文件hash

  • sameProcessHash : 相同的进程启动文件hash

  • sameRemoteIp : 相同的攻击Ip

  • sameProcessCmdline :相同的进程命令行

  • sameRegKey : 相同的注册表KEY

  • sameUserName : 相同的登录用户名

event_class_id

String

参数解释

事件分类

取值范围

  • container_1001:容器命名空间

  • container_1002:容器开放端口

  • container_1003:容器安全选项

  • container_1004:容器挂载目录

  • containerescape_0001:容器高危系统调用

  • containerescape_0002:Shocker攻击

  • containerescape_0003:DirtCow攻击

  • containerescape_0004:容器文件逃逸攻击

  • dockerfile_001:用户自定义容器保护文件被修改

  • dockerfile_002:容器文件系统可执行文件被修改

  • dockerproc_001:容器进程异常事件上报

  • fileprotect_0001:文件提权

  • fileprotect_0002:关键文件变更

  • fileprotect_0003:关键文件路径变更

  • fileprotect_0004:文件/目录变更

  • av_1002:病毒

  • av_1003:蠕虫

  • av_1004:木马

  • av_1005:僵尸网络

  • av_1006:后门

  • av_1007:间谍软件

  • av_1008:恶意广告软件

  • av_1009:钓鱼

  • av_1010:Rootkit

  • av_1011:勒索软件

  • av_1012:黑客工具

  • av_1013:灰色软件

  • av_1015:Webshell

  • av_1016:挖矿软件

  • login_0001:尝试暴力破解

  • login_0002:爆破成功

  • login_1001:登录成功

  • login_1002:异地登录

  • login_1003:弱口令

  • malware_0001:shell变更事件上报

  • malware_0002:反弹shell事件上报

  • malware_1001:恶意程序

  • procdet_0001:进程异常行为检测

  • procdet_0002:进程提权

  • procreport_0001:危险命令

  • user_1001:账号变更

  • user_1002:风险账号

  • vmescape_0001:虚拟机敏感命令执行

  • vmescape_0002:虚拟化进程访问敏感文件

  • vmescape_0003:虚拟机异常端口访问

  • webshell_0001:网站后门

  • network_1001:恶意挖矿

  • network_1002:对外DDoS攻击

  • network_1003:恶意扫描

  • network_1004:敏感区域攻击

  • ransomware_0001:勒索攻击

  • ransomware_0002:勒索攻击

  • ransomware_0003:勒索攻击

  • fileless_0001:进程注入

  • fileless_0002:动态库注入进程

  • fileless_0003:关键配置变更

  • fileless_0004:环境变量变更

  • fileless_0005:内存文件进程

  • fileless_0006:vdso劫持

  • crontab_1001:Crontab可疑任务

  • vul_exploit_0001:Redis漏洞利用攻击

  • vul_exploit_0002:Hadoop漏洞利用攻击

  • vul_exploit_0003:MySQL漏洞利用攻击

  • rootkit_0001:可疑rootkit文件

  • rootkit_0002:可疑内核模块

  • RASP_0004:上传Webshell

  • RASP_0018:无文件Webshell

  • blockexec_001:已知勒索攻击

  • hips_0001:Windows Defender防护被禁用

  • hips_0002:可疑的黑客工具

  • hips_0003:可疑的勒索加密行为

  • hips_0004:隐藏账号创建

  • hips_0005:读取用户密码凭据

  • hips_0006:可疑的SAM文件导出

  • hips_0007:可疑shadow copy删除操作

  • hips_0008:备份文件删除

  • hips_0009:可疑勒索病毒操作注册表

  • hips_0010:可疑的异常进程行为

  • hips_0011:可疑的扫描探测

  • hips_0012:可疑的勒索病毒脚本运行

  • hips_0013:可疑的挖矿命令执行

  • hips_0014:可疑的禁用windows安全中心

  • hips_0015:可疑的停止防火墙服务行为

  • hips_0016:可疑的系统自动恢复禁用

  • hips_0017:Offies创建可执行文件

  • hips_0018:带宏Offies文件异常创建

  • hips_0019:可疑的注册表操作

  • hips_0020:Confluence远程代码执行

  • hips_0021:MSDT远程代码执行

  • portscan_0001:通用端口扫描

  • portscan_0002:秘密端口扫描

  • k8s_1001:Kubernetes事件删除

  • k8s_1002:创建特权Pod

  • k8s_1003:Pod中使用交互式shell

  • k8s_1004:创建敏感目录Pod

  • k8s_1005:创建主机网络的Pod

  • k8s_1006:创建主机Pid空间的Pod

  • k8s_1007:普通pod访问APIserver认证失败

  • k8s_1008:普通Pod通过Curl访问APIServer

  • k8s_1009:系统管理空间执行exec

  • k8s_1010:系统管理空间创建Pod

  • k8s_1011:创建静态Pod

  • k8s_1012:创建DaemonSet

  • k8s_1013:创建集群计划任务

  • k8s_1014:Secrets操作

  • k8s_1015:枚举用户可执行的操作

  • k8s_1016:高权限RoleBinding或ClusterRoleBinding

  • k8s_1017:ServiceAccount创建

  • k8s_1018:创建Cronjob

  • k8s_1019:Pod中exec使用交互式shell

  • k8s_1020:无权限访问Apiserver

  • k8s_1021:使用curl访问APIServer

  • k8s_1022:Ingress漏洞

  • k8s_1023:中间人攻击

  • k8s_1024:蠕虫挖矿木马

  • k8s_1025:K8s事件删除

  • k8s_1026:SelfSubjectRulesReview场景

  • imgblock_0001:镜像白名单阻断

  • imgblock_0002:镜像黑名单阻断

  • imgblock_0003:镜像标签白名单阻断

  • imgblock_0004:镜像标签黑名单阻断

  • imgblock_0005:创建容器白名单阻断

  • imgblock_0006:创建容器黑名单阻断

  • imgblock_0007:容器mount proc阻断

  • imgblock_0008:容器seccomp unconfined阻断

  • imgblock_0009:容器特权阻断

  • imgblock_0010:容器capabilities阻断

event_id

String

参数解释

事件ID

取值范围

字符长度1-64位

event_type

Integer

参数解释

事件类型

取值范围

  • 1001:通用恶意软件

  • 1002:病毒

  • 1003:蠕虫

  • 1004:木马

  • 1005:僵尸网络

  • 1006:后门

  • 1010:Rootkit

  • 1011:勒索软件

  • 1012:黑客工具

  • 1015:Webshell

  • 1016:挖矿

  • 1017:反弹Shell

  • 2001:一般漏洞利用

  • 2012:远程代码执行

  • 2047:Redis漏洞利用

  • 2048:Hadoop漏洞利用

  • 2049:MySQL漏洞利用

  • 3002:文件提权

  • 3003:进程提权

  • 3004:关键文件变更

  • 3005:文件/目录变更

  • 3007:进程异常行为

  • 3015:高危命令执行

  • 3018:异常Shell

  • 3027:Crontab可疑任务

  • 3029:系统安全防护被禁用

  • 3030:备份删除

  • 3031:异常注册表操作

  • 3036:容器镜像阻断

  • 4002:暴力破解

  • 4004:异常登录

  • 4006:非法系统账号

  • 4014:用户账号添加

  • 4020:用户密码窃取

  • 6002:端口扫描

  • 6003:主机扫描

  • 13001:Kubernetes事件删除

  • 13002:Pod异常行为

  • 13003:枚举用户信息

  • 13004:绑定集群用户角色

severity

String

参数解释

威胁等级

取值范围

  • Security:安全

  • Low:低危

  • Medium:中危

  • High:高危

  • Critical:危急

abstract

String

告警摘要

handle_method

String

参数解释

处理方式,已处理的告警才有

取值范围

  • mark_as_handled:手动处理

  • ignore:忽略

  • add_to_alarm_whitelist:加入告警白名单

  • add_to_login_whitelist:加入登录白名单

  • isolate_and_kill:隔离查杀

handler

String

处置账号信息

memo

String

处置备注信息

handle_time

Integer

参数解释

处置时间,毫秒,已处理的告警才有

取值范围

最小值0,最大值9223372036854775807

请求示例

查询告警id为test_id关联的已处理的相似告警

GET https://{endpoint}/v5/{project_id}/event/similar-handled-events?enterprise_project_id=all_granted_eps&event_id=test_id

响应示例

状态码:200

请求已成功

{
  "total_num" : 1,
  "data_list" : [ {
    "similiar_type" : "sameFileHash",
    "event_class_id" : "container_1001",
    "event_id" : "0009bae0-8700-11eb-bb3f-fa163e01e338",
    "event_type" : 1001,
    "severity" : "Low",
    "abstract" : "test",
    "handle_method" : "mark_as_handled",
    "handler" : "test",
    "memo" : "test",
    "andle_time" : 1760599784746
  } ]
}

状态码

状态码

描述

200

请求已成功

错误码

请参见错误码

父主题: 事件管理

相关文档