查询攻击标识分布统计列表 - ShowEventAttackTag

project_id

是

String

参数解释:

项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID。

约束限制:

不涉及

取值范围:

字符长度1-256位。

默认取值:

不涉及

enterprise_project_id

否

String

参数解释:

企业项目ID，用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID。

如需查询所有企业项目下的资产请传参“all_granted_eps”。

约束限制:

开通企业项目功能后才需要配置企业项目ID参数。

取值范围:

字符长度1-256位

默认取值:

0，表示默认企业项目（default）。

last_days

否

Integer

参数解释:

查询时间范围天数，与自定义查询时间begin_time，end_time互斥。

约束限制:

不涉及

取值范围:

最小值1，最大值30

默认取值:

不涉及

category

是

String

参数解释:

事件类别

约束限制:

必填

取值范围:

• host : 主机安全事件

• container : 容器安全事件

• serverless : serverless场景安全事件

默认取值:

不涉及

host_name

否

String

参数解释：

服务器名称

约束限制：

不涉及

取值范围：

字符长度1-256位

默认取值：

不涉及

host_id

否

String

参数解释：

服务器ID

约束限制：

不涉及

取值范围：

字符长度1-256位

默认取值：

不涉及

private_ip

否

String

参数解释：

服务器私有IP

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

public_ip

否

String

参数解释：

服务器公网IP

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

container_name

否

String

参数解释：

容器实例名称

约束限制：

不涉及

取值范围：

字符长度1-512位

默认取值：

不涉及

event_type

否

Integer

参数解释:

事件类型

约束限制:

不涉及

取值范围:

• 1001：通用恶意软件

• 1002：病毒

• 1003：蠕虫

• 1004：木马

• 1005：僵尸网络

• 1006：后门

• 1010：Rootkit

• 1011：勒索软件

• 1012：黑客工具

• 1015：Webshell

• 1016：挖矿

• 1017：反弹Shell

• 2001：一般漏洞利用

• 2012：远程代码执行

• 2047：Redis漏洞利用

• 2048：Hadoop漏洞利用

• 2049：MySQL漏洞利用

• 3002：文件提权

• 3003：进程提权

• 3004：关键文件变更

• 3005：文件/目录变更

• 3007：进程异常行为

• 3015：高危命令执行

• 3018：异常Shell

• 3026：crontab提权

• 3027：Crontab可疑任务

• 3029：系统安全防护被禁用

• 3030：备份删除

• 3031：异常注册表操作

• 3036：容器镜像阻断

• 4002：暴力破解

• 4004：异常登录

• 4006：非法系统账号

• 4014：用户账号添加

• 4020：用户密码窃取

• 6002：端口扫描

• 6003：主机扫描

• 13001：Kubernetes事件删除

• 13002：Pod异常行为

• 13003：枚举用户信息

• 13004：绑定集群用户角色

默认取值:

不涉及

handle_status

否

String

参数解释：

处置状态

约束限制:

不涉及

取值范围:

• unhandled：未处理

• handled：已处理

默认取值:

不涉及

severity

否

String

参数解释：

威胁等级

约束限制:

不涉及

取值范围:

• Security：安全

• Low：低危

• Medium：中危

• High：高危

• Critical：危急

默认取值:

不涉及

severity_list

否

Array of strings

参数解释：

威胁等级

约束限制:

不涉及

取值范围:

• Security：安全

• Low：低危

• Medium：中危

• High：高危

• Critical：危急

默认取值:

不涉及

attack_tag

否

String

参数解释：

攻击标识

约束限制:

不涉及

取值范围:

• attack_success：攻击成功

• attack_attempt：攻击尝试

• attack_blocked：攻击被阻断

• abnormal_behavior：异常行为

• collapsible_host：主机失陷

• system_vulnerability：系统脆弱性

默认取值:

不涉及

asset_value

否

String

参数解释：

资产重要性

约束限制:

不涉及

取值范围:

• important：重要资产

• common：一般资产

• test：测试资产

默认取值:

不涉及

tag_list

否

Array of strings

事件标签列表，例如:["热点事件"]

att_ck

否

String

参数解释：

ATT&CK攻击阶段

约束限制:

不涉及

取值范围:

• Reconnaissance：侦察

• Initial Access：初始访问

• Execution：执行

• Persistence：持久化

• Privilege Escalation：权限提升

• Defense Evasion：防御绕过

• Credential Access：凭据访问

• Command and Control：命令与控制

• Impact：影响破坏

默认取值:

不涉及

event_name

否

String

参数解释：

告警名称

约束限制：

不涉及

取值范围：

字符长度1-128位

默认取值：

不涉及

X-Auth-Token

是

String

参数解释:

用户Token，包含了用户的身份、权限等信息，在调用API接口时，可通过Token进行身份认证。获取方式请参见获取用户Token。

约束限制:

不涉及

取值范围:

字符长度1-32768位

默认取值:

不涉及

region

是

String

参数解释:

区域ID，用于查询目的区域内的资产。获取方式请参见获取区域ID。

约束限制:

不涉及

取值范围:

字符长度0-128位

默认取值:

不涉及

attack_success_num

Integer

参数解释:

攻击成功阶段的数量

取值范围:

最小值0，最大值2147483647

attack_attempt_num

Integer

参数解释:

攻击尝试阶段的数量

取值范围:

最小值0，最大值2147483647

attack_blocked_num

Integer

参数解释:

攻击被阻断阶段的数量

取值范围:

最小值0，最大值2147483647

abnormal_behavior_num

Integer

参数解释:

异常行为阶段的数量

取值范围:

最小值0，最大值2147483647

collapsible_host_num

Integer

参数解释:

主机失陷阶段的数量

取值范围:

最小值0，最大值2147483647

system_vulnerability_num

Integer

参数解释:

系统脆弱性阶段的数量

取值范围:

最小值0，最大值2147483647

200

请求已成功