文档首页/ 安全云脑 SecMaster/ API参考/ 安全云脑 API V1/ 告警管理/ 批量更新告警 - ChangeAlerts

更新时间：2026-06-26 GMT+08:00

查看PDF

批量更新告警 - ChangeAlerts

功能介绍

批量更新告警，根据实际修改的属性更新，未修改的列不更新

调用方法

请参见如何调用API。

授权信息

账号具备所有API的调用权限，如果使用账号下的IAM用户调用当前API，该IAM用户需具备调用API所需的权限，具体权限要求请参见权限和授权项。

URI

POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/batch-update

表1 路径参数
参数	是否必选	参数类型	描述
project_id	是	String	参数解释：项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制：不涉及取值范围：不涉及默认取值：不涉及
workspace_id	是	String	参数解释：工作空间id。约束限制：不涉及取值范围：不涉及默认取值：不涉及

请求参数

表2 请求Header参数
参数	是否必选	参数类型	描述
X-Auth-Token	是	String	参数解释：用户Token，通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。获取用户Token 约束限制：不涉及取值范围：不涉及默认取值：不涉及
content-type	是	String	参数解释：内容类型 application/json;charset=UTF-8 普通API请求的类型约束限制：不涉及取值范围： application/json;charset=UTF-8 默认取值：不涉及

表3 请求Body参数
参数	是否必选	参数类型	描述
batch_ids	是	Array of strings	更新告警的ID列表
data_object	是	Alert object	参数解释：告警实体信息约束限制：不涉及取值范围：不涉及默认取值：不涉及

表4 Alert
参数	是否必选	参数类型	描述
version	否	String	参数解释：告警对象的版本，该字段的值必须为云SSA服务确定的官方发布版本之一约束限制：不涉及取值范围：不涉及默认取值：不涉及
id	否	String	参数解释：事件唯一标识，UUID格式，最大36个字符约束限制：不涉及取值范围：不涉及默认取值：不涉及
domain_id	否	String	参数解释：数据投递后，被委托用户的domain_id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	否	String	参数解释：数据投递后，被委托用户的region_id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
workspace_id	否	String	参数解释：当前的工作空间id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
labels	否	String	参数解释：标签，仅展示约束限制：不涉及取值范围：不涉及默认取值：不涉及
environment	否	environment object	参数解释：告警产生的环境坐标信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
data_source	否	data_source object	参数解释：首次上报数据源约束限制：不涉及取值范围：不涉及默认取值：不涉及
first_observed_time	否	String	参数解释：首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
last_observed_time	否	String	参数解释：最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
create_time	否	String	参数解释：记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
arrive_time	否	String	参数解释：接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
title	否	String	参数解释：告警标题约束限制：不涉及取值范围：不涉及默认取值：不涉及
description	否	String	参数解释：告警描述信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
source_url	否	String	参数解释：告警URL链接，指向数据源产品中有关当前事件说明的页面约束限制：不涉及取值范围：不涉及默认取值：不涉及
count	否	Integer	参数解释：事件发生次数约束限制：不涉及取值范围：不涉及默认取值：不涉及
confidence	否	Integer	参数解释：事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。约束限制：不涉及取值范围： 0-100，0表示置信度为0%，100表示置信度为100% 默认取值：不涉及
severity	否	String	参数解释：严重性等级约束限制：不涉及取值范围： Tips – 未发现任何问题。 Low – 无需针对问题执行任何操作。 Medium – 问题需要处理，但不紧急。 High – 问题必须优先处理。 Fatal – 问题必须立即处理，以防止产生进一步的损害默认取值：不涉及
criticality	否	Integer	参数解释：关键性，是指事件涉及的资产的重要性级别。约束限制：不涉及取值范围： 0-100，0表示资产不关键，100表示最关键资产默认取值：不涉及
alert_type	否	alert_type object	参数解释：告警分类，详细定义参考《告警类型定义》约束限制：不涉及取值范围：不涉及默认取值：不涉及
network_list	否	Array of network_list objects	参数解释：网络信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
resource_list	否	Array of resource_list objects	参数解释：受影响资产约束限制：不涉及取值范围：不涉及默认取值：不涉及
remediation	否	remediation object	参数解释：补救措施约束限制：不涉及取值范围：不涉及默认取值：不涉及
verification_state	否	String	参数解释：验证状态，标识事件的准确性约束限制：不涉及取值范围： Unknown – 未知 True_Positive – 确认 False_Positive – 误报默认取值： Unknown
handle_status	否	String	参数解释：事件处理状态约束限制：不涉及取值范围： Open – 打开，默认 Block – 阻塞 Closed – 关闭默认取值： Open
sla	否	String	参数解释：约束闭环时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
update_time	否	String	参数解释：更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
close_time	否	String	参数解释：关闭时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
ipdrr_phase	否	String	参数解释：周期/处置阶段编号约束限制：不涉及取值范围： Preparation - 准备 Detection and Analysis - 检测与分析 Contain，Eradication& Recovery - 控制、清除、恢复 Post-Incident-Activity - 告警后活动默认取值：不涉及
simulation	否	String	参数解释：调试字段约束限制：不涉及取值范围：不涉及默认取值：不涉及
actor	否	String	参数解释：告警调查员约束限制：不涉及取值范围：不涉及默认取值：不涉及
owner	否	String	参数解释：责任人、服务责任人约束限制：不涉及取值范围：不涉及默认取值：不涉及
creator	否	String	参数解释：创建人约束限制：不涉及取值范围：不涉及默认取值：不涉及
close_reason	否	String	参数解释：关闭原因约束限制：不涉及取值范围： False detection - 误检 Resolved - 已解决 Repeated - 重复 Other - 其他默认取值：不涉及
close_comment	否	String	参数解释：关闭评论约束限制：不涉及取值范围：不涉及默认取值：不涉及
malware	否	malware object	参数解释：恶意软件约束限制：不涉及取值范围：不涉及默认取值：不涉及
system_info	否	Object	参数解释：系统信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
process	否	Array of process objects	参数解释：进程信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
user_info	否	Array of user_info objects	参数解释：用户信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_info	否	Array of file_info objects	参数解释：文件信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
system_alert_table	否	Object	参数解释：告警管理列表的布局字段约束限制：不涉及取值范围：不涉及默认取值：不涉及

表5 environment
参数	是否必选	参数类型	描述
vendor_type	否	String	参数解释：环境供应商约束限制：不涉及取值范围：不涉及默认取值：不涉及
domain_id	否	String	参数解释：租户id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	否	String	参数解释：区域id，全局服务global 约束限制：不涉及取值范围：不涉及默认取值：不涉及
project_id	否	String	参数解释：项目id，全局服务默认null 约束限制：不涉及取值范围：不涉及默认取值：不涉及

表6 data_source
参数	是否必选	参数类型	描述
source_type	否	Integer	参数解释：数据源类型约束限制：无取值范围： 1 - 云上产品 2 - 第三方产品 3 - 租户私有产品默认取值：不涉及
domain_id	否	String	参数解释：数据源产品所属账号的id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
project_id	否	String	参数解释：数据源产品所属项目的id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	否	String	参数解释：数据源产品所在区域，具体取值范围查看云地区和终端节点定义约束限制：不涉及取值范围：不涉及默认取值：不涉及
company_name	否	String	参数解释：数据源产品所属公司的名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
product_name	否	String	参数解释：数据源产品的名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
product_feature	否	String	参数解释：产品功能特性名称，用来指明检测到当前事件的产品的功能特性约束限制：不涉及取值范围：不涉及默认取值：不涉及
product_module	否	String	参数解释：检测模块列表约束限制：不涉及取值范围：不涉及默认取值：不涉及

表7 alert_type
参数	是否必选	参数类型	描述
category	否	String	参数解释：类别约束限制：不涉及取值范围：不涉及默认取值：不涉及
alert_type	否	String	参数解释：告警类型约束限制：不涉及取值范围：不涉及默认取值：不涉及

表8 network_list
参数	是否必选	参数类型	描述
direction	否	String	参数解释：方向约束限制：不涉及取值范围： IN - 入方向 OUT - 出方向默认取值：不涉及
protocol	否	String	参数解释：协议，包含7层和4层的协议参考：IANA registered name https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml 约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_ip	否	String	参数解释：源IP地址约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_port	否	Integer	参数解释：源端口，0–65535 约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_domain	否	String	参数解释：源域名约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_geo	否	src_geo object	参数解释：源IP的地理位置信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_ip	否	String	参数解释：目的IP地址约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_port	否	String	参数解释：目的端口，0–65535 约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_domain	否	String	参数解释：目的域名约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_geo	否	dest_geo object	参数解释：目标IP的地理位置信息约束限制：不涉及取值范围：不涉及默认取值：不涉及

表9 src_geo
参数	是否必选	参数类型	描述
latitude	否	Number	参数解释：纬度约束限制：不涉及取值范围：不涉及默认取值：不涉及
longitude	否	Number	参数解释：经度约束限制：不涉及取值范围：不涉及默认取值：不涉及
city_code	否	String	参数解释：城市编码约束限制：不涉及取值范围：不涉及默认取值：不涉及
country_code	否	String	参数解释：国家编码，参考ISO 3166-1 alpha-2，例如：CN \| US \| DE \| IT \| SG 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表10** dest_geo
参数	是否必选	参数类型	描述
latitude	否	Number	参数解释：纬度约束限制：不涉及取值范围：不涉及默认取值：不涉及
longitude	否	Number	参数解释：经度约束限制：不涉及取值范围：不涉及默认取值：不涉及
city_code	否	String	参数解释：城市编码约束限制：不涉及取值范围：不涉及默认取值：不涉及
country_code	否	String	参数解释：国家编码，参考ISO 3166-1 alpha-2，例如：CN \| US \| DE \| IT \| SG 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表11** resource_list
参数	是否必选	参数类型	描述
id	否	String	参数解释：云服务资产id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
name	否	String	参数解释：资产名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
type	否	String	参数解释：资产类型(cloudservers;servers;vm;pm;instances;publicips;ip;website;vpcs;securityGroups;device) 约束限制：不涉及取值范围：不涉及默认取值：不涉及
provider	否	String	参数解释：云服务名称；引用云RMS provider字段约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	否	String	参数解释：区域；按照云regionId填写约束限制：不涉及取值范围：不涉及默认取值：不涉及
domain_id	否	String	参数解释：资产所属账号ID，UUID格式约束限制：不涉及取值范围：不涉及默认取值：不涉及
project_id	否	String	参数解释：资产所属项目ID，UUID格式约束限制：不涉及取值范围：不涉及默认取值：不涉及
ep_id	否	String	参数解释：企业项目id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
ep_name	否	String	参数解释：企业项目名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
tags	否	Object	参数解释：资产标签 1、最多50个key/values对 2、values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表12** remediation
参数	是否必选	参数类型	描述
recommendation	否	String	参数解释：推荐处理方法约束限制：不涉及取值范围：不涉及默认取值：不涉及
url	否	String	参数解释：链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表13** malware
参数	是否必选	参数类型	描述
malware_family	否	String	参数解释：恶意家族约束限制：不涉及取值范围：不涉及默认取值：不涉及
malware_class	否	String	参数解释：恶意软件分类约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表14** process
参数	是否必选	参数类型	描述
process_name	否	String	参数解释：进程名约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_path	否	String	参数解释：进程执行文件路径约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_pid	否	Integer	参数解释：进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_uid	否	Integer	参数解释：进程用户id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_cmdline	否	String	参数解释：进程命令行约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_name	否	String	参数解释：父进程名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_path	否	String	参数解释：父进程执行文件路径约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_pid	否	Integer	参数解释：父进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_uid	否	Integer	参数解释：父进程用户id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_cmdline	否	String	参数解释：父进程命令行约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_name	否	String	参数解释：子进程名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_path	否	String	参数解释：子进程执行文件路径约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_pid	否	Integer	参数解释：子进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_uid	否	Integer	参数解释：子进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_cmdline	否	String	参数解释：子进程命令行约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_launche_time	否	String	参数解释：进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_terminate_time	否	String	参数解释：进程结束时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表15** user_info
参数	是否必选	参数类型	描述
user_id	否	String	参数解释：用户uid 约束限制：不涉及取值范围：不涉及默认取值：不涉及
user_name	否	String	参数解释：用户名称约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表16** file_info
参数	是否必选	参数类型	描述
file_path	否	String	参数解释：文件路径/名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_content	否	String	参数解释：文件内容约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_new_path	否	String	参数解释：文件新路径/名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_hash	否	String	参数解释：文件hash 约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_md5	否	String	参数解释：文件md5 约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_sha256	否	String	参数解释：文件sha256 约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_attr	否	String	参数解释：文件属性约束限制：不涉及取值范围：不涉及默认取值：不涉及

响应参数

状态码：200

**表17** 响应Body参数
参数	参数类型	描述
code	String	错误码
message	String	错误信息
data	AlertDetail object	告警详情对象

**表18** AlertDetail
参数	参数类型	描述
create_time	String	参数解释：记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
data_object	Alert object	参数解释：告警实体信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
dataclass_ref	dataclass_ref object	参数解释：数据类对象约束限制：不涉及取值范围：不涉及默认取值：不涉及
format_version	Integer	参数解释：格式版本约束限制：不涉及取值范围：不涉及默认取值：不涉及
id	String	参数解释：事件唯一标识，UUID格式，最大36个字符约束限制：不涉及取值范围：不涉及默认取值：不涉及
type	String	参数解释：数据类型（SIMULATION--告警, PLAYBOOK--剧本, MANUAL--手动触发,DATA_SOURCE--数据源）约束限制：不涉及取值范围： SIMULATION--告警 PLAYBOOK--剧本 MANUAL--手动触发 DATA_SOURCE--数据源默认取值：不涉及
project_id	String	参数解释：当前项目的id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
update_time	String	参数解释：更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
version	Integer	参数解释：版本约束限制：不涉及取值范围：不涉及默认取值：不涉及
workspace_id	String	参数解释：当前的工作空间id 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表19** Alert
参数	参数类型	描述
version	String	参数解释：告警对象的版本，该字段的值必须为云SSA服务确定的官方发布版本之一约束限制：不涉及取值范围：不涉及默认取值：不涉及
id	String	参数解释：事件唯一标识，UUID格式，最大36个字符约束限制：不涉及取值范围：不涉及默认取值：不涉及
domain_id	String	参数解释：数据投递后，被委托用户的domain_id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	String	参数解释：数据投递后，被委托用户的region_id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
workspace_id	String	参数解释：当前的工作空间id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
labels	String	参数解释：标签，仅展示约束限制：不涉及取值范围：不涉及默认取值：不涉及
environment	environment object	参数解释：告警产生的环境坐标信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
data_source	data_source object	参数解释：首次上报数据源约束限制：不涉及取值范围：不涉及默认取值：不涉及
first_observed_time	String	参数解释：首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
last_observed_time	String	参数解释：最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
create_time	String	参数解释：记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
arrive_time	String	参数解释：接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
title	String	参数解释：告警标题约束限制：不涉及取值范围：不涉及默认取值：不涉及
description	String	参数解释：告警描述信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
source_url	String	参数解释：告警URL链接，指向数据源产品中有关当前事件说明的页面约束限制：不涉及取值范围：不涉及默认取值：不涉及
count	Integer	参数解释：事件发生次数约束限制：不涉及取值范围：不涉及默认取值：不涉及
confidence	Integer	参数解释：事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。约束限制：不涉及取值范围： 0-100，0表示置信度为0%，100表示置信度为100% 默认取值：不涉及
severity	String	参数解释：严重性等级约束限制：不涉及取值范围： Tips – 未发现任何问题。 Low – 无需针对问题执行任何操作。 Medium – 问题需要处理，但不紧急。 High – 问题必须优先处理。 Fatal – 问题必须立即处理，以防止产生进一步的损害默认取值：不涉及
criticality	Integer	参数解释：关键性，是指事件涉及的资产的重要性级别。约束限制：不涉及取值范围： 0-100，0表示资产不关键，100表示最关键资产默认取值：不涉及
alert_type	alert_type object	参数解释：告警分类，详细定义参考《告警类型定义》约束限制：不涉及取值范围：不涉及默认取值：不涉及
network_list	Array of network_list objects	参数解释：网络信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
resource_list	Array of resource_list objects	参数解释：受影响资产约束限制：不涉及取值范围：不涉及默认取值：不涉及
remediation	remediation object	参数解释：补救措施约束限制：不涉及取值范围：不涉及默认取值：不涉及
verification_state	String	参数解释：验证状态，标识事件的准确性约束限制：不涉及取值范围： Unknown – 未知 True_Positive – 确认 False_Positive – 误报默认取值： Unknown
handle_status	String	参数解释：事件处理状态约束限制：不涉及取值范围： Open – 打开，默认 Block – 阻塞 Closed – 关闭默认取值： Open
sla	String	参数解释：约束闭环时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
update_time	String	参数解释：更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
close_time	String	参数解释：关闭时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
ipdrr_phase	String	参数解释：周期/处置阶段编号约束限制：不涉及取值范围： Preparation - 准备 Detection and Analysis - 检测与分析 Contain，Eradication& Recovery - 控制、清除、恢复 Post-Incident-Activity - 告警后活动默认取值：不涉及
simulation	String	参数解释：调试字段约束限制：不涉及取值范围：不涉及默认取值：不涉及
actor	String	参数解释：告警调查员约束限制：不涉及取值范围：不涉及默认取值：不涉及
owner	String	参数解释：责任人、服务责任人约束限制：不涉及取值范围：不涉及默认取值：不涉及
creator	String	参数解释：创建人约束限制：不涉及取值范围：不涉及默认取值：不涉及
close_reason	String	参数解释：关闭原因约束限制：不涉及取值范围： False detection - 误检 Resolved - 已解决 Repeated - 重复 Other - 其他默认取值：不涉及
close_comment	String	参数解释：关闭评论约束限制：不涉及取值范围：不涉及默认取值：不涉及
malware	malware object	参数解释：恶意软件约束限制：不涉及取值范围：不涉及默认取值：不涉及
system_info	Object	参数解释：系统信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
process	Array of process objects	参数解释：进程信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
user_info	Array of user_info objects	参数解释：用户信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_info	Array of file_info objects	参数解释：文件信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
system_alert_table	Object	参数解释：告警管理列表的布局字段约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表20** environment
参数	参数类型	描述
vendor_type	String	参数解释：环境供应商约束限制：不涉及取值范围：不涉及默认取值：不涉及
domain_id	String	参数解释：租户id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	String	参数解释：区域id，全局服务global 约束限制：不涉及取值范围：不涉及默认取值：不涉及
project_id	String	参数解释：项目id，全局服务默认null 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表21** data_source
参数	参数类型	描述
source_type	Integer	参数解释：数据源类型约束限制：无取值范围： 1 - 云上产品 2 - 第三方产品 3 - 租户私有产品默认取值：不涉及
domain_id	String	参数解释：数据源产品所属账号的id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
project_id	String	参数解释：数据源产品所属项目的id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	String	参数解释：数据源产品所在区域，具体取值范围查看云地区和终端节点定义约束限制：不涉及取值范围：不涉及默认取值：不涉及
company_name	String	参数解释：数据源产品所属公司的名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
product_name	String	参数解释：数据源产品的名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
product_feature	String	参数解释：产品功能特性名称，用来指明检测到当前事件的产品的功能特性约束限制：不涉及取值范围：不涉及默认取值：不涉及
product_module	String	参数解释：检测模块列表约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表22** alert_type
参数	参数类型	描述
category	String	参数解释：类别约束限制：不涉及取值范围：不涉及默认取值：不涉及
alert_type	String	参数解释：告警类型约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表23** network_list
参数	参数类型	描述
direction	String	参数解释：方向约束限制：不涉及取值范围： IN - 入方向 OUT - 出方向默认取值：不涉及
protocol	String	参数解释：协议，包含7层和4层的协议参考：IANA registered name https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml 约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_ip	String	参数解释：源IP地址约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_port	Integer	参数解释：源端口，0–65535 约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_domain	String	参数解释：源域名约束限制：不涉及取值范围：不涉及默认取值：不涉及
src_geo	src_geo object	参数解释：源IP的地理位置信息约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_ip	String	参数解释：目的IP地址约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_port	String	参数解释：目的端口，0–65535 约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_domain	String	参数解释：目的域名约束限制：不涉及取值范围：不涉及默认取值：不涉及
dest_geo	dest_geo object	参数解释：目标IP的地理位置信息约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表24** src_geo
参数	参数类型	描述
latitude	Number	参数解释：纬度约束限制：不涉及取值范围：不涉及默认取值：不涉及
longitude	Number	参数解释：经度约束限制：不涉及取值范围：不涉及默认取值：不涉及
city_code	String	参数解释：城市编码约束限制：不涉及取值范围：不涉及默认取值：不涉及
country_code	String	参数解释：国家编码，参考ISO 3166-1 alpha-2，例如：CN \| US \| DE \| IT \| SG 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表25** dest_geo
参数	参数类型	描述
latitude	Number	参数解释：纬度约束限制：不涉及取值范围：不涉及默认取值：不涉及
longitude	Number	参数解释：经度约束限制：不涉及取值范围：不涉及默认取值：不涉及
city_code	String	参数解释：城市编码约束限制：不涉及取值范围：不涉及默认取值：不涉及
country_code	String	参数解释：国家编码，参考ISO 3166-1 alpha-2，例如：CN \| US \| DE \| IT \| SG 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表26** resource_list
参数	参数类型	描述
id	String	参数解释：云服务资产id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
name	String	参数解释：资产名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
type	String	参数解释：资产类型(cloudservers;servers;vm;pm;instances;publicips;ip;website;vpcs;securityGroups;device) 约束限制：不涉及取值范围：不涉及默认取值：不涉及
provider	String	参数解释：云服务名称；引用云RMS provider字段约束限制：不涉及取值范围：不涉及默认取值：不涉及
region_id	String	参数解释：区域；按照云regionId填写约束限制：不涉及取值范围：不涉及默认取值：不涉及
domain_id	String	参数解释：资产所属账号ID，UUID格式约束限制：不涉及取值范围：不涉及默认取值：不涉及
project_id	String	参数解释：资产所属项目ID，UUID格式约束限制：不涉及取值范围：不涉及默认取值：不涉及
ep_id	String	参数解释：企业项目id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
ep_name	String	参数解释：企业项目名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
tags	Object	参数解释：资产标签 1、最多50个key/values对 2、values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ 约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表27** remediation
参数	参数类型	描述
recommendation	String	参数解释：推荐处理方法约束限制：不涉及取值范围：不涉及默认取值：不涉及
url	String	参数解释：链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表28** malware
参数	参数类型	描述
malware_family	String	参数解释：恶意家族约束限制：不涉及取值范围：不涉及默认取值：不涉及
malware_class	String	参数解释：恶意软件分类约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表29** process
参数	参数类型	描述
process_name	String	参数解释：进程名约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_path	String	参数解释：进程执行文件路径约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_pid	Integer	参数解释：进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_uid	Integer	参数解释：进程用户id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_cmdline	String	参数解释：进程命令行约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_name	String	参数解释：父进程名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_path	String	参数解释：父进程执行文件路径约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_pid	Integer	参数解释：父进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_uid	Integer	参数解释：父进程用户id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_parent_cmdline	String	参数解释：父进程命令行约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_name	String	参数解释：子进程名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_path	String	参数解释：子进程执行文件路径约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_pid	Integer	参数解释：子进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_uid	Integer	参数解释：子进程id 约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_child_cmdline	String	参数解释：子进程命令行约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_launche_time	String	参数解释：进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及
process_terminate_time	String	参数解释：进程结束时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表30** user_info
参数	参数类型	描述
user_id	String	参数解释：用户uid 约束限制：不涉及取值范围：不涉及默认取值：不涉及
user_name	String	参数解释：用户名称约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表31** file_info
参数	参数类型	描述
file_path	String	参数解释：文件路径/名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_content	String	参数解释：文件内容约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_new_path	String	参数解释：文件新路径/名称约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_hash	String	参数解释：文件hash 约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_md5	String	参数解释：文件md5 约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_sha256	String	参数解释：文件sha256 约束限制：不涉及取值范围：不涉及默认取值：不涉及
file_attr	String	参数解释：文件属性约束限制：不涉及取值范围：不涉及默认取值：不涉及

**表32** dataclass_ref
参数	参数类型	描述
id	String	参数解释：数据类唯一标识，UUID格式，最大36个字符约束限制：不涉及取值范围：不涉及默认取值：不涉及
name	String	参数解释：数据类名称约束限制：不涉及取值范围：不涉及默认取值：不涉及

状态码：400

**表33** 响应Body参数
参数	参数类型	描述
code	String	参数解释: 错误码约束限制: 不涉及取值范围: 长度为0-64个字符默认取值: 不涉及
message	String	参数解释: 错误描述约束限制: 不涉及取值范围: 长度为0-1024个字符默认取值: 不涉及

请求示例

更新两条告警的严重等级为High。

https://{endpoint}/v1/{project_id}/workspaces/{workspace_id}/soc/alerts/batch-update

{
  "data_object" : {
    "severity" : "High"
  },
  "batch_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f", "909494e3-558e-46b6-a9eb-07a8e18ca62g" ]
}

响应示例

状态码：200

批量更新告警返回body体

{
  "code" : "00000000",
  "message" : "message",
  "data" : {
    "data_object" : {
      "severity" : "High"
    },
    "create_time" : "2021-01-07T12:20:38.861Z+0800",
    "update_time" : "2021-01-07T12:20:38.861Z+0800",
    "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f",
    "workspace_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f",
    "id" : "",
    "version" : 0,
    "format_version" : 0,
    "dataclass_ref" : {
      "id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f",
      "name" : "Alert"
    }
  }
}

SDK代码示例

SDK代码示例如下。

更新两条告警的严重等级为High。

     package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.secmaster.v1.region.SecMasterRegion;
import com.huaweicloud.sdk.secmaster.v1.*;
import com.huaweicloud.sdk.secmaster.v1.model.*;

import java.util.List;
import java.util.ArrayList;

public class ChangeAlertsSolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");
        String projectId = "{project_id}";

        ICredential auth = new BasicCredentials()
                .withProjectId(projectId)
                .withAk(ak)
                .withSk(sk);

        SecMasterClient client = SecMasterClient.newBuilder()
                .withCredential(auth)
                .withRegion(SecMasterRegion.valueOf("<YOUR REGION>"))
                .build();
        ChangeAlertsRequest request = new ChangeAlertsRequest();
        request.withWorkspaceId("{workspace_id}");
        BatchChangeAlertRequestBody body = new BatchChangeAlertRequestBody();
        Alert dataObjectbody = new Alert();
        dataObjectbody.withSeverity(Alert.SeverityEnum.fromValue("High"));
        List<String> listbodyBatchIds = new ArrayList<>();
        listbodyBatchIds.add("909494e3-558e-46b6-a9eb-07a8e18ca62f");
        listbodyBatchIds.add("909494e3-558e-46b6-a9eb-07a8e18ca62g");
        body.withDataObject(dataObjectbody);
        body.withBatchIds(listbodyBatchIds);
        request.withBody(body);
        try {
            ChangeAlertsResponse response = client.changeAlerts(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}
 
 
  

更新两条告警的严重等级为High。

     # coding: utf-8

import os
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdksecmaster.v1.region.secmaster_region import SecMasterRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdksecmaster.v1 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = os.environ["CLOUD_SDK_AK"]
    sk = os.environ["CLOUD_SDK_SK"]
    projectId = "{project_id}"

    credentials = BasicCredentials(ak, sk, projectId)

    client = SecMasterClient.new_builder() \
        .with_credentials(credentials) \
        .with_region(SecMasterRegion.value_of("<YOUR REGION>")) \
        .build()

    try:
        request = ChangeAlertsRequest()
        request.workspace_id = "{workspace_id}"
        dataObjectbody = Alert(
            severity="High"
        )
        listBatchIdsbody = [
            "909494e3-558e-46b6-a9eb-07a8e18ca62f",
            "909494e3-558e-46b6-a9eb-07a8e18ca62g"
        ]
        request.body = BatchChangeAlertRequestBody(
            data_object=dataObjectbody,
            batch_ids=listBatchIdsbody
        )
        response = client.change_alerts(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)
 
 
  

更新两条告警的严重等级为High。

     package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/basic"
    secmaster "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/secmaster/v1"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/secmaster/v1/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/secmaster/v1/region"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")
    projectId := "{project_id}"

    auth, err := basic.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        WithProjectId(projectId).
        SafeBuild()

    if err != nil {
        fmt.Println(err)
        return
    }

    hcClient, err := secmaster.SecMasterClientBuilder().
         WithRegion(region.ValueOf("<YOUR REGION>")).
         WithCredential(auth).
         SafeBuild()


    if err != nil {
        fmt.Println(err)
        return
    }

    client := secmaster.NewSecMasterClient(hcClient)

    request := &model.ChangeAlertsRequest{}
	request.WorkspaceId = "{workspace_id}"
	severityDataObject:= model.GetAlertSeverityEnum().HIGH
	dataObjectbody := &model.Alert{
		Severity: &severityDataObject,
	}
	var listBatchIdsbody = []string{
        "909494e3-558e-46b6-a9eb-07a8e18ca62f",
	    "909494e3-558e-46b6-a9eb-07a8e18ca62g",
    }
	request.Body = &model.BatchChangeAlertRequestBody{
		DataObject: dataObjectbody,
		BatchIds: listBatchIdsbody,
	}
	response, err := client.ChangeAlerts(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}
 
 
  

更多编程语言的SDK代码示例，请参见API Explorer的代码示例页签，可生成自动对应的SDK代码示例。

状态码

状态码	描述
200	批量更新告警返回body体
400	批量更新告警错误返回body体

错误码

请参见错误码。

父主题：告警管理

上一篇：更新告警 - ChangeAlert

下一篇：批量删除告警 - DeleteAlerts

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

云宝助手提问云社区提问

批量更新告警 - ChangeAlerts

功能介绍

调用方法

授权信息

URI

请求参数

响应参数

请求示例

响应示例

SDK代码示例

状态码

错误码

相关文档

意见反馈

文档内容是否对您有帮助？