Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Host Security Service/ Referencia de la API/ Descripción de la API/ Detección de intrusiones/ Consulta de la lista de intrusiones detectadas
Actualización más reciente 2022-12-29 GMT+08:00
Ver PDF
Compartir

Consulta de la lista de intrusiones detectadas

Función

Esta API se utiliza para consultar la lista de intrusión detectada.

URI

GET /v5/{project_id}/event/events

Tabla 1 Parámetros de path

Parámetro

Obligatorio

Tipo

Descripción

project_id

String

ID del proyecto del inquilino

Mínimo: 1

Máximo: 256
Tabla 2 Parámetros de Query

Parámetro

Obligatorio

Tipo

Descripción

enterprise_project_id

No

String

ID de proyecto de empresa de un inquilino

Predeterminado: 0

Mínimo: 1

Máximo: 256

last_days

No

Integer

Número de días a consultar. Este parámetro es mutuamente excluyente con begin_time y end_time.

Mínimo: 1

Máximo: 30

host_name

No

String

Nombre del servidor

host_id

No

String

ID del servidor

private_ip

No

String

Dirección IP del servidor

container_name

No

String

Nombre del contenedor

offset

No

Integer

Desfase, que especifica la posición inicial del registro que se va a devolver. El valor debe ser un número no menor que 0. El valor predeterminado es 0.

Mínimo: 0

Máximo: 100000

Predeterminado: 0

limit

No

Integer

Número de registros mostrados en cada página

Mínimo: 10

Máximo: 200

Predeterminado: 10

event_types

No

Array

Tipo de intrusión. Las opciones son las siguientes:

  • 1001: Malware
  • 1010: Rootkit
  • 1011: Ransomware
  • 1015: Web shell
  • 1017: Reverse shell
  • 2001: Explotación de vulnerabilidades comunes
  • 3002: escalada de privilegios de archivo
  • 3003: Escalada de privilegios de proceso
  • 3004: Cambio importante de archivo
  • 3005: Cambio de archivo/directorio
  • 3007: Comportamiento del proceso anormal
  • 3015: Ejecución de comandos de alto riesgo
  • 3018: Abnormal shell
  • 3027: Tareas crontab sospechosas
  • 4002: Ataque de fuerza bruta
  • 4004: Inicio de sesión anormal
  • 4006: Cuenta del sistema no válida

Mínimo: 1000

Máximo: 30000

handle_status

No

String

Estado. Las opciones son las siguientes:

  • unhandled
  • handled

Mínimo: 1

Máximo: 32

severity

No

String

Nivel de amenaza. Las opciones son las siguientes:

  • Security
  • Low
  • Medium
  • High
  • Critical

Mínimo: 1

Máximo: 32

category

String

Categoría de evento. Las opciones son las siguientes:

  • host: evento de seguridad del host
  • contenedor: evento de seguridad de contenedor

Mínimo: 0

Máximo: 32

begin_time

No

String

Hora de inicio personalizada de un segmento. La marca de tiempo es precisa en segundos. El begin_time no debe ser más de dos días antes que el end_time. Este parámetro es mutuamente excluyente con la duración consultada.

Mínimo: 13

Máximo: 13

end_time

No

String

Hora de finalización personalizada de un segmento. La marca de tiempo es precisa en segundos. El begin_time no debe ser más de dos días antes que el end_time. Este parámetro es mutuamente excluyente con la duración consultada.

Mínimo: 13

Máximo: 13

Parámetros de solicitud

Tabla 3 Parámetros de encabezado de solicitud

Parámetro

Obligatorio

Tipo

Descripción

x-auth-token

String

Token de usuario. Se puede obtener llamando a la API de IAM utilizada para obtener un token de usuario. El valor de X-Subject-Token en el encabezado de respuesta es un token.

Mínimo: 1

Máximo: 32768

region

String

id de región

Mínimo: 0

Máximo: 128

Parámetros de respuesta

Código de estado: 200

Tabla 4 Parámetros de body de respuesta

Parámetro

Tipo

Descripción

total_num

Integer

Cantidad total

data_list

Array of EventManagementResponseInfo objects

Lista de eventos
Tabla 5 EventManagementResponseInfo

Parámetro

Tipo

Descripción

event_id

String

ID del evento

event_class_id

String

Categoría de evento. Las opciones son las siguientes:

  • container_1001: Espacio de nombres de contenedor
  • container_1002: Puerto abierto del contenedor
  • container_1003: Opción de seguridad del contenedor
  • container_1004: Directorio de montaje de contenedores
  • containerescape_0001: Llamada al sistema de alto riesgo
  • containerescape_0002: Shocker attack
  • containerescape_0003: Dirty Cow attack
  • containerescape_0004: Escape de archivo contenedor
  • dockerfile_001: Modificación del archivo contenedor protegido definido por el usuario
  • dockerfile_002: Modificación de archivos ejecutables en el sistema de archivos contenedor
  • dockerproc_001: Proceso anormal del contenedor
  • fileprotect_0001: escalada de privilegios de archivo
  • fileprotect_0002: Cambio de archivo clave
  • fileprotect_0003: cambio de ruta de acceso de AuthorizedKeysFile
  • fileprotect_0004: Cambio de directorio de archivo
  • login_0001: Intento de ataque de fuerza bruta
  • login_0002: Ataque de fuerza bruta realizado correctamente
  • login_1001: Inicio de sesión exitoso
  • login_1002: Inicio de sesión remoto
  • login_1003: Contraseña débil
  • malware_0001: Cambio de Shell
  • malware_0002: shell inverso
  • malware_1001: Programa malicioso
  • procdet_0001: Comportamiento anormal del proceso
  • procdet_0002: escalada de privilegios de proceso
  • procreport_0001: comando de alto riesgo
  • user_1001: Cambio de cuenta
  • user_1002: Cuenta insegura
  • vmescape_0001: Comando sensible ejecutado en la máquina virtual
  • vmescape_0002: Archivo sensible al que se accede mediante el proceso de virtualización
  • vmescape_0003: acceso a un puerto de máquina virtual anormal
  • webshell_0001: Web shell
  • network_1001: Minería
  • network_1002: ataques DDoS
  • network_1003: Análisis malicioso
  • network_1004: Ataque en zonas sensibles
  • crontab_1001: tarea crontab sospechosa

event_type

Integer

Tipo de intrusión. Las opciones son las siguientes:

  • 1001: Malware
  • 1010: Rootkit
  • 1011: Ransomware
  • 1015: Web shell
  • 1017: Reverse shell
  • 2001: Explotación de vulnerabilidad común
  • 3002: escalada de privilegios de archivo
  • 3003: Escalada de privilegios de proceso
  • 3004: Cambio importante de archivo
  • 3005: Cambio de archivo/directorio
  • 3007: Comportamiento del proceso anormal
  • 3015: Ejecución de comandos de alto riesgo
  • 3018: Abnormal shell
  • 3027: Tareas crontab sospechosas
  • 4002: Ataque de fuerza bruta
  • 4004: Inicio de sesión anormal
  • 4006: Cuenta del sistema no válida

event_name

String

Nombre del evento

severity

String

Nivel de amenaza. Las opciones son las siguientes:

  • Seguridad
  • Low
  • Medium
  • High
  • Critical

container_name

String

Nombre de instancia de contenedor

image_name

String

Nombre de la imagen

host_name

String

Nombre del servidor

host_id

String

ID del servidor

private_ip

String

Dirección IP privada del servidor

public_ip

String

Dirección IP elástica

attack_phase

String

Fase de ataque. Las opciones son las siguientes:

  • reconnaissance
  • weaponization
  • delivery
  • exploit
  • installation
  • command_and_control
  • actions

attack_tag

String

Etiqueta de ataque. Las opciones son las siguientes:

  • attack_success
  • attack_attempt
  • attack_blocked
  • abnormal_behavior
  • collapsible_host
  • system_vulnerability

occur_time

Integer

Tiempo de ocurrencia, exacto a milisegundos.

handle_time

Integer

Tiempo de manejo, exacto en milisegundos.

handle_status

String

Estado de procesamiento. Las opciones son las siguientes:

  • unhandled
  • handled

handle_method

String

Método de manejo. Las opciones son las siguientes:

  • mark_as_handled
  • ignore
  • add_to_alarm_whitelist
  • add_to_login_whitelist
  • isolate_and_kill

handler

String

Observaciones para el manejo manual

operate_accept_list

Array of strings

Operación de procesamiento compatible

operate_detail_list

Array of EventDetailResponseInfo objects

Lista de detalles de operación (no se muestra en la página)

forensic_info

Object

Información de ataque, en formato JSON.

resource_info

EventResourceResponseInfo object

Información del recurso

geo_info

Object

Ubicación geográfica, en formato JSON.

malware_info

Object

Información de malware, en formato JSON.

network_info

Object

Información de red, en formato JSON.

app_info

Object

Información de la aplicación, en formato JSON.

system_info

Object

Información del sistema, en formato JSON.

recommendation

String

Sugerencias sobre el manejo

process_info_list

Array of EventProcessResponseInfo objects

Lista de información de proceso

user_info_list

Array of EventUserResponseInfo objects

Lista de información de usuario

file_info_list

Array of EventFileResponseInfo objects

Lista de información de archivos
Tabla 6 EventDetailResponseInfo

Parámetro

Tipo

Descripción

agent_id

String

ID de agente

process_pid

Integer

ID de proceso

is_parent

Boolean

Si un proceso es un proceso de principales

file_hash

String

Hash de archivo

file_path

String

Ruta del archivo

file_attr

String

Atributo de archivo

private_ip

String

Dirección IP privada del servidor

login_ip

String

Dirección IP de origen de inicio de sesión

login_user_name

String

Iniciar sesión nombre de usuario
Tabla 7 EventResourceResponseInfo

Parámetro

Tipo

Descripción

domain_id

String

ID de cuenta del inquilino

project_id

String

ID del proyecto

enterprise_project_id

String

ID del proyecto empresarial

region_name

String

Nombre de la región

vpc_id

String

VPC ID

cloud_id

String

ECS ID

vm_name

String

Nombre de la VM

vm_uuid

String

VM UUID

container_id

String

ID del contenedor

image_id

String

ID de imagen

image_name

String

Nombre de la imagen

host_attr

String

Atributo de host

service

String

Servicio

micro_service

String

Microservicio

sys_arch

String

Arquitectura de CPU del sistema

os_bit

String

Versión del bit del sistema operativo

os_type

String

Tipo de sistema operativo

os_name

String

Nombre del sistema operativo

os_version

String

Versión del sistema operativo
Tabla 8 EventProcessResponseInfo

Parámetro

Tipo

Descripción

process_name

String

Nombre del proceso

process_path

String

Ruta del archivo de proceso

process_pid

Integer

ID de proceso

Mínimo: 0

Máximo: 2147483647

process_uid

Integer

ID de usuario de proceso

Mínimo: 0

Máximo: 2147483647

process_username

String

Nombre de usuario del proceso

process_cmdline

String

Línea de comandos del archivo de proceso

process_filename

String

Nombre de archivo de proceso

process_start_time

Long

Hora de inicio del proceso

Mínimo: 0

Máximo: 9223372036854775807

process_gid

Integer

ID de grupo de proceso

Mínimo: 0

Máximo: 2147483647

process_egid

Integer

ID de grupo de procesos válido

Mínimo: 0

Máximo: 2147483647

process_euid

Integer

ID de usuario de proceso válido

Mínimo: 0

Máximo: 2147483647

parent_process_name

String

Nombre del proceso principal

parent_process_path

String

Ruta del archivo de proceso principal

parent_process_pid

Integer

ID de proceso principal

Mínimo: 0

Máximo: 2147483647

parent_process_uid

Integer

ID de usuario del proceso principal

Mínimo: 0

Máximo: 2147483647

parent_process_cmdline

String

Línea de comandos del archivo de proceso principal

parent_process_filename

String

Nombre de archivo de proceso principal

parent_process_start_time

Long

Hora de inicio del proceso principal

Mínimo: 0

Máximo: 9223372036854775807

parent_process_gid

Integer

ID de grupo de proceso principal

Mínimo: 0

Máximo: 2147483647

parent_process_egid

Integer

ID de grupo de proceso principal válido

Mínimo: 0

Máximo: 2147483647

parent_process_euid

Integer

ID de usuario de proceso principal válido

Mínimo: 0

Máximo: 2147483647

child_process_name

String

Nombre del subproceso

child_process_path

String

Ruta del archivo de subproceso

child_process_pid

Integer

ID de subproceso

Mínimo: 0

Máximo: 2147483647

child_process_uid

Integer

ID de usuario de subproceso

Mínimo: 0

Máximo: 2147483647

child_process_cmdline

String

Línea de comandos del archivo de subproceso

child_process_filename

String

Nombre de archivo de subproceso

child_process_start_time

Long

Hora de inicio del subproceso

Mínimo: 0

Máximo: 9223372036854775807

child_process_gid

Integer

ID de grupo de subprocesos

Mínimo: 0

Máximo: 2147483647

child_process_egid

Integer

Id. de grupo de subprocesos válido

Mínimo: 0

Máximo: 2147483647

child_process_euid

Integer

ID de usuario de subproceso válido

Mínimo: 0

Máximo: 2147483647

virt_cmd

String

Comando de virtualización

virt_process_name

String

Nombre del proceso de virtualización

escape_mode

String

Modo de escape

escape_cmd

String

Comandos ejecutados después del escape

process_hash

String

Procesar el hash del archivo de inicio
Tabla 9 EventUserResponseInfo

Parámetro

Tipo

Descripción

user_id

Integer

UID de usuario

Mínimo: 0

Máximo: 2147483647

user_gid

Integer

GID de usuario

Mínimo: 0

Máximo: 2147483647

user_name

String

Nombre de usuario

user_group_name

String

Nombre del grupo de usuarios

user_home_dir

String

Directorio principal del usuario

login_ip

String

Dirección IP de inicio de sesión del usuario

service_type

String

Tipo de servicio de inicio de sesión

service_port

Integer

Puerto de servicio de inicio de sesión

Mínimo: 0

Máximo: 2147483647

login_mode

Integer

modo de inicio de sesión

Mínimo: 0

Máximo: 2147483647

login_last_time

Long

Hora del último inicio de sesión

Mínimo: 0

Máximo: 9223372036854775807

login_fail_count

Integer

Cantidad de intentos fallidos de inicio de sesión

Mínimo: 0

Máximo: 2147483647

pwd_hash

String

Hash de contraseña

pwd_with_fuzzing

String

Contraseña enmascarada

pwd_used_days

Integer

Vigencia de la contraseña (días)

Mínimo: 0

Máximo: 2147483647

pwd_min_days

Integer

Período mínimo de validez de la contraseña

Mínimo: 0

Máximo: 2147483647

pwd_max_days

Integer

Período máximo de validez de la contraseña

Mínimo: 0

Máximo: 2147483647

pwd_warn_left_days

Integer

Advertencia anticipada de caducidad de la contraseña (días)

Mínimo: 0

Máximo: 2147483647
Tabla 10 EventFileResponseInfo

Parámetro

Tipo

Descripción

file_path

String

Ruta del archivo

file_alias

String

Alias de archivo

file_size

Integer

Tamaño del archivo

Mínimo: 0

Máximo: 2147483647

file_mtime

Long

Hora en la que se modificó por última vez un archivo

Mínimo: 0

Máximo: 9223372036854775807

file_atime

Long

Hora en la que se accedió por última vez a un archivo

Mínimo: 0

Máximo: 9223372036854775807

file_ctime

Long

Hora en la que se cambió por última vez el estado de un archivo

Mínimo: 0

Máximo: 9223372036854775807

file_hash

String

Hash de archivo

file_md5

String

Archivo MD5

file_sha256

String

Archivo SHA256

file_type

String

Tipo de archivo

file_content

String

Contenido del archivo

file_attr

String

Atributo de archivo

file_operation

Integer

Tipo de operación de archivo

Mínimo: 0

Máximo: 2147483647

file_action

String

Acción de archivo

file_change_attr

String

Atributo Antiguo/Nuevo

file_new_path

String

Nueva ruta de archivo

file_desc

String

Descripción del archivo

file_key_word

String

Palabra clave de archivo

is_dir

Boolean

Si se trata de un directorio

fd_info

String

Información de manejo de archivo

fd_count

Integer

Número de identificadores de archivo

Mínimo: 0

Máximo: 2147483647

Solicitudes de ejemplo

Ninguno

Ejemplo de respuestas

Ninguno

Códigos de estado

Código de estado

Descripción

200

Respuesta exitosa

Códigos de error

Consulte Códigos de error.

Tema principal: Detección de intrusiones