Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda> Host Security Service (New)> Referência de API> Detecção de intrusão> Consulta da lista de intrusões detectadas

Atualizado em 2022-12-29 GMT+08:00

Ver PDF

Consulta da lista de intrusões detectadas

Função

Essa API é usada para consultar a lista de intrusões detectadas.

URI

GET /v5/{project_id}/event/events

**Tabela 1** Parâmetros de caminho
Parâmetro	Obrigatório	Tipo	Descrição
project_id	Sim	String	ID do projeto do locatário Mínimo: 1 Máximo: 256

**Tabela 2** Parâmetros de consulta
Parâmetro	Obrigatório	Tipo	Descrição
enterprise_project_id	Não	String	ID do projeto empresarial de um locatário Padrão: 0 Mínimo: 1 Máximo: 256
last_days	Não	Integer	Número de dias a serem consultados. Este parâmetro é mutuamente exclusivo com begin_time e end_time. Mínimo: 1 Máximo: 30
host_name	Não	String	Nome do servidor
host_id	Não	String	ID do servidor
private_ip	Não	String	Endereço IP do servidor
container_name	Não	String	Nome do container
offset	Não	Integer	Deslocamento, que especifica a posição inicial do registro a ser retornado. O valor deve ser um número não menor que 0. O valor padrão é 0. Mínimo: 0 Máximo: 100000 Padrão: 0
limit	Não	Integer	Número de registros exibidos em cada página Mínimo: 10 Máximo: 200 Padrão: 10
event_types	Não	Array	Tipo de intrusão. As opções são as seguintes: 1001: Malware 1010: Rootkit 1011: Ransomware 1015: Web shell 1017: Reverse shell 2001: Common vulnerability exploit 3002: File privilege escalation 3003: Process privilege escalation 3004: Important file change 3005: File/Directory change 3007: Abnormal process behavior 3015: High-risk command execution 3018: Abnormal shell 3027: Suspicious crontab tasks 4002: Brute-force attack 4004: Abnormal login 4006: Invalid system account Mínimo: 1000 Máximo: 30000
handle_status	Não	String	Estado. As opções são as seguintes: unhandled handled Mínimo: 1 Máximo: 32
severity	Não	String	Nível de ameaça. As opções são as seguintes: Security Low Medium High Critical Mínimo: 1 Máximo: 32
category	Sim	String	Categoria do evento. As opções são as seguintes: host: evento de segurança do host container: evento de segurança do container Mínimo: 0 Máximo: 32
begin_time	Não	String	Hora de início personalizada de um segmento. O timestamp é preciso em segundos. O begin_time não deve ser mais do que dois dias antes do end_time. Este parâmetro é mutuamente exclusivo com a duração consultada. Mínimo: 13 Máximo: 13
end_time	Não	String	Hora final personalizada de um segmento. O timestamp é preciso em segundos. O begin_time não deve ser mais do que dois dias antes do end_time. Este parâmetro é mutuamente exclusivo com a duração consultada. Mínimo: 13 Máximo: 13

Solicitação dos parâmetros

**Tabela 3** Parâmetros de cabeçalho de solicitação
Parâmetro	Obrigatório	Tipo	Descrição
x-auth-token	Sim	String	Token do usuário. Ele pode ser obtido chamando a API do IAM usada para obter um token de usuário. O valor de X-Subject-Token no cabeçalho da resposta é um token. Mínimo: 1 Máximo: 32768
region	Sim	String	id da região Mínimo: 0 Máximo: 128

Parâmetros de resposta

Código de estado: 200

**Tabela 4** Parâmetros do corpo de resposta
Parâmetro	Tipo	Descrição
total_num	Integer	Número total
data_list	Array of EventManagementResponseInfo objects	Lista de eventos

**Tabela 5** EventManagementResponseInfo
Parâmetro	Tipo	Descrição
event_id	String	ID do evento
event_class_id	String	Categoria do evento. As opções são as seguintes: container_1001: namespace do container container_1002: porta aberta do container container_1003: opção de segurança de container container_1004: diretório raiz do container containerescape_0001: chamada de sistema de alto risco containerescape_0002: ataque de Shocker containerescape_0003: ataque de Dirty Cow containerescape_0004: escape do arquivo do container dockerfile_001: modificação do arquivo de container protegido definido pelo usuário dockerfile_002: modificação de arquivos executáveis no sistema de arquivos container dockerproc_001: processo de container anormal fileprotect_0001: escalação de privilégio de arquivo fileprotect_0002: alteração do arquivo de chave fileprotect_0003: authorizedKeysFile mudança de caminho fileprotect_0004: alteração do diretório de arquivos login_0001: tentativa de ataque com força bruta login_0002: ataque de força bruta foi bem sucedido login_1001: login bem-sucedido login_1002: login remoto login_1003: senha fraca malware_0001: mudança de shell malware_0002: shell reverso malware_1001: programa malicioso procdet_0001: comportamento anormal do processo procdet_0002: escalação de privilégio do processo procreport_0001: comando de alto risco user_1001: alteração de conta user_1002: conta insegura vmescape_0001: comando sensível executado na VM vmescape_0002: arquivo sensível acessado pelo processo de virtualização vmescape_0003: acesso anormal à porta VM webshell_0001: webshell network_1001: mineração network_1002: ataques DDoS network_1003: varredura maliciosa network_1004: ataque em áreas sensíveis crontab_1001: tarefa suspeita do crontab
event_type	Integer	Tipo de intrusão. As opções são as seguintes: 1001: Malware 1010: Rootkit 1011: Ransomware 1015: Web shell 1017: Reverse shell 2001: Common vulnerability exploit 3002: File privilege escalation 3003: Process privilege escalation 3004: Important file change 3005: File/Directory change 3007: Abnormal process behavior 3015: High-risk command execution 3018: Abnormal shell 3027: Suspicious crontab tasks 4002: Brute-force attack 4004: Abnormal login 4006: Invalid system account
event_name	String	Nome do evento
severity	String	Nível de ameaça. As opções são as seguintes: Security Low Medium High Critical
container_name	String	Nome da instância do container
image_name	String	Nomes das imagens
host_name	String	Nome do servidor
host_id	String	ID do servidor
private_ip	String	Endereço IP privado do servidor
public_ip	String	Endereço IP elástico
attack_phase	String	Fase de ataque. As opções são as seguintes: reconnaissance weaponization delivery exploit installation command_and_control actions
attack_tag	String	Tag de ataque. As opções são as seguintes: attack_success attack_attempt attack_blocked abnormal_behavior collapsible_host system_vulnerability
occur_time	Integer	Tempo de ocorrência, com precisão de milissegundos.
handle_time	Integer	Tempo de manuseio, com precisão de milissegundos.
handle_status	String	Status de processamento. As opções são as seguintes: não tratado manipulado
handle_method	String	Método de manipulação. As opções são as seguintes: mark_as_handled ignore add_to_alarm_whitelist add_to_login_whitelist isolate_and_kill
handler	String	Observações para manuseio manual
operate_accept_list	Array of strings	Operação de processamento suportada
operate_detail_list	Array of EventDetailResponseInfo objects	Lista de detalhes da operação (não exibida na página)
forensic_info	Object	Informações de ataque, em formato JSON.
resource_info	EventResourceResponseInfo object	Informações sobre o recurso
geo_info	Object	Localização geográfica, em formato JSON.
malware_info	Object	Informações de malware, em formato JSON.
network_info	Object	Informações de rede, em formato JSON.
app_info	Object	Informação da aplicação, em formato JSON.
system_info	Object	Informações do sistema, em formato JSON.
recommendation	String	Manipulação de sugestões
process_info_list	Array of EventProcessResponseInfo objects	Lista de informações do processo
user_info_list	Array of EventUserResponseInfo objects	Lista de informações do usuário
file_info_list	Array of EventFileResponseInfo objects	Lista de informações do arquivo

**Tabela 6** EventDetailResponseInfo
Parâmetro	Tipo	Descrição
agent_id	String	ID do agente
process_pid	Integer	ID do processo
is_parent	Boolean	Se um processo é um processo pai
file_hash	String	Hash de arquivo
file_path	String	Caminho do arquivo
file_attr	String	Atributo de arquivo
private_ip	String	Endereço IP privado do servidor
login_ip	String	Endereço IP de origem de login
login_user_name	String	Nome de usuário de login

**Tabela 7** EventResourceResponseInfo
Parâmetro	Tipo	Descrição
domain_id	String	ID da conta do inquilino
project_id	String	ID do projeto
enterprise_project_id	String	ID do projeto empresarial
region_name	String	Nome da região
vpc_id	String	ID de VPC
cloud_id	String	ID do ECS
vm_name	String	Nome da VM
vm_uuid	String	UUID da VM
container_id	String	ID do container
image_id	String	ID da imagem
image_name	String	Nomes das imagens
host_attr	String	Atributo do host
service	String	Serviço
micro_service	String	Microsserviço
sys_arch	String	Arquitetura da CPU do sistema
os_bit	String	Versão de bits do SO
os_type	String	Tipo de SO
os_name	String	Nome do SO
os_version	String	Versão de SO

**Tabela 8** EventProcessResponseInfo
Parâmetro	Tipo	Descrição
process_name	String	Nome do processo
process_path	String	Caminho do arquivo de processo
process_pid	Integer	ID do processo Mínimo: 0 Máximo: 2147483647
process_uid	Integer	ID do usuário do processo Mínimo: 0 Máximo: 2147483647
process_username	String	Nome de usuário do processo
process_cmdline	String	Linha de comando do arquivo de processo
process_filename	String	Nome do arquivo do processo
process_start_time	Long	Hora de início do processo Mínimo: 0 Máximo: 9223372036854775807
process_gid	Integer	ID do grupo de processos Mínimo: 0 Máximo: 2147483647
process_egid	Integer	ID de grupo de processos válido Mínimo: 0 Máximo: 2147483647
process_euid	Integer	ID de usuário do processo válido Mínimo: 0 Máximo: 2147483647
parent_process_name	String	Nome do processo pai
parent_process_path	String	Caminho do arquivo do processo pai
parent_process_pid	Integer	ID do processo pai Mínimo: 0 Máximo: 2147483647
parent_process_uid	Integer	ID de usuário do processo pai Mínimo: 0 Máximo: 2147483647
parent_process_cmdline	String	Linha de comando do arquivo do processo pai
parent_process_filename	String	Nome do arquivo do processo pai
parent_process_start_time	Long	Hora de início do processo pai Mínimo: 0 Máximo: 9223372036854775807
parent_process_gid	Integer	ID do grupo de processos pai Mínimo: 0 Máximo: 2147483647
parent_process_egid	Integer	ID válida do grupo de processos pai Mínimo: 0 Máximo: 2147483647
parent_process_euid	Integer	ID de usuário válido do processo pai Mínimo: 0 Máximo: 2147483647
child_process_name	String	Nome do subprocesso
child_process_path	String	Caminho do arquivo do subprocesso
child_process_pid	Integer	ID do subprocesso Mínimo: 0 Máximo: 2147483647
child_process_uid	Integer	ID do usuário do subprocesso Mínimo: 0 Máximo: 2147483647
child_process_cmdline	String	Linha de comando do arquivo do subprocesso
child_process_filename	String	Nome do arquivo do subprocesso
child_process_start_time	Long	Hora de início do subprocesso Mínimo: 0 Máximo: 9223372036854775807
child_process_gid	Integer	ID do grupo de subprocessos Mínimo: 0 Máximo: 2147483647
child_process_egid	Integer	ID válida do grupo de subprocessos Mínimo: 0 Máximo: 2147483647
child_process_euid	Integer	ID de usuário de subprocesso válido Mínimo: 0 Máximo: 2147483647
virt_cmd	String	comando Virtualização
virt_process_name	String	Nome do processo de virtualização
escape_mode	String	Modo de escape
escape_cmd	String	Comandos executados após a fuga
process_hash	String	Processar hash do arquivo de inicialização

**Tabela 9** EventUserResponseInfo
Parâmetro	Tipo	Descrição
user_id	Integer	UID do usuário Mínimo: 0 Máximo: 2147483647
user_gid	Integer	GID do usuário Mínimo: 0 Máximo: 2147483647
user_name	String	Nome de usuário
user_group_name	String	Nome do grupo de usuários
user_home_dir	String	Diretório home do usuário
login_ip	String	Endereço IP de login do usuário
service_type	String	Tipo de serviço de login
service_port	Integer	Porta de serviço de login Mínimo: 0 Máximo: 2147483647
login_mode	Integer	Modo de acesso Mínimo: 0 Máximo: 2147483647
login_last_time	Long	Hora do último login Mínimo: 0 Máximo: 9223372036854775807
login_fail_count	Integer	Número de tentativas de login com falha Mínimo: 0 Máximo: 2147483647
pwd_hash	String	Hash de senha
pwd_with_fuzzing	String	Palavra-passe mascarada
pwd_used_days	Integer	Idade da senha (dias) Mínimo: 0 Máximo: 2147483647
pwd_min_days	Integer	Período mínimo de validade da senha Mínimo: 0 Máximo: 2147483647
pwd_max_days	Integer	Período máximo de validade da senha Mínimo: 0 Máximo: 2147483647
pwd_warn_left_days	Integer	Aviso prévio de expiração da senha (dias) Mínimo: 0 Máximo: 2147483647

**Tabela 10** EventFileResponseInfo
Parâmetro	Tipo	Descrição
file_path	String	Caminho do arquivo
file_alias	String	Alias do arquivo
file_size	Integer	Tamanho do arquivo Mínimo: 0 Máximo: 2147483647
file_mtime	Long	Hora em que um arquivo foi modificado pela última vez Mínimo: 0 Máximo: 9223372036854775807
file_atime	Long	Hora em que um arquivo foi acessado pela última vez Mínimo: 0 Máximo: 9223372036854775807
file_ctime	Long	Hora em que o status de um arquivo foi alterado pela última vez Mínimo: 0 Máximo: 9223372036854775807
file_hash	String	Hash de arquivo
file_md5	String	Ficheiro MD5
file_sha256	String	Ficheiro SHA256
file_type	String	Tipo de arquivo
file_content	String	Conteúdo do arquivo
file_attr	String	Atributo de arquivo
file_operation	Integer	Tipo de operação de arquivo Mínimo: 0 Máximo: 2147483647
file_action	String	Ação de arquivo
file_change_attr	String	Atributo antigo/novo
file_new_path	String	Novo caminho de arquivo
file_desc	String	Descrição do arquivo
file_key_word	String	Palavra-chave do arquivo
is_dir	Boolean	Se é um diretório
fd_info	String	Informações do manipulador de arquivo
fd_count	Integer	Número de alças de arquivo Mínimo: 0 Máximo: 2147483647