文档首页/ 企业主机安全 HSS/ API参考(吉隆坡区域)/ API说明/ 入侵检测/ 查询告警白名单列表
更新时间:2025-09-23 GMT+08:00
在线调试
CLI示例
查看PDF
分享

查询告警白名单列表

功能介绍

查询告警白名单列表

URI

GET /v5/{project_id}/event/white-list/alarm

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

租户项目ID
表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

租户企业项目ID,查询所有企业项目时填写:all_granted_eps

hash

String

SHA256

event_type

Integer

事件类型,包含如下:

  • 1001 : 通用恶意软件

  • 1002 : 病毒

  • 1003 : 蠕虫

  • 1004 : 木马

  • 1005 : 僵尸网络

  • 1006 : 后门

  • 1010 : Rootkit

  • 1011 : 勒索软件

  • 1012 :黑客工具

  • 1015 : Webshell

  • 1016 : 挖矿

  • 1017 : 反弹Shell

  • 2001 : 一般漏洞利用

  • 2012 : 远程代码执行

  • 2047 : Redis漏洞利用

  • 2048 : Hadoop漏洞利用

  • 2049 : MySQL漏洞利用

  • 3002 : 文件提权

  • 3003 : 进程提权

  • 3004 : 关键文件变更

  • 3005 : 文件/目录变更

  • 3007 : 进程异常行为

  • 3015 : 高危命令执行

  • 3018 : 异常Shell

  • 3027 : Crontab可疑任务

  • 3029 :系统安全防护被禁用

  • 3030 :备份删除

  • 3031 :异常注册表操作

  • 3036 : 容器镜像阻断

  • 4002 : 暴力破解

  • 4004 : 异常登录

  • 4006 : 非法系统账号

  • 4014 : 用户账号添加

  • 4020 : 用户密码窃取

  • 6002 : 端口扫描

  • 6003 : 主机扫描

  • 13001 : Kubernetes事件删除

  • 13002 : Pod异常行为

  • 13003 : 枚举用户信息

  • 13004 : 绑定集群用户角色

offset

Integer

偏移量:指定返回记录的开始位置,必须为数字,取值范围为大于或等于0,默认0

limit

Integer

每页显示个数

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

x-auth-token

String

用户Token。

通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)

响应参数

状态码:200

表4 响应Body参数

参数

参数类型

描述

total_num

Integer

总数

event_type_list

Array of integers

支持筛选的事件类型

data_list

Array of AlarmWhiteListResponseInfo objects

告警白名单详情
表5 AlarmWhiteListResponseInfo

参数

参数类型

描述

enterprise_project_name

String

企业项目名称

hash

String

SHA256

description

String

描述信息

event_type

Integer

事件类型,包含如下:

  • 1001 : 通用恶意软件

  • 1002 : 病毒

  • 1003 : 蠕虫

  • 1004 : 木马

  • 1005 : 僵尸网络

  • 1006 : 后门

  • 1010 : Rootkit

  • 1011 : 勒索软件

  • 1012 :黑客工具

  • 1015 : Webshell

  • 1016 : 挖矿

  • 1017 : 反弹Shell

  • 2001 : 一般漏洞利用

  • 2012 : 远程代码执行

  • 2047 : Redis漏洞利用

  • 2048 : Hadoop漏洞利用

  • 2049 : MySQL漏洞利用

  • 3002 : 文件提权

  • 3003 : 进程提权

  • 3004 : 关键文件变更

  • 3005 : 文件/目录变更

  • 3007 : 进程异常行为

  • 3015 : 高危命令执行

  • 3018 : 异常Shell

  • 3027 : Crontab可疑任务

  • 3029 :系统安全防护被禁用

  • 3030 :备份删除

  • 3031 :异常注册表操作

  • 3036 : 容器镜像阻断

  • 4002 : 暴力破解

  • 4004 : 异常登录

  • 4006 : 非法系统账号

  • 4014 : 用户账号添加

  • 4020 : 用户密码窃取

  • 6002 : 端口扫描

  • 6003 : 主机扫描

  • 13001 : Kubernetes事件删除

  • 13002 : Pod异常行为

  • 13003 : 枚举用户信息

  • 13004 : 绑定集群用户角色

white_field

String

加白字段,包含如下:

  • "file/process hash" # 进程/文件hash

  • "file_path" # 文件路径

  • "process_path" # 进程路径

  • "login_ip" # 登录ip

  • "reg_key" #注册表key

  • "process_cmdline" # 进程命令行

  • "username" # 用户名

field_value

String

加白字段值

judge_type

String

通配符,包含如下:

  • "equal" # 相等

  • "contain" # 包含

update_time

Integer

更新时间,毫秒

请求示例

查询前10条企业项目为xxx下的告警白名单列表

GET https://{endpoint}/v5/{project_id}/event/white-list/alarm?limit=10&offset=0&enterprise_project_id=xxx

响应示例

状态码:200

告警白名单列表

{
  "data_list" : [ {
    "enterprise_project_name" : "所有项目",
    "event_type" : 1001,
    "hash" : "9ab079e5398cba3a368ccffbd478f54c5ec3edadf6284ec049a73c36419f1178",
    "description" : "/opt/cloud/3rdComponent/install/jre-8u201/bin/java",
    "update_time" : 1665715677307,
    "white_field" : "process/file hash",
    "judge_type" : "contain",
    "field_value" : "abcd12345612311112212323"
  } ],
  "event_type_list" : [ 1001 ],
  "total_num" : 1
}

状态码

状态码

描述

200

告警白名单列表

错误码

请参见错误码

父主题: 入侵检测