可以通过接口查询平台的安全事件(已验证)的信息。
安全事件内容包括事件名称、事件等级、受害者、攻击者、事件类型等相关信息。
请求地址:/open/api/v1/retrieval/securityIncident
接口类型:HTTP
请求方式:POST
请求参数:
| 序号 | 字段名称 | 中文名称 | 字段说明 | 字段长度 | 必填/可选 | 说明 |
|---|---|---|---|---|---|---|
| 1 | user | 第三方系统用户名 | 文本 | 10 | 必填 | |
| 2 | timestamp | 请求发起时间戳 | 整数 | 64 | 必填 | |
| 3 | sign | md5(timestamp+user+token) | 字符 | 32 | 必填 | |
| 4 | SystemUser | 平台系统账号 | 字符 | 必填 | ||
| 5 | data.startTime | 开始时间 | 字符 | 必填 | ||
| 6 | data.endTime | 结束时间 | 字符 | 必填 | ||
| 7 | data.pageNo | 第几页 | 整数 | 可选 | ||
| 8 | data.pageSize | 每页大小 | 整数 | 可选 |
注意:pageSize不传时返回10000条
请求示例:
{“user”: “username”,“timestamp”: 1608616211,“sign”: xxxxxx,“SystemUser”: “admin”,“data”: {“startTime”: “2021-09-07 00:00:00”,“endime”: “2021-11-07 00:00:00”,“pageNo”: 1,“pageSize”: 100}}
返回参数:
| 序号 | 字段名称 | 中文名称 | 字段说明 | 说明 |
|---|---|---|---|---|
| 1 | errorCode | 接口状态码 | 字符 | |
| 2 | errorMessage | 接口消息 | 字符 | |
| 3 | success | 是否成功 | 布尔 | true:成功,false:错误 |
| 4 | data.pageNo | 当前第几页 | 整数 | |
| 5 | data.pageSize | 每页大小 | 整数 | |
| 6 | data.total | 总共条数 | 整数 | |
| 6 | data.totalPages | 总共页数 | 整数 | |
| 8 | data.result | 数组对象具体的对象数据 | 对象 |
result包含的字段:
| 序号 | 字段名称 | 中文名称 | 字段说明 | 字段长度 | 必填/可选 | 说明 |
|---|---|---|---|---|---|---|
| 1 | incidentID | 事件ID | 字符 | 50 | 必填 | 事件ID(且唯一) |
| 2 | incidentName | 事件名称 | 字符 | 100 | 必填 | 事件名称 |
| 3 | threatSeverity | 威胁等级 | 枚举 | 必填 | 威胁等级(低:Low, 中:Medium, 高:High) | |
| 4 | eventsThreatSeverity | 事件等级 | 枚举 | 必填 | 威胁等级(specialEvent,bigEvent,largerEvent,commonEvent分别对应特别重大事件、重大事件、较大事件和一般事件) | |
| 5 | victim | 受害者 | 字符 | 20 | 必填 | 受害者IP或域名 |
| 6 | attacker | 攻击IP | 字符 | 20 | 必填 | 攻击者IP或域名 |
| 7 | eventsType | 事件类型 | 枚举 | 必填 | 事件类型,枚举值传对应字段ID,字段ID见下方补充(拒绝服务攻击、扫描探测、隐患利用、有害程序、可用性、信息篡改、黑页、暗链、反共、博彩、色情、非法广告、高级威胁、信息假冒、信息泄露、信息窃取、信息丢失、DNS污染、Wifi劫持、BGP劫持、广播欺诈、配置错误、合规缺陷、访问异常、流量异常、漏洞、其他) | |
| 8 | incidentTag | 事件标签 | 数组 | 1000 | 可选 | 事件标签,自定义,数据内多个事件标签 |
| 9 | evidence | 举证信息 | 字符 | 1000 | 可选 | 举证信息描述 |
| 10 | describe | 事件描述 | 字符 | 1000 | 必填 | 事件描述 |
| 11 | unitName | 单位名称 | 字符 | 100 | 必填 | 事件关联单位名称 |
| 12 | assetDomain | 事件相关的域名 | 数组 | 100 | 可选 | 事件关联的域名数组 |
| 13 | assetIpv4 | 事件相关IPV4 | 数组 | 100 | 可选 | 事件关联的IPV4数组 |
| 14 | assetIpv6 | 事件相关IPV6 | 数组 | 100 | 可选 | 事件关联的IPV6数组 |
| 15 | assetMac | 事件相关Mac地址 | 数组 | 100 | 可选 | 事件关联的Mac地址数组 |
| 16 | startTime | 事件起始时间 | 字符 | 20 | 必填 | 事件产生时间(格式:”yyyy-MM-dd HH:mm:ss”) |
| 17 | endTime | 事件结束时间 | 字符 | 20 | 必填 | 事件结束时间(格式:”yyyy-MM-dd HH:mm:ss”) |
| 18 | discoverFactory | 发现厂商 | 字符 | 20 | 可选 | 列举发现厂商 |
| 19 | eventFrom | 事件来源 | 字符 | 20 | 必填 | 列举事件来源 |
| 20 | dataFrom | 数据来源 | 字符 | 50 | 必填 | 调用接口单位名称 |
| 21 | judgeState | 验证状态 | 枚举 | 必填 | 枚举传英文(未验证:judgeStateNone、验证通过:judgeStateTrue、误报:judgeStateFalse、忽略:judgeStatePass ) |
|
| 22 | noticeState | 处置状态 | 枚举 | 必填 | 枚举英文名(处置状态未工单noticeStateNone,已工单 noticeStateDone,已完成 noticeStateFinished) | |
| 23 | rawEvent | 原始事件 | 字符 | 必填 | 原始事件,其他字段等,填入原始漏洞整个json串 |
返回示例:
若有收获,就点个赞吧
0 人点赞
