华为云用户手册

URI GET /v5/{project_id}/image/baseline/check-rule/detail 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 image_type 是 String 镜像类型，包含如下: private_image : 私有镜像仓库 shared_image : 共享镜像仓库 local_image : 本地镜像 instance_image : 企业镜像 最小长度：1 最大长度：32 namespace 否 String 组织名称（没有镜像相关信息时，表示查询所有镜像） 最小长度：0 最大长度：64 image_name 否 String 镜像名称 最小长度：0 最大长度：128 image_version 否 String 镜像版本名称 最小长度：0 最大长度：64 check_name 是 String 基线名称 最小长度：0 最大长度：255 check_type 是 String 基线类型 最小长度：0 最大长度：255 check_rule_id 是 String 检查项id 最小长度：0 最大长度：255 standard 是 String 标准类型，包含如下: cn_standard : 等保合规标准 hw_standard : 华为标准 qt_standard : 青腾标准 最小长度：0 最大长度：32 instance_id 否 String 企业仓库实例ID，swr共享版无需使用该参数 最小长度：0 最大长度：128

URI DELETE /v5/{project_id}/host-management/groups 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 group_id 是 String 服务器组ID

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数, 最小值：0 最大值：10000 data_list Array of AppChangeResponseInfo objects 软件历史变动记录列表 数组长度：0 - 10000 表5 AppChangeResponseInfo 参数 参数类型 描述 agent_id String agent_id 最小长度：0 最大长度：128 variation_type String the type of change add ：新建 delete ：删除 modify ：修改 最小长度：0 最大长度：10 host_id String host_id 最小长度：1 最大长度：128 app_name String 软件名称 最小长度：1 最大长度：128 host_name String 弹性服务器名称 最小长度：1 最大长度：128 host_ip String 服务器ip 最小长度：1 最大长度：256 version String 版本号 最小长度：1 最大长度：128 update_time Long 更新时间 最小值：0 最大值：4824430336000 recent_scan_time Long 变更时间 最小值：0 最大值：4824430336000

响应示例 状态码： 200 App change history info list { "total_num" : 1, "data_list" : [ { "agent_id" : "d83c7be8a106485a558f97446617443b87604c8116e3cf0453c2a44exxxxxxxx", "variation_type" : "abnormal_behavior", "host_id" : "f4aaca51-xxxx-xxxx-xxxx-891c9e84d885", "app_name" : "hostguard", "host_name" : "host_name", "host_ip" : "host_ip", "version" : "3.2.3", "update_time" : 1668246126302, "recent_scan_time" : 1668246126302 } ] }

URI GET /v5/{project_id}/asset/app/change-history 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 host_id 否 String 主机id 最小长度：0 最大长度：128 host_ip 否 String 主机ip 最小长度：0 最大长度：128 host_name 否 String 主机名称 最小长度：0 最大长度：128 app_name 否 String 软件名称 最小长度：0 最大长度：128 variation_type 否 String 变更类型: add ：新建 delete ：删除 modify ：修改 最小长度：0 最大长度：10 enterprise_project_id 否 String 企业项目 最小长度：0 最大长度：256 sort_key 否 String 排序的key值 最小长度：1 最大长度：128 sort_dir 否 String 升序还是降序，默认升序，asc 最小长度：1 最大长度：32 limit 否 Integer 默认10 最小值：10 最大值：100 缺省值：10 offset 否 Integer 默认是0 最小值：0 最大值：10000 缺省值：0 start_time 否 Long 变更开始时间，13位时间戳 最小值：0 最大值：9007199254740992 end_time 否 Long 变更结束时间，13位时间戳 最小值：0 最大值：9007199254740992

请求示例 部署服务器防护策略，目标服务器ID为15462c0e-32c6-4217-a869-bbd131a00ecf，目标策略ID为f671f7-2677-4705-a320-de1a62bff306。 POST https://{endpoint}/v5/{project_id}/policy/deploy { "target_policy_group_id" : "1df671f7-2677-4705-a320-de1a62bff306", "host_id_list" : [ "15462c0e-32c6-4217-a869-bbd131a00ecf" ], "operate_all" : false }

URI POST /v5/{project_id}/policy/deploy 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 x-auth-token 是 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 最小长度：1 最大长度：32768 region 是 String region id 最小长度：0 最大长度：128 表4 请求Body参数 参数 是否必选 参数类型 描述 target_policy_group_id 是 String 部署的目标策略组ID 最小长度：36 最大长度：64 operate_all 否 Boolean 是否要对全量主机部署策略，如果为true的话，不需填写host_id_list，如果为false的话，需要填写host_id_list host_id_list 否 Array of strings 服务器ID列表

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 packet_cycle_num Integer 包周期配额数 最小值：0 最大值：10000000 on_demand_num Integer 按需配额数 最小值：0 最大值：10000000 used_num Integer 已使用配额数 最小值：0 最大值：10000000 idle_num Integer 空闲配额数 最小值：0 最大值：10000000 normal_num Integer 正常配额数 最小值：0 最大值：10000000 expired_num Integer 过期配额数 最小值：0 最大值：10000000 freeze_num Integer 冻结配额数 最小值：0 最大值：10000000 quota_statistics_list Array of QuotaStatisticsResponseInfo objects 配额统计列表 数组长度：0 - 200 total_num Integer 总数 最小值：0 最大值：10000000 data_list Array of QuotaResourcesResponseInfo objects 配额列表 数组长度：0 - 200 表5 QuotaStatisticsResponseInfo 参数 参数类型 描述 version String 资源规格编码，包含如下: hss.version.basic : 基础版 hss.version.advanced : 专业版 hss.version.enterprise : 企业版 hss.version.premium : 旗舰版 hss.version.wtp : 网页防篡改版 hss.version.container : 容器版 最小长度：1 最大长度：64 total_num Integer 总数 最小值：0 最大值：10000000 表6 QuotaResourcesResponseInfo 参数 参数类型 描述 resource_id String 主机安全配额的资源ID 最小长度：0 最大长度：256 version String 资源规格编码，包含如下: hss.version.basic : 基础版 hss.version.advanced : 专业版 hss.version.enterprise : 企业版 hss.version.premium : 旗舰版 hss.version.wtp : 网页防篡改版 hss.version.container : 容器版 最小长度：1 最大长度：64 quota_status String 配额状态 normal : 正常 expired : 已过期 freeze : 已冻结 最小长度：1 最大长度：64 used_status String 使用状态 idle : 空闲 used : 使用中 最小长度：1 最大长度：64 host_id String 服务器ID 最小长度：1 最大长度：64 host_name String 服务器名称 最小长度：1 最大长度：128 charging_mode String 计费模式 packet_cycle : 包周期 on_demand : 按需 最小长度：1 最大长度：64 tags Array of TagInfo objects 标签 数组长度：0 - 2097152 expire_time Long 过期时间，-1表示没有到期时间 最小值：0 最大值：2147483647 shared_quota String 是否共享配额 shared：共享的 unshared：非共享的 最小长度：1 最大长度：64 enterprise_project_id String 企业项目ID 最小长度：0 最大长度：256 enterprise_project_name String 所属企业项目名称 最小长度：0 最大长度：256 表7 TagInfo 参数 参数类型 描述 key String 键。最大长度128个unicode字符。 key不能为空 最小长度：1 最大长度：128 value String 值。最大长度255个unicode字符。 最小长度：1 最大长度：255

响应示例 状态码： 200 配额详情列表 { "data_list" : [ { "charging_mode" : "packet_cycle", "expire_time" : -1, "host_id" : "71a15ecc-049f-4cca-bd28-5e90aca1817f", "host_name" : "zhangxiaodong2", "quota_status" : "normal", "resource_id" : "af4d08ad-2b60-4916-a5cf-8d6a23956dda", "shared_quota" : "shared", "tags" : [ { "key" : "服务", "value" : "HSS" } ], "used_status" : "used", "version" : "hss.version.wtp" } ], "expired_num" : 0, "freeze_num" : 0, "idle_num" : 20, "normal_num" : 60, "on_demand_num" : 0, "packet_cycle_num" : 60, "quota_statistics_list" : [ { "total_num" : 8, "version" : "hss.version.basic" } ], "total_num" : 60, "used_num" : 40 }

URI GET /v5/{project_id}/billing/quotas-detail 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 version 否 String 主机开通的版本，包含如下7种输入。 hss.version.null ：无。 hss.version.basic ：基础版。 hss.version.advanced ：专业版。 hss.version.enterprise ：企业版。 hss.version.premium ：旗舰版。 hss.version.wtp ：网页防篡改版。 hss.version.container.enterprise：容器版。 最小长度：1 最大长度：64 category 否 String 类别，包含如下几种： host_resource ：HOST_RESOURCE container_resource ：CONTAINER_RESOURCE 最小长度：1 最大长度：64 quota_status 否 String 配额状态，包含如下几种： normal ： QUOTA_STATUS_NORMAL expired ：QUOTA_STATUS_EXPIRED freeze ：QUOTA_STATUS_FREEZE 最小长度：1 最大长度：64 used_status 否 String 使用状态，包含如下几种： idle ：USED_STATUS_IDLE used ：USED_STATUS_USED 最小长度：1 最大长度：64 host_name 否 String 服务器名称 最小长度：0 最大长度：128 resource_id 否 String 资源ID 最小长度：0 最大长度：128 charging_mode 否 String 收费模式，包含如下2种。 packet_cycle ：包年/包月。 on_demand ：按需。 最小长度：1 最大长度：32 limit 否 Integer 每页数量 最小值：10 最大值：200 缺省值：10 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0

响应示例 状态码： 200 云服务器列表 { "total_num" : 1, "data_list" : [ { "agent_id" : "2758d2a61598fd9144cfa6b201049e7c0af8c3f1280cd24e3ec95a2f0811a2a2", "agent_status" : "online", "asset" : 0, "asset_value" : "common", "baseline" : 0, "charging_mode" : "packet_cycle", "detect_result" : "risk", "enterprise_project_id" : "all_granted_eps", "enterprise_project_name" : "default", "group_id" : "7c659ea3-006f-4687-9f1c-6d975d955f37", "group_name" : "default", "host_id" : "caa958ad-a481-4d46-b51e-6861b8864515", "host_name" : "ecs-r00431580-ubuntu", "host_status" : "ACTIVE", "intrusion" : 0, "expire_time" : -1, "os_bit" : "64", "os_type" : "Linux", "outside_host" : false, "policy_group_id" : "2758d2a61598fd9144cfa6b201049e7c0af8c3f1280cd24e3ec95a2f0811a2a2", "policy_group_name" : "wtp_ecs-r00431580-ubuntu(default)", "private_ip" : "192.168.0.182", "protect_status" : "opened", "protect_interrupt" : false, "public_ip" : "100.85.123.9", "resource_id" : "60f08ea4-c74e-4a45-be1c-3c057e373af2", "version" : "hss.version.wtp", "vulnerability" : 97, "labels" : [ "" ], "agent_create_time" : 0, "agent_update_time" : 0, "open_time" : 0 } ] }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数 最小值：0 最大值：2097152 data_list Array of Host objects 查询弹性云服务器状态列表 数组长度：0 - 10241 表5 Host 参数 参数类型 描述 host_name String 服务器名称 最小长度：0 最大长度：128 host_id String 服务器ID 最小长度：0 最大长度：128 agent_id String Agent ID 最小长度：0 最大长度：128 private_ip String 私有IP地址 最小长度：0 最大长度：128 public_ip String 弹性公网IP地址 最小长度：0 最大长度：128 enterprise_project_id String 企业项目ID 最小长度：0 最大长度：256 enterprise_project_name String 所属企业项目名称 最小长度：0 最大长度：256 host_status String 服务器状态，包含如下4种。 ACTIVE ：运行中。 SHUTOFF ：关机。 BUILDING ：创建中。 ERROR ：故障。 最小长度：1 最大长度：32 agent_status String Agent状态，包含如下5种。 installed ：已安装。 not_installed ：未安装。 online ：在线。 offline ：离线。 install_failed ：安装失败。 installing ：安装中。 最小长度：1 最大长度：32 install_result_code String 安装结果，包含如下12种。 install_succeed ：安装成功。 network_access_timeout ：网络不通，访问超时。 invalid_port ：无效端口。 auth_failed ：认证错误，口令不正确。 permission_denied ：权限错误，被拒绝。 no_available_vpc ：没有相同VPC的agent在线虚拟机。 install_exception ：安装异常。 invalid_param ：参数错误。 install_failed ：安装失败。 package_unavailable ：安装包失效。 os_type_not_support ：系统类型错误。 os_arch_not_support ：架构类型错误。 最小长度：1 最大长度：32 version String 主机开通的版本，包含如下7种输入。 hss.version.null ：无。 hss.version.basic ：基础版。 hss.version.advanced ：专业版。 hss.version.enterprise ：企业版。 hss.version.premium ：旗舰版。 hss.version.wtp ：网页防篡改版。 hss.version.container.enterprise ：容器版。 最小长度：1 最大长度：32 protect_status String 防护状态，包含如下2种。 closed ：未防护。 opened ：防护中。 最小长度：1 最大长度：32 os_image String 系统镜像 最小长度：0 最大长度：128 os_type String 操作系统类型，包含如下2种。 Linux ：Linux。 Windows ：Windows。 最小长度：0 最大长度：128 os_bit String 操作系统位数 最小长度：0 最大长度：128 detect_result String 云主机安全检测结果，包含如下4种。 undetected ：未检测。 clean ：无风险。 risk ：有风险。 scanning ：检测中。 最小长度：1 最大长度：32 expire_time Long 试用版到期时间（-1表示非试用版配额，当值不为-1时为试用版本过期时间） 最小值：0 最大值：4824695185000 charging_mode String 收费模式，包含如下2种。 packet_cycle ：包年/包月。 on_demand ：按需。 最小长度：1 最大长度：32 resource_id String 主机安全配额ID（UUID） 最小长度：0 最大长度：128 outside_host Boolean 是否非华为云机器 group_id String 服务器组ID 最小长度：1 最大长度：128 group_name String 服务器组名称 最小长度：1 最大长度：128 policy_group_id String 策略组ID 最小长度：1 最大长度：128 policy_group_name String 策略组名称 最小长度：1 最大长度：128 asset Integer 资产风险 最小值：0 最大值：2097152 vulnerability Integer 漏洞风险 最小值：0 最大值：2097152 baseline Integer 基线风险 最小值：0 最大值：2097152 intrusion Integer 入侵风险 最小值：0 最大值：2097152 asset_value String 资产重要性，包含如下4种 important ：重要资产 common ：一般资产 test ：测试资产 最小长度：0 最大长度：128 labels Array of strings 标签列表 最小长度：0 最大长度：64 数组长度：0 - 100 agent_create_time Long agent安装时间，采用时间戳，默认毫秒， 最小值：0 最大值：4824695185000 agent_update_time Long agent状态修改时间，采用时间戳，默认毫秒， 最小值：0 最大值：4824695185000 agent_version String agent版本 最小长度：1 最大长度：32 upgrade_status String 升级状态，包含如下4种。 not_upgrade ：未升级，也就是默认状态，客户还没有给这台机器下发过升级。 upgrading ：正在升级中。 upgrade_failed ：升级失败。 upgrade_succeed ：升级成功。 最小长度：1 最大长度：32 upgrade_result_code String 升级失败原因，只有当 upgrade_status 为 upgrade_failed 时才显示，包含如下6种。 package_unavailable ：升级包解析失败，升级文件有错误。 network_access_timeout ：下载升级包失败，网络异常。 agent_offline ：agent离线。 hostguard_abnormal ：agent工作进程异常。 insufficient_disk_space ：磁盘空间不足。 failed_to_replace_file ：替换文件失败。 最小长度：1 最大长度：32 upgradable Boolean 该服务器agent是否可升级 open_time Long 开启防护时间，采用时间戳，默认毫秒， 最小值：0 最大值：4824695185000 protect_interrupt Boolean 防护是否中断

URI GET /v5/{project_id}/host-management/hosts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 缺省值：0 最小长度：1 最大长度：256 version 否 String 主机开通的版本，包含如下7种输入。 hss.version.null ：无。 hss.version.basic ：基础版。 hss.version.advanced ：专业版。 hss.version.enterprise ：企业版。 hss.version.premium ：旗舰版。 hss.version.wtp ：网页防篡改版。 hss.version.container.enterprise：容器版。 最小长度：1 最大长度：64 agent_status 否 String Agent状态，包含如下6种。 installed ：已安装。 not_installed ：未安装。 online ：在线。 offline ：离线。 install_failed ：安装失败。 installing ：安装中。 not_online ：不在线的（除了在线以外的所有状态，仅作为查询条件）。 最小长度：1 最大长度：20 detect_result 否 String 检测结果，包含如下4种。 undetected ：未检测。 clean ：无风险。 risk ：有风险。 scanning ：检测中。 最小长度：1 最大长度：32 host_name 否 String 服务器名称 host_id 否 String 服务器ID host_status 否 String 主机状态，包含如下4种。 ACTIVE ：正在运行。 SHUTOFF ：关机。 BUILDING ：创建中。 ERROR ：故障。 最小长度：1 最大长度：32 os_type 否 String 操作系统类型，包含如下2种。 Linux ：Linux。 Windows ：Windows。 最小长度：0 最大长度：64 private_ip 否 String 服务器私有IP public_ip 否 String 服务器公网IP ip_addr 否 String 公网或私网IP protect_status 否 String 防护状态，包含如下2种。 closed ：关闭。 opened ：开启。 最小长度：1 最大长度：32 group_id 否 String 服务器组ID group_name 否 String 服务器组名称 最小长度：1 最大长度：64 has_intrusion 否 Boolean 存在告警事件 policy_group_id 否 String 策略组ID 最小长度：0 最大长度：128 policy_group_name 否 String 策略组名称 最小长度：0 最大长度：256 charging_mode 否 String 收费模式，包含如下2种。 packet_cycle ：包年/包月。 on_demand ：按需。 最小长度：1 最大长度：32 refresh 否 Boolean 是否强制从E CS 同步主机 above_version 否 Boolean 是否返回比当前版本高的所有版本 outside_host 否 Boolean 是否华为云主机 asset_value 否 String 资产重要性，包含如下4种 important ：重要资产 common ：一般资产 test ：测试资产 最小长度：0 最大长度：128 label 否 String 资产标签 最小长度：1 最大长度：64 server_group 否 String 资产服务器组 最小长度：1 最大长度：64 agent_upgradable 否 Boolean agent是否可升级 limit 否 Integer 每页显示个数，默认10 最小值：0 最大值：200 缺省值：10 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0 最小值：0 最大值：2000000 缺省值：0

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 x-auth-token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 最小长度：1 最大长度：32768 region 是 String region id 最小长度：0 最大长度：128 表4 请求Body参数 参数 是否必选 参数类型 描述 data_list 否 Array of BlockedIpRequestInfo objects 需要解除拦截的IP列表 数组长度：1 - 100 表5 BlockedIpRequestInfo 参数 是否必选 参数类型 描述 host_id 是 String 服务器ID src_ip 是 String 攻击源IP login_type 是 String 登录类型，包含如下: "mysql" # mysql服务 "rdp" # rdp服务服务 "ssh" # ssh服务 "vsftp" # vsftp服务

URI PUT /v5/{project_id}/event/blocked-ip 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：20 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 最小长度：0 最大长度：64

请求示例 将以SSH方式登录主机af423efds-214432fgsdaf-gfdsaggbvf的被拦截ip192.168.1.6从已拦截IP列表中解除 PUT https://{endpoint}/v5/{project_id}/event/blocked-ip { "data_list" : [ { "host_id" : "af423efds-214432fgsdaf-gfdsaggbvf", "src_ip" : "192.168.1.6", "login_type" : "ssh" } ] }

请求示例 查询防护状态为开启，企业项目为XX的网页防篡改主机防护状态列表信息，默认查询第一页10条 GET https://{endpoint}/v5/{project_id}/webtamper/hosts?offset=XX&limit=XX&protect_status=opened&enterprise_project_id=XX { "protect_status" : "opened" }

响应示例 状态码： 200 OK { "total_num" : 1, "data_list" : [ { "host_name" : "test", "host_id" : "000411f9-42a7-4acd-80e6-f7b9d3db895f", "public_ip" : "", "private_ip" : "192.168.0.70", "group_name" : "UNINSTALL", "os_bit" : "64", "os_type" : "Linux", "protect_status" : "opened", "rasp_protect_status" : "opened", "anti_tampering_times" : 0, "detect_tampering_times" : 0, "last_detect_time" : 0, "agent_status" : "not_installed" } ] }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 data_list Array of WtpProtectHostResponseInfo objects data list 数组长度：0 - 200000 total_num Integer total number 最小值：0 最大值：65535 表5 WtpProtectHostResponseInfo 参数 参数类型 描述 host_name String 服务器名称 最小长度：0 最大长度：256 host_id String 云服务器ID 最小长度：0 最大长度：128 public_ip String 弹性公网IP 最小长度：0 最大长度：128 private_ip String 私有IP 最小长度：0 最大长度：128 group_name String 服务器组名称 最小长度：0 最大长度：256 os_bit String 操作系统位数 最小长度：0 最大长度：8 os_type String 操作系统（linux，windows） 最小长度：0 最大长度：32 protect_status String 防护状态 closed : 未开启 opened : 防护中 最小长度：0 最大长度：32 rasp_protect_status String 动态网页防篡改状态 closed : 未开启 opened : 防护中 最小长度：0 最大长度：32 anti_tampering_times Long 已防御篡改攻击次数 最小值：0 最大值：2000000000 detect_tampering_times Long 已发现篡改攻击 最小值：0 最大值：2000000000 last_detect_time Long 最近检测时间 最小值：0 最大值：4070880000000 scheduled_shutdown_status String 定时关闭防护开关状态 opened : 开启 closed : 未开启 最小长度：0 最大长度：32 agent_status String Agent状态 not_installed : agent未安装 online : agent在线 offline : agent不在线 最小长度：0 最大长度：32

URI GET /v5/{project_id}/webtamper/hosts 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户ID 最小长度：0 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目 最小长度：0 最大长度：64 host_name 否 String 服务器名称 最小长度：0 最大长度：256 host_id 否 String 云服务器ID 最小长度：0 最大长度：128 public_ip 否 String 弹性公网IP 最小长度：0 最大长度：128 private_ip 否 String 私有IP 最小长度：0 最大长度：128 group_name 否 String 服务器组名称 最小长度：0 最大长度：256 os_type 否 String 操作系统类别（linux，windows） linux : linux操作系统 windows : windows操作系统 最小长度：0 最大长度：32 protect_status 否 String 防护状态 closed : 未开启 opened : 防护中 最小长度：0 最大长度：32 agent_status 否 String 客户端状态 not_installed : agent未安装 online : agent在线 offline : agent不在线 最小长度：0 最大长度：32 limit 否 Integer 默认10 最小值：10 最大值：100 缺省值：10 offset 否 Integer 默认是0 最小值：0 最大值：100 缺省值：0

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数, 最小值：0 最大值：10000 data_list Array of UserResponseInfo objects 账号信息列表 数组长度：0 - 10000 表5 UserResponseInfo 参数 参数类型 描述 agent_id String agent_id 最小长度：1 最大长度：128 host_id String 服务器ID 最小长度：1 最大长度：128 host_name String 服务器名称 最小长度：1 最大长度：128 host_ip String 服务器ip 最小长度：1 最大长度：128 user_name String 用户名 最小长度：1 最大长度：128 login_permission Boolean 是否有登陆权限 root_permission Boolean 是否有root权限 user_group_name String 用户组 最小长度：1 最大长度：128 user_home_dir String 用户目录 最小长度：1 最大长度：256 shell String 用户启动shell 最小长度：1 最大长度：128 expire_time Long 到期时间，采用时间戳，默认毫秒， 最小值：0 最大值：4070880000000 recent_scan_time Long 最近扫描时间 最小值：0 最大值：4070880000000 container_id String 容器id 最小长度：1 最大长度：128 container_name String 容器名称 最小长度：1 最大长度：256

响应示例 状态码： 200 账号信息列表 { "total_num" : 1, "data_list" : [ { "agent_id" : "0bf792d910xxxxxxxxxxx52cb7e63exxx", "host_id" : "13xxxxxxxece69", "host_ip" : "192.168.0.1", "host_name" : "test", "login_permission" : false, "recent_scan_time" : 1667039707730, "expire_time" : 1667039707730, "root_permission" : false, "shell" : "/sbin/nologin", "user_group_name" : "bin", "user_home_dir" : "/bin", "user_name" : "bin", "container_id" : "ce794b8a6-xxxx-xxxx-xxxxx-36bedf2c7a4f6083fb82e5bbc82709b50018", "container_name" : "hss_imagescan_W73V1WO6" } ] }

URI GET /v5/{project_id}/asset/users 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：1 最大长度：128 表2 Query参数 参数 是否必选 参数类型 描述 host_id 否 String 服务器ID 最小长度：0 最大长度：128 user_name 否 String 账号名称 最小长度：0 最大长度：32 host_name 否 String 服务器名称 最小长度：0 最大长度：128 private_ip 否 String 服务器私有IP 最小长度：0 最大长度：128 login_permission 否 Boolean 是否允许登陆 root_permission 否 Boolean 是否有root权限 user_group 否 String 用户组 最小长度：0 最大长度：128 enterprise_project_id 否 String 企业项目ID，查询所有企业项目时填写：all_granted_eps 最小长度：0 最大长度：128 limit 否 Integer 默认10 最小值：10 最大值：200 缺省值：10 offset 否 Integer 默认是0 最小值：0 最大值：2000000 缺省值：0 category 否 String 类别，默认为host，包含如下： host：主机 container：容器 最小长度：0 最大长度：64 part_match 否 Boolean 是否模糊匹配，默认false表示精确匹配

响应示例 状态码： 200 端口信息列表 { "data_list" : [ { "agent_id" : "eb5d03f02fffd85aaf5d0ba5c992d97713244f420e0b076dcf6ae0574c78aa4b", "container_id" : "", "host_id" : "dd91cd32-a238-4c0e-bc01-3b11653714ac", "laddr" : "0.0.0.0", "path" : "/usr/sbin/dhclient", "pid" : 1507, "port" : 68, "status" : "unknow", "type" : "UDP" }, { "agent_id" : "eb5d03f02fffd85aaf5d0ba5c992d97713244f420e0b076dcf6ae0574c78aa4b", "container_id" : "", "host_id" : "dd91cd32-a238-4c0e-bc01-3b11653714ac", "laddr" : "127.0.0.1", "path" : "/usr/sbin/chronyd", "pid" : 493, "port" : 323, "status" : "unknow", "type" : "UDP" } ], "total_num" : 2 }

URI GET /v5/{project_id}/asset/ports 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户ID 最小长度：1 最大长度：256 表2 Query参数 参数 是否必选 参数类型 描述 host_id 是 String 主机id 最小长度：0 最大长度：128 host_name 否 String 主机名称 最小长度：0 最大长度：128 host_ip 否 String 主机ip 最小长度：0 最大长度：128 port 否 Integer 端口号 最小值：1 最大值：65535 type 否 String 端口类型 最小长度：0 最大长度：128 enterprise_project_id 否 String 企业项目 最小长度：0 最大长度：256 limit 否 Integer 默认10 最小值：10 最大值：100 缺省值：10 offset 否 Integer 默认是0 最小值：0 最大值：10000 缺省值：0 category 否 String 类别，默认为host，包含如下： host：主机 container：容器 最小长度：0 最大长度：64

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 总数 最小值：0 最大值：10000 data_list Array of PortResponseInfo objects 端口信息列表 数组长度：0 - 10000 表5 PortResponseInfo 参数 参数类型 描述 host_id String 主机id 最小长度：1 最大长度：128 laddr String 监听ip 最小长度：1 最大长度：128 status String port status, normal, danger or unknow "normal" : 正常 "danger" : 危险 "unknow" : 未知 最小长度：1 最大长度：10 port Integer 端口号 最小值：0 最大值：65535 type String 类型 最小长度：1 最大长度：64 pid Integer 进程ID 最小值：1 最大值：65535 path String 程序文件 最小长度：1 最大长度：256 agent_id String agent id 最小长度：1 最大长度：64 container_id String 容器id 最小长度：0 最大长度：128

请求示例 手动处理告警事件类型为Rootkit、告警事件编号为2a71e1e2-60f4-4d56-b314-2038fdc39de6的入侵告警事件。 POST https://{endpoint}/v5/{project_id}/event/operate?enterprise_project_id=xxx { "operate_type" : "mark_as_handled", "handler" : "test", "operate_event_list" : [ { "event_class_id" : "rootkit_0001", "event_id" : "2a71e1e2-60f4-4d56-b314-2038fdc39de6", "occur_time" : 1672046760353, "event_type" : 1010, "operate_detail_list" : [ { "agent_id" : "c9bed5397db449ebdfba15e85fcfc36accee125c68954daf5cab0528bab59bd8", "file_hash" : "e8b50f0b91e3dce0885ccc5902846b139d28108a0a7976c9b8d43154c5dbc44d", "file_path" : "/usr/test", "process_pid" : 3123, "file_attr" : 33261, "keyword" : "file_path=/usr/test", "hash" : "e8b50f0b91e3dce0885ccc5902846b139d28108a0a7976c9b8d43154c5dbc44d", "login_ip" : "127.0.0.1", "private_ip" : "127.0.0.2", "login_user_name" : "root", "container_id" : "containerid", "container_name" : "/test" } ] } ] }

URI POST /v5/{project_id}/event/operate 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 最小长度：20 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 租户企业项目ID，查询所有企业项目时填写：all_granted_eps 最小长度：0 最大长度：64 container_name 否 String 容器实例名称 container_id 否 String 容器Id

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 x-auth-token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 最小长度：1 最大长度：32768 region 是 String region id 最小长度：0 最大长度：128 表4 请求Body参数 参数 是否必选 参数类型 描述 operate_type 是 String 处理方式，包含如下: mark_as_handled : 手动处理 ignore : 忽略 add_to_alarm_whitelist : 加入告警白名单 add_to_login_whitelist : 加入登录白名单 isolate_and_kill : 隔离查杀 unhandle : 取消手动处理 do_not_ignore : 取消忽略 remove_from_alarm_whitelist : 删除告警白名单 remove_from_login_whitelist : 删除登录白名单 do_not_isolate_or_kill : 取消隔离查杀 handler 否 String 备注信息 operate_event_list 是 Array of OperateEventRequestInfo objects 操作的事件列表 数组长度：0 - 100 event_white_rule_list 否 Array of EventWhiteRuleListRequestInfo objects 用户自定义告警白名单规则列表 数组长度：0 - 100 表5 OperateEventRequestInfo 参数 是否必选 参数类型 描述 event_class_id 是 String 事件分类，包含如下: container_1001 : 容器命名空间 container_1002 : 容器开放端口 container_1003 : 容器安全 选项 container_1004 : 容器挂载目录 containerescape_0001 : 容器高危系统调用 containerescape_0002 : Shocker攻击 containerescape_0003 : DirtCow攻击 containerescape_0004 : 容器文件逃逸攻击 dockerfile_001 : 用户自定义容器保护文件被修改 dockerfile_002 : 容器文件系统可执行文件被修改 dockerproc_001 : 容器进程异常事件上报 fileprotect_0001 : 文件提权 fileprotect_0002 : 关键文件变更 fileprotect_0003 : 关键文件路径变更 fileprotect_0004 : 文件/目录变更 av_1002 : 病毒 av_1003 : 蠕虫 av_1004 : 木马 av_1005 : 僵尸网络 av_1006 : 后门 av_1007 : 间谍软件 av_1008 : 恶意广告软件 av_1009 : 钓鱼 av_1010 : Rootkit av_1011 : 勒索软件 av_1012 : 黑客工具 av_1013 : 灰色软件 av_1015 : Webshell av_1016 : 挖矿软件 login_0001 : 尝试暴力破解 login_0002 : 爆破成功 login_1001 : 登录成功 login_1002 : 异地登录 login_1003 : 弱口令 malware_0001 : shell变更事件上报 malware_0002 : 反弹shell事件上报 malware_1001 : 恶意程序 procdet_0001 : 进程异常行为检测 procdet_0002 : 进程提权 procreport_0001 : 危险命令 user_1001 : 账号变更 user_1002 : 风险账号 vmescape_0001 : 虚拟机敏感命令执行 vmescape_0002 : 虚拟化进程访问敏感文件 vmescape_0003 : 虚拟机异常端口访问 webshell_0001 : 网站后门 network_1001 : 恶意挖矿 network_1002 : 对外DDoS攻击 network_1003 : 恶意扫描 network_1004 : 敏感区域攻击 ransomware_0001 : 勒索攻击 ransomware_0002 : 勒索攻击 ransomware_0003 : 勒索攻击 fileless_0001 : 进程注入 fileless_0002 : 动态库注入进程 fileless_0003 : 关键配置变更 fileless_0004 : 环境变量变更 fileless_0005 : 内存文件进程 fileless_0006 : vdso劫持 crontab_1001 : Crontab可疑任务 vul_exploit_0001 : Redis漏洞利用攻击 vul_exploit_0002 : Hadoop漏洞利用攻击 vul_exploit_0003 : MySQL漏洞利用攻击 rootkit_0001 : 可疑rootkit文件 rootkit_0002 : 可疑内核模块 RASP_0004 : 上传Webshell RASP_0018 : 无文件Webshell blockexec_001 : 已知勒索攻击 hips_0001 : Windows Defender防护被禁用 hips_0002 : 可疑的黑客工具 hips_0003 : 可疑的勒索加密行为 hips_0004 : 隐藏账号创建 hips_0005 : 读取用户密码凭据 hips_0006 : 可疑的SAM文件导出 hips_0007 : 可疑shadow copy删除操作 hips_0008 : 备份文件删除 hips_0009 : 可疑勒索病毒操作注册表 hips_0010 : 可疑的异常进程行为 hips_0011 : 可疑的扫描探测 hips_0012 : 可疑的勒索病毒脚本运行 hips_0013 : 可疑的挖矿命令执行 hips_0014 : 可疑的禁用windows安全中心 hips_0015 : 可疑的停止防火墙服务行为 hips_0016 : 可疑的系统自动恢复禁用 hips_0017 : Offies 创建可执行文件 hips_0018 : 带宏Offies文件异常创建 hips_0019 : 可疑的注册表操作 hips_0020 : Confluence远程代码执行 hips_0021 : MSDT远程代码执行 portscan_0001 : 通用端口扫描 portscan_0002 : 秘密端口扫描 k8s_1001 : Kubernetes事件删除 k8s_1002 : 创建特权Pod k8s_1003 : Pod中使用交互式shell k8s_1004 : 创建敏感目录Pod k8s_1005 : 创建主机网络的Pod k8s_1006 : 创建主机Pid空间的Pod k8s_1007 : 普通pod访问APIserver认证失败 k8s_1008 : 普通Pod通过Curl访问APIServer k8s_1009 : 系统管理空间执行exec k8s_1010 : 系统管理空间创建Pod k8s_1011 : 创建静态Pod k8s_1012 : 创建DaemonSet k8s_1013 : 创建集群计划任务 k8s_1014 : Secrets操作 k8s_1015 : 枚举用户可执行的操作 k8s_1016 : 高权限RoleBinding或ClusterRoleBinding k8s_1017 : ServiceAccount创建 k8s_1018 : 创建Cronjob k8s_1019 : Pod中exec使用交互式shell k8s_1020 : 无权限访问Apiserver k8s_1021 : 使用curl访问APIServer k8s_1022 : Ingress漏洞 k8s_1023 : 中间人攻击 k8s_1024 : 蠕虫挖矿木马 k8s_1025 : K8s事件删除 k8s_1026 : SelfSubjectRulesReview场景 imgblock_0001 : 镜像白名单阻断 imgblock_0002 : 镜像黑名单阻断 imgblock_0003 : 镜像标签白名单阻断 imgblock_0004 : 镜像标签黑名单阻断 imgblock_0005 : 创建容器白名单阻断 imgblock_0006 : 创建容器黑名单阻断 imgblock_0007 : 容器mount proc阻断 imgblock_0008 : 容器seccomp unconfined阻断 imgblock_0009 : 容器特权阻断 imgblock_0010 : 容器capabilities阻断 event_id 是 String 事件编号 event_type 是 Integer 事件类型，包含如下: 1001 : 通用恶意软件 1002 : 病毒 1003 : 蠕虫 1004 : 木马 1005 : 僵尸网络 1006 : 后门 1010 : Rootkit 1011 : 勒索软件 1012 ：黑客工具 1015 : Webshell 1016 : 挖矿 1017 : 反弹Shell 2001 : 一般漏洞利用 2012 : 远程代码执行 2047 : Redis漏洞利用 2048 : Hadoop漏洞利用 2049 : MySQL漏洞利用 3002 : 文件提权 3003 : 进程提权 3004 : 关键文件变更 3005 : 文件/目录变更 3007 : 进程异常行为 3015 : 高危命令执行 3018 : 异常Shell 3027 : Crontab可疑任务 3029 ：系统安全防护被禁用 3030 ：备份删除 3031 ：异常注册表操作 3036 : 容器镜像阻断 4002 : 暴力破解 4004 : 异常登录 4006 : 非法系统账号 4014 : 用户账号添加 4020 : 用户密码窃取 6002 : 端口扫描 6003 : 主机扫描 13001 : Kubernetes事件删除 13002 : Pod异常行为 13003 : 枚举用户信息 13004 : 绑定集群用户角色 occur_time 是 Integer 发生时间，毫秒 operate_detail_list 是 Array of EventDetailRequestInfo objects 操作详情信息列表，当 operate_type 为 add_to_alarm_whitelist 或 remove_from_alarm_whitelist 时，必传 keyword 和 hash；当 operate_type 为 add_to_login_whitelist 或 remove_from_login_whitelist 时，必传 login_ip， private_ip 和 login_user_name；当 operate_type 为 isolate_and_kill 或 do_not_isolate_or_kill 时，必传 agent_id，file_hash，file_path，process_pid；其余情况可不填写内容。 数组长度：0 - 100 表6 EventDetailRequestInfo 参数 是否必选 参数类型 描述 agent_id 否 String Agent ID process_pid 否 Integer 进程id file_hash 否 String 文件哈希 file_path 否 String 文件路径 file_attr 否 String 文件属性 keyword 否 String 告警事件关键字，仅用于告警白名单 hash 否 String 告警事件hash，仅用于告警白名单 private_ip 否 String 服务器私有IP login_ip 否 String 登录源IP login_user_name 否 String 登录用户名 container_id 否 String 容器ID 最小长度：64 最大长度：64 container_name 否 String 容器名称 最小长度：1 最大长度：128 表7 EventWhiteRuleListRequestInfo 参数 是否必选 参数类型 描述 event_type 是 Integer 事件类型，包含如下: 1001 : 通用恶意软件 1002 : 病毒 1003 : 蠕虫 1004 : 木马 1005 : 僵尸网络 1006 : 后门 1010 : Rootkit 1011 : 勒索软件 1012 ：黑客工具 1015 : Webshell 1016 : 挖矿 1017 : 反弹Shell 2001 : 一般漏洞利用 2012 : 远程代码执行 2047 : Redis漏洞利用 2048 : Hadoop漏洞利用 2049 : MySQL漏洞利用 3002 : 文件提权 3003 : 进程提权 3004 : 关键文件变更 3005 : 文件/目录变更 3007 : 进程异常行为 3015 : 高危命令执行 3018 : 异常Shell 3027 : Crontab可疑任务 3029 ：系统安全防护被禁用 3030 ：备份删除 3031 ：异常注册表操作 3036 : 容器镜像阻断 4002 : 暴力破解 4004 : 异常登录 4006 : 非法系统账号 4014 : 用户账号添加 4020 : 用户密码窃取 6002 : 端口扫描 6003 : 主机扫描 13001 : Kubernetes事件删除 13002 : Pod异常行为 13003 : 枚举用户信息 13004 : 绑定集群用户角色 field_key 是 String 加白字段，包含如下: "file/process hash" # 进程/文件hash "file_path" # 文件路径 "process_path" # 进程路径 "login_ip" # 登录ip "reg_key" #注册表key "process_cmdline" # 进程命令行 "username" # 用户名 最小长度：1 最大长度：20 field_value 是 String 加白字段值 最小长度：1 最大长度：128 judge_type 是 String 通配符，包含如下: "equal" # 相等 "contain" # 包含 最小长度：1 最大长度：10