跳至主内容

createResponseAction

您可通过此方法对 GravityZone XDR 生成的用户节点或自主SOC生成的安全事件采取响应措施。请求可基于 XDR 事件ID或节点中指定的用户数据发起。

参数

参数项

描述

是否包含在请求中

类型

取值

用户名

事件涉及的用户名。

操作类型1 , 2 , 3 , 4 , 5 , 89 .

操作类型6 ,则仅当未提供事件ID时需要填写用户名。

字符串

无额外要求。

电子邮件ID

与用户节点关联的电子邮件ID。

必填条件 操作类型6 .

字符串

无额外要求。

操作类型

使用此参数确定您要执行的操作及操作环境类型。

必填

整数

可选值:

  • 1 - 重置Office 365或Azure AD用户的凭据。

  • 2 - 重置Active Directory用户的凭据。

  • 3 - 禁用Office 365或Azure AD用户。

  • 4 - 禁用Active Directory用户。

  • 5 - 将Office 365或Azure AD用户标记为已泄露。

  • 6 - 从Office 365用户账户中删除一封电子邮件。

  • 8 - 禁用Google用户。

  • 9 - 重置Google用户的凭据。

  • 10 - 删除Office 365 OneDrive或SharePoint文件。

  • 12 - 禁用AWS用户。

incidentId

用户节点所属安全事件的ID。

Either incidentIdintegrationIdentifiers 必须包含在请求中。

字符串

无额外要求。

integrationIdentifiers

用于识别用户导入来源的集成信息。

对象

参见 integrationIdentifiers

对象

集成标识符

适用于Office 365集成

参数

描述

是否包含在请求中

类型

取值

companyId

执行集成操作的公司ID。

必填

字符串

无额外要求。

officeTenantId

创建集成时使用的Office 365标识符

必填

字符串

无额外要求

用于停用AWS用户

参数

描述

包含在请求中

类型

取值

companyId

执行集成操作的公司ID

必填

字符串

无额外要求。

accessKeyId

配置AWS集成时使用的AWS访问密钥ID。

该ID标识执行停用请求的特定AWS账户,确保"停用AWS用户"操作在正确的AWS环境中执行。

必填

字符串

无额外要求。

返回值

属性

类型

描述

result

字符串

创建的响应操作ID。

示例

请求

使用事件ID

基于事件ID创建响应操作:

使用集成标识符

基于公司ID和集成标识符创建请求:

响应 

{
    "id": "7d2864e9-c67b-48a2-9ba3-0a11d47e83c8",
    "jsonrpc": "2.0",
    "result": "6560a95884f89d6eca0b61b1"
}
本节内容 :