获取监控规则
此方法显示特定公司所有行为类别下受监控的PHASR规则。
发起请求的用户必须对ID所属公司拥有网络管理员权限。
参数
|
参数 |
描述 |
包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
决定该方法返回何种类型的规则。 |
可选 |
整数数组 |
可选值:
|
通用参数
这些是公共API方法通用的参数。
|
参数 |
描述 |
是否包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
该参数为请求添加标识符,使其与对应响应关联。 目标方在响应中返回相同值,便于调用追踪。 |
必填 |
字符串 |
无额外要求 |
|
|
用于发送请求的方法名称。 |
必填 |
字符串 |
必须是有效的方法名。 |
|
|
请求和响应所使用的JSON-RPC版本。 |
必填 |
整数 |
可选值:
|
|
|
包含请求配置的对象。 |
必填 |
对象 |
无额外要求。 |
|
在
|
||||
|
|
结果页码。 |
可选 |
整数 |
默认值:
|
|
|
每页显示的结果数量。 |
可选 |
整数 |
每页上限为300条。
默认值:
|
返回值
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
当前显示的页码。 |
|
|
整数 |
每页显示的结果数量。 |
|
|
整数 |
响应中包含的总页数。 |
|
|
整数 |
响应中包含的行为档案总数量。 |
对象
条目
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
规则的ID。 |
|
|
字符串 |
规则的类型。 |
|
|
字符串 |
规则的名称。 |
|
|
字符串 |
规则及其触发条件的简短描述。 |
|
|
整数 |
规则上次触发的时间戳,采用Unix纪元格式。 |
|
|
整数 |
规则上次更新的时间戳,采用Unix纪元格式。 |
|
|
整数 |
触发规则后生成的推荐数量。 |
|
|
整数 |
规则被触发的次数。 |
|
|
整数 |
表现出使用规则所针对工具或技术迹象的配置文件数量。 |
|
|
Integer |
未显示使用该规则所针对工具或技术迹象的配置文件数量。 |
|
|
Integer |
因触发此规则而自动应用建议的配置文件数量。 此PHASR设置称为Autopilot(自动驾驶模式)。 |
|
|
Integer |
因触发此规则而创建的建议经人工审批后应用的配置文件数量。 此PHASR设置称为Direct control(直接控制模式)。 |
示例
请求 :
{
"params": {
"companyId": "68306c15c9b5cb3e920ffe22",
"categories": [1, 3, 5],
"page": 29,
"perPage": 3
},
"jsonrpc": "2.0",
"method": "getMonitoredRules",
"id": "d4d50719-3215-455a-a329-086fe77f6d72"
}
响应 :
{
"id": "d4d50719-3215-455a-a329-086fe77f6d72",
"jsonrpc": "2.0",
"result": [
"page": 29,
"perPage": 3,
"pagesCount": 32,
"total": 95,
"items": [
{
"ruleId": 787,
"category": "TamperingTool",
"name": "AuotitGenericUsage",
"description": "AutoIt是一种用于自动化Windows GUI和通用脚本编写的脚本语言。\"autoit.exe\"通常是用于运行AutoIt语言编写的脚本的可执行文件。\n恶意软件可利用AutoIt创建自动化恶意活动的脚本,如下载和执行其他恶意软件、键盘记录或在未经用户同意的情况下更改系统设置。",
"lastTriggered": 1748247681,
"latestUpdate": 1748250401,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 10,
"profilesNotUsingSuchTools": 7,
"restrictedProfilesByAutopilot": 10,
"restrictedProfilesByDirectControl": 6
},
{
"ruleId": 695,
"category": "HackTool",
"name": "KmspicoGenericUsage",
"description": "KMSPico是一种通过模拟密钥管理服务(KMS)服务器来激活Windows和Office等微软产品的工具。\n恶意软件可利用KMSPico绕过软件激活措施,从而未经授权访问软件功能,并可能包含危害系统的恶意负载。",
"lastTriggered": null,
"latestUpdate": null,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 8,
"profilesNotUsingSuchTools": 8,
"restrictedProfilesByAutopilot": 9,
"restrictedProfilesByDirectControl": 6
},
{
"ruleId": 696,
"category": "HackTool",
"name": "WindowsActivatorGenericUsage",
"description": "Windows二进制文件名中的\"激活工具\"通常指用于绕过软件激活机制的破解工具。激活工具可能修改系统文件或注册表项,诱使软件认为安装已合法激活。\n恶意软件可利用激活工具禁用合法软件保护,传播盗版软件。此外,攻击者可能将恶意软件伪装成激活工具或捆绑其中,导致未经授权的系统访问、数据窃取或安装额外恶意软件。",
"lastTriggered": null,
"latestUpdate": null,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 8,
"profilesNotUsingSuchTools": 6,
"restrictedProfilesByAutopilot": 8,
"restrictedProfilesByDirectControl": 10
}
]
]
}