获取事件列表
该方法返回公司的安全事件条目,包含于 安全事件API 中,该API提供管理终端检测与响应(EDR)功能的方法。
API地址:
CONTROL_CENTER_APIs_ACCESS_URL/v1.2/jsonrpc/incidents
参数
|
参数 |
描述 |
是否包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
从结果总页数中指定要显示的页码。 |
可选 |
整数 |
无额外要求。
默认值:
|
|
|
每页显示的项目数量。 |
可选 |
整数 |
可选值:
默认值:
|
|
|
指定返回哪些事件。 |
可选 |
对象 |
无额外要求。
更多信息请参考
|
|
|
提供事件的附加筛选选项。 |
可选 |
对象 |
无额外要求。
更多信息请参考
|
对象
筛选条件
|
参数 |
描述 |
包含在请求中 |
类型 |
|---|---|---|---|
|
|
要获取事件的公司ID。 默认值:与用于请求的API密钥关联的公司ID。 发起API调用的用户必须有权访问指定公司。 |
可选 |
字符串 |
|
|
仅返回此终端作为相关节点之一出现的事件。 |
可选 |
字符串 |
|
|
仅返回分配了此状态的事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回分配了此优先级的事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回此类事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回执行过此主要操作的事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回分配了此用户ID所有者的事件。 |
可选 |
字符串 |
|
|
检索在此日期时间之后最后更新的事件。
仅当同时包含
分配给
|
可选 |
字符串(ISO-8601格式) |
|
|
检索在此日期时间之前最后更新的事件。
仅当请求中同时包含
分配给
|
可选 |
字符串,ISO-8601格式 |
|
|
获取在此日期时间之后于GravityZone中更新的安全事件。
仅当请求中同时包含
分配给
|
可选 |
字符串,ISO-8601格式 |
|
|
获取在此日期时间之后于GravityZone中记录的安全事件。
仅当请求中同时包含
分配给
|
可选 |
字符串,ISO-8601格式 |
选项
|
参数 |
描述 |
包含在请求中 |
类型 |
|---|---|---|---|
|
|
若设置为
|
可选。 |
布尔值 |
返回值
此方法返回一个包含事件条目信息的对象。返回对象包含以下属性:
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
当前显示页面的页码。 |
|
|
整数 |
总页数。 |
|
|
整数 |
每页返回的条目数量。 |
|
|
整数 |
项目总数。 |
|
|
对象数组 |
包含事件信息项目列表的数组。更多信息请参阅
|
对象
项目
每个对象提供特定事件的详细信息。
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
事件的ID。 |
|
|
整数 |
事件编号,如 GravityZone 控制台 事件 页面所示。 |
|
|
字符串 |
事件的类型。 可能取值:
|
|
|
Object |
该对象包含创建事件的公司的数据。 |
|
|
String |
事件的状态。 可能的值:
|
|
|
String |
检测到事件时,保护技术自动采取的主要操作。 可能的值:
|
|
|
String |
事件创建的日期。 |
|
|
String |
事件最后更新的日期。 |
|
|
String |
该事件在GravityZone中最后一次处理的日期。 |
|
|
Integer |
事件的严重性评分。 |
|
|
String |
用于在 GravityZone . Note用户需要登录 GravityZone 才能访问该事件。 |
|
|
Object |
提供有关分配给该事件的用户的信息。 |
|
|
Integer |
事件的优先级。 可能的值:
|
|
|
Array of strings |
事件中检测到的攻击类型名称列表。 |
|
|
对象 |
该对象包含与事件相关的附加信息。
所提供的信息将取决于
|
公司
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
创建事件的公司ID。 |
|
|
字符串 |
创建事件的公司名称。 |
详情
|
属性 |
类型 |
描述 |
|---|---|---|
|
EDR事件(
|
||
|
|
字符串 |
检测项名称。 |
|
|
对象 |
一个对象列表,指示此事件用于关联数据时所属的扩展事件。
更多信息,请参阅
|
|
|
字符串 |
生成事件的终端ID。 |
|
|
字符串 |
生成事件的终端名称。 |
|
|
字符串 |
生成事件的终端FQDN。 |
|
|
字符串 |
生成事件的终端IP。 若终端有多个IP,此处将报告用于与 GravityZone 通信的IP,而非攻击中使用的IP。 |
|
|
字符串数组 |
终端MAC地址列表。 |
|
|
对象 |
反映事件中各类资源数量的计数器列表。
更多信息,请参阅
|
|
XDR事件(
|
||
|
|
Object |
一个对象列表,指示了哪些其他事件被用于关联该事件中的数据。
更多信息,请参阅
|
|
|
Object |
一个对象列表,指示了该事件被用于关联数据的扩展事件。
更多信息,请参阅
|
|
|
Object |
一个计数器映射,反映了事件中存在的某种类型资源的数量。
更多信息,请参阅
|
contains
和
partOf
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
事件的ID。 |
|
|
字符串 |
可用于在 GravityZone . 注意用户需要登录 GravityZone 才能访问该事件。 |
counters
|
属性 |
类型 |
描述 |
|---|---|---|
|
EDR事件 |
||
|
|
整数 |
涉及事件的终端数量。 |
|
|
整数 |
涉及事件的文件数量。 |
|
|
整数 |
涉及事件的进程数量。 |
|
|
整数 |
涉及事件的域名数量。 |
|
|
整数 |
事件涉及的注册表键数量。仅适用于使用Windows的终端。 |
|
|
整数 |
事件涉及的系统事件数量。 |
|
|
整数 |
事件涉及的存储设备数量。 |
|
XDR事件 |
||
|
|
整数 |
事件涉及的终端数量。 |
|
|
整数 |
事件涉及的服务器数量。 |
|
|
整数 |
事件涉及的移动设备数量。 |
|
|
整数 |
事件涉及的打印机数量。 |
|
|
整数 |
事件涉及的路由器数量。 |
|
|
整数 |
事件涉及的物联网设备数量。 |
|
|
整数 |
事件涉及的身份数量。 |
|
|
整数 |
事件涉及的电子邮件数量。 |
|
|
整数 |
事件涉及的IP地址数量。 |
|
|
整数 |
事件涉及的域名数量。 |
|
|
整数 |
事件涉及的域名服务器数量。 |
|
|
整数 |
事件涉及的域名生成算法( DGA )数量。 |
|
|
整数 |
事件涉及的云存储数量。 |
|
|
整数 |
事件涉及的 Tor节点 数量。 |
|
|
整数 |
事件涉及的外部驱动器数量。 |
|
|
整数 |
事件涉及的外部来源数量。 |
|
|
Integer |
事件涉及的泄露文件数量。 |
|
|
Integer |
事件涉及的内部IP地址数量。 |
|
|
Integer |
事件涉及的内部邮件数量。 |
|
|
Integer |
事件涉及的用户数量。 |
|
|
Integer |
事件涉及的虚拟桌面数量。 |
|
|
Integer |
事件涉及的容器(docker、k8s等)数量。 |
|
|
Integer |
事件涉及的数据库数量。 |
|
|
Integer |
事件涉及的存储设备数量。 |
|
|
Integer |
事件涉及的Office 365实例数量。 |
|
|
Integer |
事件涉及的Active Directory实例数量。 |
|
|
整数 |
事件涉及的Azure Active Directory实例数量。 |
|
|
整数 |
事件涉及的Google Cloud Platform实例数量。 |
|
|
整数 |
事件涉及的Google Workspaces实例数量。 |
|
|
整数 |
事件涉及的Atlassian实例数量。 |
|
|
整数 |
事件涉及的Atlassian Bitbucket产品数量。 |
|
|
整数 |
事件涉及的Atlassian Jira产品数量。 |
|
|
整数 |
事件涉及的Atlassian Confluence产品数量。 |
|
|
整数 |
事件涉及的Bitbucket项目数量。 |
|
|
整数 |
事件涉及的Confluence空间数量。 |
示例
请求
{
"id": "1231",
"method": "getIncidentsList",
"jsonrpc": "2.0",
"params": {
"page": 1,
"perPage": 1000,
"filters": {
"companyId": "61827b8036492c2fc0718722",
"endpointId": "7f127b8036492c2fc071823d",
"status": ["open", "closed", "in_progress", "false_positive"],
"incidentType": ["incident", "extendedIncident"],
"mainAction": ["reported", "blocked", "partially_blocked"],
"priority": ["unknown", "low", "medium", "high", "critical"],
"assignedUserId": "55127b8036492c2fc0718eea",
"startDate": "2025-02-03T08:21:43+00:00",
"endDate": "2025-02-04T08:23:43+00:00",
"processedStartDate": "2025-02-03T08:21:43+00:00",
"processedEndDate": "2025-02-04T08:23:43+00:00",
},
"options": {
"includeChildCompanies": true,
}
}
}
响应
{
"id": "1231",
"jsonrpc": "2.0",
"result": {
"total": 2,
"page": 1,
"perPage": 1000,
"pagesCount": 1,
"items": [
{
"incidentId": "67a0bcb2b436ba781b692ab2",
"incidentNumber": 14,
"incidentType": "事件",
"company": {
"id": "67a092e00cb1855d900d5792",
"name": "Bitdefender"
},
"status": "开放",
"mainAction": "已报告",
"created": "2025-02-03T12:55:13+00:00",
"lastUpdated": "2025-02-03T12:59:50+00:00",
"lastProcessed": "2025-02-03T13:00:14+00:00",
"severityScore": 59,
"incidentLink": "https://cloud.gravityzone.bitdefender.com/#!/incidents/view/67a0bcb2b436ba781b692ab2",
"assignee": "55127b8036492c2fc0718eea",
"priority": "未知",
"attackTypes": [
"其他"
],
"details": {
"detectionName": "URL.钓鱼",
"partOf": [
{
"incidentId": "67a0b256a2757f87d3fd93ea",
"incidentLink": "https://cloud.gravityzone.bitdefender.com/#!/incidents/view/67a0b256a2757f87d3fd93ea"
}
],
"computerId": "67a0a0ee7a338e369211f8b6",
"computerName": "JB-EP3",
"computerFqdn": "jb-ep3",
"computerIp": "10.17.44.33"
"computerMacAddresses": ["46dd327ae0cc"],
"counters": {
"endpoints": 1,
"files": 7,
"processes": 10,
"domains": 0,
"registries": 2,
"events": 30,
"storages": 0
},
}
},
{
"incidentId": "67a0b256a2757f87d3fd93ea",
"incidentNumber": 10,
"incidentType": "扩展事件",
"company": {
"id": "67a092e00cb1855d900d5792",
"name": "Bitdefender"
},
"status": "开放",
"mainAction": "部分拦截",
"created": "2025-02-03T12:10:15+00:00",
"lastUpdated": "2025-02-03T12:55:01+00:00",
"lastProcessed": "2025-02-03T13:00:14+00:00",
"severityScore": 82,
"incidentLink": "https://cloud.gravityzone.bitdefender.com/#!/incidents/view/67a0b256a2757f87d3fd93ea",
"assignee": "55127b8036492c2fc0718eea",
"priority": "低",
"attackTypes": [
"漏洞利用"
],
"details": {
"contains": [],
"partOf": [],
"counters": {
"endpoints": 8,
"servers": 7,
"mobileDevices": 17,
"printers": 15,
"routers": 4,
"IoTs": 8,
"identities": 0,
"emails": 3,
"IPs": 19,
"domains": 5,
"DNS": 8,
"DGAs": 8,
"cloudStorages": 9,
"torNodes": 6,
"externalDrives": 15,
"externalSources": 8,
"exfiltratedFiles": 0,
"internalIPs": 0,
"internalEmails": 0,
"users": 0,
"virtualDesktops": 0,
"containers": 0,
"databases": 0,
"storages": 0,
"office365Instances": 0,
"ADInstances": 0,
"azureADInstances": 0,
"AWSInstances": 0,
"GCPInstances": 0,
"googleWorkspaceInstances": 0,
"atlassianInstances": 0,
"atlassianBitbucketProducts": 0,
"atlassianJiraProducts": 0,
"atlassianConfluenceProducts": 0,
"bitbucketProjects": 0,
"confluenceSpaces": 0
}
}
}
]
}
}