跳至主内容

createResponseAction

可通过此方法对以下系统生成的用户节点采取响应措施 GravityZone XDR 安全事件或自主SOC生成的事件。可根据 XDR 事件ID或节点中指定的用户数据发起请求。

参数

参数

描述

请求包含项

类型

取值

用户名

事件涉及的用户名。

操作类型1 , 2 , 3 , 4 , 5 , 89 .

操作类型6 ,则仅在未提供事件ID时需要填写用户名。

字符串

无附加要求。

邮箱ID

与用户节点关联的电子邮件ID。

actionType6 .

字符串

无额外要求。

actionType

使用此参数确定要执行的操作及操作环境类型。

必填

整数

可选值:

  • 1 - 重置Office 365或Azure AD用户的凭据。

  • 2 - 重置Active Directory用户的凭据。

  • 3 - 禁用Office 365或Azure AD用户。

  • 4 - 禁用Active Directory用户。

  • 5 - 将Office 365或Azure AD用户标记为已泄露。

  • 6 - 从Office 365用户账户中删除邮件。

  • 8 - 禁用Google用户。

  • 9 - 重置谷歌用户的凭证。

  • 10 - 删除Office 365 OneDrive或SharePoint文件。

  • 12 - 禁用AWS用户。

incidentId

用户节点所属的安全事件ID。

二者选一 incidentIdintegrationIdentifiers 必须包含在请求中。

字符串

无额外要求。

integrationIdentifiers

用于识别用户导入所使用集成服务的信息。

对象

参见 integrationIdentifiers

对象

integrationIdentifiers

适用于Office 365集成

参数

描述

包含在请求中

类型

取值

companyId

执行集成操作的公司ID。

必填

字符串

无额外要求。

officeTenantId

创建集成时使用的Office 365标识符。

必填

字符串

无额外要求。

用于停用AWS用户

参数

描述

包含在请求中

类型

取值

companyId

执行集成操作的公司ID。

必填

字符串

无额外要求。

accessKeyId

配置AWS集成时使用的AWS访问密钥ID。

该ID用于标识执行停用请求的特定AWS账户,确保“停用AWS用户”操作在正确的AWS环境中执行。

必填

字符串

无额外要求。

返回值

属性

类型

描述

结果

字符串

创建的响应动作ID。

示例

请求

使用事件ID

基于事件ID创建响应动作:

使用集成标识符

基于公司ID和集成标识符创建请求:

响应 

{
    "id": "7d2864e9-c67b-48a2-9ba3-0a11d47e83c8",
    "jsonrpc": "2.0",
    "result": "6560a95884f89d6eca0b61b1"
}
本节内容 :