获取监控规则
该方法显示特定公司所有行为类别下受监控的PHASR规则。
发起请求的用户必须具有该公司ID所属企业的网络管理员权限。
参数
|
参数 |
描述 |
请求包含 |
类型 |
取值 |
|---|---|---|---|---|
|
|
需要获取监控规则的目标公司ID。 |
必填 |
字符串 |
默认值:与请求所用API密钥关联的公司ID。 |
|
|
决定该方法返回何种类型的规则。 |
可选 |
整数数组 |
可选值:
|
通用参数
这些是公共API方法通用的参数。
|
参数 |
描述 |
包含于请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
该参数为请求添加标识符,用于关联对应的响应。 目标方在响应中返回相同值,便于调用追踪。 |
必填 |
字符串 |
无额外要求 |
|
|
请求所使用的方法名称。 |
必填 |
字符串 |
必须是有效的方法名。 |
|
|
请求与响应使用的JSON-RPC版本。 |
必填 |
整数 |
可选值:
|
|
|
包含请求配置的对象。 |
必填 |
对象 |
无额外要求。 |
|
在
|
||||
|
|
结果页的页码。 |
可选 |
整数 |
默认值:
|
|
|
每页显示的结果数量。 |
可选 |
整数 |
每页上限为300条。
默认值:
|
返回值
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
当前显示的页码。 |
|
|
整数 |
每页显示的结果数量。 |
|
|
整数 |
响应中包含的总页数。 |
|
|
整数 |
响应中包含的行为档案总数。 |
对象
条目
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
规则的唯一标识符。 |
|
|
字符串 |
规则的类型。 |
|
|
字符串 |
规则的名称。 |
|
|
字符串 |
规则及其触发条件的简要说明。 |
|
|
整数 |
规则最后一次触发的时间戳,采用Unix纪元格式。 |
|
|
整数 |
规则最后一次更新的时间戳,采用Unix纪元格式。 |
|
|
整数 |
因触发该规则而生成的推荐数量。 |
|
|
整数 |
规则被触发的次数。 |
|
|
整数 |
显示使用该规则所针对工具或技术迹象的配置文件数量。 |
|
|
整数 |
未显示使用该规则所针对工具或技术任何迹象的配置文件数量。 |
|
|
整数 |
因触发此规则而创建的建议被自动应用的配置文件数量。 该PHASR设置称为自动模式。 |
|
|
整数 |
因触发此规则而创建的建议经手动批准后应用的配置文件数量。 该PHASR设置称为直接控制模式。 |
示例
请求 :
{
"params": {
"companyId": "68306c15c9b5cb3e920ffe22",
"categories": [1, 3, 5],
"page": 29,
"perPage": 3
},
"jsonrpc": "2.0",
"method": "getMonitoredRules",
"id": "d4d50719-3215-455a-a329-086fe77f6d72"
}
响应 :
{
"id": "d4d50719-3215-455a-a329-086fe77f6d72",
"jsonrpc": "2.0",
"result": [
"page": 29,
"perPage": 3,
"pagesCount": 32,
"total": 95,
"items": [
{
"ruleId": 787,
"category": "TamperingTool",
"name": "AuotitGenericUsage",
"description": "AutoIt是一种用于自动化Windows GUI和通用脚本编写的脚本语言。\"autoit.exe\"通常用于运行以AutoIt语言编写的脚本。\n恶意软件可利用AutoIt创建自动化恶意活动的脚本,如下载并执行其他恶意软件、键盘记录或在未经用户同意的情况下修改系统设置。",
"lastTriggered": 1748247681,
"latestUpdate": 1748250401,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 10,
"profilesNotUsingSuchTools": 7,
"restrictedProfilesByAutopilot": 10,
"restrictedProfilesByDirectControl": 6
},
{
"ruleId": 695,
"category": "HackTool",
"name": "KmspicoGenericUsage",
"description": "KMSPico是一种通过模拟密钥管理服务(KMS)服务器来激活Windows和Office等微软产品的工具。\n恶意软件可利用KMSPico绕过软件激活措施,从而未经授权访问软件功能,并可能包含危害系统的恶意负载。",
"lastTriggered": null,
"latestUpdate": null,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 8,
"profilesNotUsingSuchTools": 8,
"restrictedProfilesByAutopilot": 9,
"restrictedProfilesByDirectControl": 6
},
{
"ruleId": 696,
"category": "HackTool",
"name": "WindowsActivatorGenericUsage",
"description": "Windows二进制文件名中的\"激活器\"通常指用于绕过软件激活机制的工具,常用于盗版软件。激活器可修改系统文件或注册表项,欺骗软件认为安装已合法激活。\n恶意软件可利用激活器禁用合法软件保护,传播盗版软件。此外,攻击者可能将恶意软件伪装成激活器或捆绑其中,导致未经授权的系统访问、数据窃取或安装其他恶意软件。",
"lastTriggered": null,
"latestUpdate": null,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 8,
"profilesNotUsingSuchTools": 6,
"restrictedProfilesByAutopilot": 8,
"restrictedProfilesByDirectControl": 10
}
]
]
}