获取事件列表
此方法返回公司的事件项。它包含在 事件API 中,该API提供管理终端和检测(EDR)功能的方法。
API网址:
CONTROL_CENTER_APIs_ACCESS_URL/v1.2/jsonrpc/incidents
参数
|
参数 |
描述 |
包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
从结果总页数中指定要显示的页码。 |
可选 |
整数 |
无额外要求。
默认值:
|
|
|
每页显示的条目数量。 |
可选 |
整数 |
可选值:
默认值:
|
|
|
指定返回哪些事件。 |
可选 |
对象 |
无额外要求。
更多信息请参阅
|
|
|
提供额外的事件筛选选项。 |
可选 |
对象 |
无额外要求。
更多信息请参考
|
对象
筛选器
|
参数 |
描述 |
包含于请求中 |
类型 |
|---|---|---|---|
|
|
需要获取事件的公司ID。 默认值:API请求所用密钥关联的公司ID。 发起API调用的用户必须具有访问指定公司的权限。 |
可选 |
字符串 |
|
|
仅返回此端点作为相关节点之一的事件。 |
可选 |
字符串 |
|
|
仅返回具有此状态的事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回具有此优先级的事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回此类事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回已执行此主要操作的突发事件。 可选值:
|
可选 |
字符串数组 |
|
|
仅返回分配了此用户ID所有者的突发事件。 |
可选 |
字符串 |
|
|
检索在此日期和时间之后最后更新的突发事件。
仅当请求中同时包含
分配给
|
可选 |
字符串,ISO-8601格式 |
|
|
检索在此日期和时间之前最后更新的突发事件。
仅当请求中同时包含
分配给
|
可选 |
字符串,ISO-8601格式 |
|
|
获取在此日期时间之后在GravityZone中更新的安全事件。
仅当请求中同时包含
对
|
可选 |
字符串,ISO-8601格式 |
|
|
获取在此日期时间之后在GravityZone中记录的安全事件。
仅当请求中同时包含
对
|
可选 |
字符串,ISO-8601格式 |
options
|
参数 |
描述 |
包含在请求中 |
类型 |
|---|---|---|---|
|
|
若设置为
|
可选。 |
布尔值 |
返回值
此方法返回一个包含事件条目信息的对象。返回对象包含以下属性:
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
当前显示页面的页码。 |
|
|
整数 |
总页数。 |
|
|
整数 |
每页返回的条目数量。 |
|
|
整数 |
条目总数。 |
|
|
对象数组 |
包含事件信息条目列表的数组。详情请参阅
|
对象
条目
每个对象提供特定事件的详细信息。
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
事件的ID。 |
|
|
整数 |
事件编号,如 GravityZone 控制台 事件 页面所示。 |
|
|
字符串 |
事件的类型。 可能取值:
|
|
|
对象 |
该对象包含事件创建所在公司的数据。 |
|
|
字符串 |
事件的状态。 可选值:
|
|
|
字符串 |
事件检测时保护技术自动采取的主要操作。 可选值:
|
|
|
字符串 |
事件创建的日期。 |
|
|
字符串 |
事件最后一次更新的日期。 |
|
|
字符串 |
事件在GravityZone中最后一次处理的日期。 |
|
|
整数 |
事件严重性评分。 |
|
|
字符串 |
用于在 GravityZone . 注意用户需要登录 GravityZone 才能访问该事件。 |
|
|
对象 |
提供关于事件被分配用户的信息。 |
|
|
整数 |
事件的优先级。 可能取值:
|
|
|
字符串数组 |
事件中检测到的攻击类型名称列表。 |
|
|
对象 |
该对象包含关于事件的附加信息。
提供的信息将取决于
|
company
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
创建事件的公司ID。 |
|
|
字符串 |
创建事件的公司名称。 |
details
|
属性 |
类型 |
描述 |
|---|---|---|
|
EDR事件(
|
||
|
|
字符串 |
检测名称。 |
|
|
对象 |
指示此事件用于关联数据的所有扩展事件的对象列表。
更多信息请参阅
|
|
|
字符串 |
生成该事件的终端ID。 |
|
|
字符串 |
生成该事件的终端名称。 |
|
|
字符串 |
生成该事件的终端完全限定域名(FQDN)。 |
|
|
字符串 |
生成该事件的终端IP地址。 若终端存在多个IP地址,此处仅显示与 GravityZone 通信所用的IP,而非攻击中使用的IP。 |
|
|
字符串数组 |
终端MAC地址列表。 |
|
|
对象 |
反映事件中各类资源数量的计数器列表。
更多信息请参阅
|
|
XDR事件(
|
||
|
|
Object |
一个对象列表,指示了哪些其他事件被用于关联该事件中的数据。
更多信息,请参阅
|
|
|
Object |
一个对象列表,指示了该事件被用于关联数据的扩展事件。
更多信息,请参阅
|
|
|
Object |
一个计数器映射,反映了事件中存在的某类资源的数量。
更多信息,请参阅
|
contains
和
partOf
|
Attribute |
Type |
Description |
|---|---|---|
|
|
String |
事件的ID。 |
|
|
String |
用于在 GravityZone . 注意用户需要登录 GravityZone 才能访问该事件。 |
counters
|
属性 |
类型 |
描述 |
|---|---|---|
|
EDR事件 |
||
|
|
Integer |
涉及该事件的终端数量。 |
|
|
Integer |
涉及该事件的文件数量。 |
|
|
Integer |
涉及该事件的进程数量。 |
|
|
Integer |
涉及该事件的域名数量。 |
|
|
Integer |
涉及该事件的注册表键数量(仅适用于使用Windows的终端)。 |
|
|
Integer |
涉及该系统事件的数量。 |
|
|
整数 |
事件涉及的存储设备数量。 |
|
XDR事件 |
||
|
|
整数 |
事件涉及的终端数量。 |
|
|
整数 |
事件涉及的服务器数量。 |
|
|
整数 |
事件涉及的移动设备数量。 |
|
|
整数 |
事件涉及的打印机数量。 |
|
|
整数 |
事件涉及的路由器数量。 |
|
|
整数 |
事件涉及的物联网设备数量。 |
|
|
整数 |
事件涉及的身份标识数量。 |
|
|
整数 |
事件涉及的电子邮件数量。 |
|
|
整数 |
事件涉及的IP地址数量。 |
|
|
Integer |
事件涉及的域名数量。 |
|
|
Integer |
事件涉及的域名服务器数量。 |
|
|
Integer |
事件涉及的域名生成算法( DGAs )数量。 |
|
|
Integer |
事件涉及的云存储数量。 |
|
|
Integer |
事件涉及的 Tor节点 数量。 |
|
|
Integer |
事件涉及的外部驱动器数量。 |
|
|
Integer |
事件涉及的外部来源数量。 |
|
|
Integer |
事件涉及的泄露文件数量。 |
|
|
整数 |
事件涉及的内网IP数量。 |
|
|
整数 |
事件涉及的内部邮件数量。 |
|
|
整数 |
事件涉及的用户数量。 |
|
|
整数 |
事件涉及的虚拟桌面数量。 |
|
|
整数 |
事件涉及的容器(docker、k8s等)数量。 |
|
|
整数 |
事件涉及的数据库数量。 |
|
|
整数 |
事件涉及的存储数量。 |
|
|
整数 |
事件涉及的Office 365实例数量。 |
|
|
整数 |
事件涉及的Active Directory实例数量。 |
|
|
整数 |
事件涉及的Azure Active Directory实例数量。 |
|
|
整数 |
事件涉及的Google Cloud Platform实例数量。 |
|
|
整数 |
事件涉及的Google Workspace实例数量。 |
|
|
整数 |
事件涉及的Atlassian实例数量。 |
|
|
整数 |
事件涉及的Atlassian Bitbucket产品数量。 |
|
|
整数 |
事件涉及的Atlassian Jira产品数量。 |
|
|
整数 |
事件涉及的Atlassian Confluence产品数量。 |
|
|
整数 |
事件涉及的Bitbucket项目数量。 |
|
|
整数 |
事件涉及的Confluence空间数量。 |
示例
请求
{
"id": "1231",
"method": "getIncidentsList",
"jsonrpc": "2.0",
"params": {
"page": 1,
"perPage": 1000,
"filters": {
"companyId": "61827b8036492c2fc0718722",
"endpointId": "7f127b8036492c2fc071823d",
"status": ["开放", "已关闭", "进行中", "误报"],
"incidentType": ["事件", "扩展事件"],
"mainAction": ["已报告", "已拦截", "部分拦截"],
"priority": ["未知", "低", "中", "高", "严重"],
"assignedUserId": "55127b8036492c2fc0718eea",
"startDate": "2025-02-03T08:21:43+00:00",
"endDate": "2025-02-04T08:23:43+00:00",
"processedStartDate": "2025-02-03T08:21:43+00:00",
"processedEndDate": "2025-02-04T08:23:43+00:00",
},
"options": {
"includeChildCompanies": true,
}
}
}
响应
{
"id": "1231",
"jsonrpc": "2.0",
"result": {
"total": 2,
"page": 1,
"perPage": 1000,
"pagesCount": 1,
"items": [
{
"incidentId": "67a0bcb2b436ba781b692ab2",
"incidentNumber": 14,
"incidentType": "安全事件",
"company": {
"id": "67a092e00cb1855d900d5792",
"name": "Bitdefender"
},
"status": "开放",
"mainAction": "已上报",
"created": "2025-02-03T12:55:13+00:00",
"lastUpdated": "2025-02-03T12:59:50+00:00",
"lastProcessed": "2025-02-03T13:00:14+00:00",
"severityScore": 59,
"incidentLink": "https://cloud.gravityzone.bitdefender.com/#!/incidents/view/67a0bcb2b436ba781b692ab2",
"assignee": "55127b8036492c2fc0718eea",
"priority": "未知",
"attackTypes": [
"其他"
],
"details": {
"detectionName": "URL.钓鱼",
"partOf": [
{
"incidentId": "67a0b256a2757f87d3fd93ea",
"incidentLink": "https://cloud.gravityzone.bitdefender.com/#!/incidents/view/67a0b256a2757f87d3fd93ea"
}
],
"computerId": "67a0a0ee7a338e369211f8b6",
"computerName": "JB-EP3",
"computerFqdn": "jb-ep3",
"computerIp": "10.17.44.33"
"computerMacAddresses": ["46dd327ae0cc"],
"counters": {
"endpoints": 1,
"files": 7,
"processes": 10,
"domains": 0,
"registries": 2,
"events": 30,
"storages": 0
},
}
},
{
"incidentId": "67a0b256a2757f87d3fd93ea",
"incidentNumber": 10,
"incidentType": "扩展安全事件",
"company": {
"id": "67a092e00cb1855d900d5792",
"name": "Bitdefender"
},
"status": "开放",
"mainAction": "部分拦截",
"created": "2025-02-03T12:10:15+00:00",
"lastUpdated": "2025-02-03T12:55:01+00:00",
"lastProcessed": "2025-02-03T13:00:14+00:00",
"severityScore": 82,
"incidentLink": "https://cloud.gravityzone.bitdefender.com/#!/incidents/view/67a0b256a2757f87d3fd93ea",
"assignee": "55127b8036492c2fc0718eea",
"priority": "低",
"attackTypes": [
"漏洞利用"
],
"details": {
"contains": [],
"partOf": [],
"counters": {
"endpoints": 8,
"servers": 7,
"mobileDevices": 17,
"printers": 15,
"routers": 4,
"IoTs": 8,
"identities": 0,
"emails": 3,
"IPs": 19,
"domains": 5,
"DNS": 8,
"DGAs": 8,
"cloudStorages": 9,
"torNodes": 6,
"externalDrives": 15,
"externalSources": 8,
"exfiltratedFiles": 0,
"internalIPs": 0,
"internalEmails": 0,
"users": 0,
"virtualDesktops": 0,
"containers": 0,
"databases": 0,
"storages": 0,
"office365Instances": 0,
"ADInstances": 0,
"azureADInstances": 0,
"AWSInstances": 0,
"GCPInstances": 0,
"googleWorkspaceInstances": 0,
"atlassianInstances": 0,
"atlassianBitbucketProducts": 0,
"atlassianJiraProducts": 0,
"atlassianConfluenceProducts": 0,
"bitbucketProjects": 0,
"confluenceSpaces": 0
}
}
}
]
}
}