getMonitoredRules
此方法显示特定公司所有行为类别中被监控的PHASR规则。
发起请求的用户必须对ID所属公司拥有网络管理员权限。
参数
|
参数 |
描述 |
请求包含项 |
类型 |
取值 |
|---|---|---|---|---|
|
|
决定方法返回何种类型的规则。 |
可选 |
整数数组 |
可选值:
|
通用参数
这些是公共API方法中通用的参数。
|
参数 |
描述 |
是否包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
该参数为请求添加标识符,用于关联对应的响应。 目标方在响应中返回相同值,便于调用追踪。 |
必填 |
字符串 |
无额外要求 |
|
|
请求所使用的方法名称。 |
必填 |
字符串 |
必须是有效的方法名。 |
|
|
请求与响应所使用的JSON-RPC版本。 |
必填 |
整数 |
可选值:
|
|
|
包含请求配置的对象。 |
必填 |
对象 |
无额外要求。 |
|
在
|
||||
|
|
结果页码。 |
可选 |
整数 |
默认值:
|
|
|
每页显示的结果数量。 |
可选 |
整数 |
每页上限为300项。
默认值:
|
返回值
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
当前显示的页码。 |
|
|
整数 |
每页显示的结果数量。 |
|
|
整数 |
响应中包含的总页数。 |
|
|
整数 |
响应中包含的行为配置文件总数。 |
对象
items
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
规则的ID。 |
|
|
字符串 |
规则的类型。 |
|
|
字符串 |
规则名称。 |
|
|
String |
规则的简要说明及触发条件。 |
|
|
Integer |
规则最后一次触发的时间戳,采用Unix纪元格式。 |
|
|
Integer |
规则最后一次更新的时间戳,采用Unix纪元格式。 |
|
|
Integer |
因触发该规则而生成的建议数量。 |
|
|
Integer |
规则被触发的次数。 |
|
|
Integer |
表现出使用该规则所针对工具或技术迹象的配置文件数量。 |
|
|
Integer |
未表现出使用该规则所针对工具或技术迹象的配置文件数量。 |
|
|
Integer |
因触发该规则而创建的建议被自动应用的配置文件数量。 此PHASR设置称为Autopilot(自动模式)。 |
|
|
Integer |
因触发该规则而创建的建议经手动批准后应用的配置文件数量。 此PHASR设置称为Direct control(手动控制模式)。 |
示例
请求 :
{
"params": {
"companyId": "68306c15c9b5cb3e920ffe22",
"categories": [1, 3, 5],
"page": 29,
"perPage": 3
},
"jsonrpc": "2.0",
"method": "getMonitoredRules",
"id": "d4d50719-3215-455a-a329-086fe77f6d72"
}
响应 :
{
"id": "d4d50719-3215-455a-a329-086fe77f6d72",
"jsonrpc": "2.0",
"result": [
"page": 29,
"perPage": 3,
"pagesCount": 32,
"total": 95,
"items": [
{
"ruleId": 787,
"category": "TamperingTool",
"name": "AuotitGenericUsage",
"description": "AutoIt是一种用于自动化Windows GUI和通用脚本编写的脚本语言。\"autoit.exe\"通常是用于运行AutoIt语言编写的脚本的可执行文件。\n恶意软件可以利用AutoIt创建自动化恶意活动的脚本,如下载和执行其他恶意软件、键盘记录或在未经用户同意的情况下更改系统设置。",
"lastTriggered": 1748247681,
"latestUpdate": 1748250401,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 10,
"profilesNotUsingSuchTools": 7,
"restrictedProfilesByAutopilot": 10,
"restrictedProfilesByDirectControl": 6
},
{
"ruleId": 695,
"category": "HackTool",
"name": "KmspicoGenericUsage",
"description": "KMSPico是一种工具,旨在通过模拟密钥管理服务(KMS)服务器来激活没有合法许可证的Microsoft产品(如Windows和Office)。\n恶意软件可以利用KMSPico绕过软件激活措施,从而未经授权访问软件功能,并可能包含恶意负载以危害系统。",
"lastTriggered": null,
"latestUpdate": null,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 8,
"profilesNotUsingSuchTools": 8,
"restrictedProfilesByAutopilot": 9,
"restrictedProfilesByDirectControl": 6
},
{
"ruleId": 696,
"category": "HackTool",
"name": "WindowsActivatorGenericUsage",
"description": "Windows二进制文件名中的\"activator\"通常指用于绕过软件激活机制的工具,常用于盗版软件。激活器可以修改系统文件或注册表项,欺骗软件认为安装已合法激活。\n恶意软件可以利用激活器禁用合法的软件保护,从而传播盗版软件。此外,恶意行为者可能将恶意软件伪装成激活器或与激活器捆绑,导致未经授权的系统访问、数据窃取或安装其他恶意软件。",
"lastTriggered": null,
"latestUpdate": null,
"recommendations": 1,
"ruleTriggers": 0,
"profilesUsingSuchTools": 8,
"profilesNotUsingSuchTools": 6,
"restrictedProfilesByAutopilot": 8,
"restrictedProfilesByDirectControl": 10
}
]
]
}