本產品(
云安全中心(威脅分析)/2022-06-16)的OpenAPI采用RPC簽名風格,簽名細節參見簽名機制說明。我們已經為開發者封裝了常見編程語言的SDK,開發者可通過下載SDK直接調用本產品OpenAPI而無需關心技術細節。如果現有SDK不能滿足使用需求,可通過簽名機制進行自簽名對接。由于自簽名細節非常復雜,需花費 5個工作日左右。因此建議加入我們的服務釘釘群(78410016550),在專家指導下進行簽名對接。在使用API前,您需要準備好身份賬號及訪問密鑰(AccessKey),才能有效通過客戶端工具(SDK、CLI等)訪問API。細節請參見獲取AccessKey。
多賬號管控
| API | 標題 | API概述 |
|---|---|---|
| ListRdUsers | 查看資源目錄下用戶信息 | 列舉已經接入威脅分析多賬號管控的阿里云賬號,被納管到威脅分析的阿里云賬號才可以使用威脅分析日志接入、事件處置等功能。 |
| AddUser | 納管指定云賬號 | 將指定云賬號添加到威脅分析的多賬號管控,只有納管后的云賬號才可以試用日志接入等威脅分析功能。 |
| DeleteUser | 刪除指定云賬號的多賬號納管 | 解除已經添加到威脅分析-多賬號管控資源目錄阿里云賬號納管,如有需要可以重新添加。 |
日志接入
| API | 標題 | API概述 |
|---|---|---|
| ListAccountsByLog | 按日志查看賬號列表 | 按日志查看賬號列表。 |
| DescribeUserBuyStatus | 查看阿里云用戶威脅分析購買情況 | 查看當前阿里云用戶或對應的阿里云企業組織賬號是否已經購買威脅分析。 |
| SubmitJobs | 批量提交日志接入 | 批量提交日志接入任務,將對應日志數據接入到威脅分析體系中,進行告警事件分析。 |
| ListProjectLogStores | 自動查找SLS的LogStore信息 | 根據云產品默認的sls project名字的pattern, logstore名字的pattern查找是否存在對應的project和logstore。 |
| ListUserProdLogs | 查看日志接入的用戶信息 | 根據產品列舉用戶接入日志的列表。 |
| ModifyDataSource | 修改數據源 | 修改已經添加的數據源描述信息。 |
| ModifyDataSourceLog | 修改日志 | 修改數據源下添加的日志相關說明信息。 |
| ModifyBindAccount | 修改已經綁定的云賬號 | 修改已經綁定的云賬號。 |
| ListUsersByProd | 按產品查看已經接入的日志詳情 | 按產品查看用戶接入的日志詳情。 |
| ListImportedLogsByProd | 查看該產品下日志接入詳情 | 查看該產品下日志接入詳情。 |
| ListDataSourceTypes | 枚舉數據源類型 | 枚舉目前威脅分析支持的多云接入數據源類型。 |
| ListDataSourceLogs | 查看數據源下的日志列表 | 查看數據源下的日志列表。 |
| ListBindDataSources | 枚舉所有數據源 | 枚舉所有數據源。 |
| ListAllProds | 查看云產品列表 | 查看當前威脅分析已經支持的數據接入的云產品列表。 |
| EnableServiceForCloudSiem | 開通資源目錄權限 | 為威脅分析開通資源目錄授權,需要使用資源目錄管理員調用。 |
| EnableAccessForCloudSiem | 創建威脅分析SLR | 用戶授權接口,點擊將創建威脅分析角色AliyunServiceRoleForSasCloudSiem。 |
| DescribeServiceStatus | 查看資源目錄是否已給威脅分析授權 | 查看資源目錄是否已給威脅分析授權。 |
| DescribeProdCount | 查看多云產品數量 | 查看阿里云、騰訊云、華為云已經支持接入到威脅分析的云產品數量。 |
| DescribeImportedLogCount | 查看接入日志的數量 | 查看接入日志的數量。 |
| DescribeDataSourceParameters | 獲取數據源參數詳情 | 獲取數據源參數詳情。 |
| DescribeDataSourceInstance | 查看數據源詳情 | 查看數據源詳情。 |
| DescribeAuth | 檢查是否已經開通SIEM權限 | 檢查阿里云賬號是否已經給SIEM授權,已經創建了AliyunServiceRoleForSasCloudSiem角色。 |
| DeleteDataSourceLog | 刪除日志 | 刪除日志。 |
| DeleteDataSource | 刪除數據源 | 如果已添加的數據源不再使用,可以調用接口刪除數據源。 |
| DeleteBindAccount | 刪除已經綁定的多云賬號 | 解除已經綁定到威脅分析數據源模塊的多云(騰訊云、華為云)子賬號AK,解綁后可以更換賬號重新綁定。 |
| BindAccount | 綁定多云賬號 | 綁定云安全中心功能設置-多云資產中設置的多云賬號到威脅分析。 |
| AddUserSourceLogConfig | 添加日志接入 | 添加日志接入任務,將對應的日志數據接入到威脅分析中以便后續的告警、事件分析。 |
| AddDataSourceLog | 添加日志 | 添加日志。 |
| AddDataSource | 添加數據源 | 在該綁定的多云賬號下添加數據源。 |
| ListBindAccount | 列舉已經綁定的賬號列表 | 列舉已經綁定到威脅分析的多云賬號列表。 |
| ListAccountAccessId | 查看已綁定AK列表 | 查看已經綁定的多云AccessKeyId列表。 |
| SubmitImportLogTasks | 提交接入任務 | 批量提交接入任務。 |
| DescribeCsImportedProdStatusByUser | 查看用戶的阿里云產品開通情況 | 查看阿里云產品的開通情況。 |
安全告警
| API | 標題 | API概述 |
|---|---|---|
| DescribeAlertsWithEntity | 獲取實體關聯告警列表 | 獲取實體關聯的告警列表。 |
| DescribeAlerts | 獲取告警列表 | 獲取用戶的告警列表。 |
| DescribeAlertSource | 獲取告警數據源列表 | 獲取告警數據源列表。 |
| DescribeAlertsCount | 獲取告警不同級別計數 | 獲取告警不同級別計數。 |
事件處置
| API | 標題 | API概述 |
|---|---|---|
| DescribeEntityInfo | 獲取實體詳情 | 獲取實體詳情。 |
| PostEventDisposeAndWhiteruleList | 提交事件處置信息 | 提交事件處置信息。 |
| DescribeWafScope | 獲取作用域用戶名下waf實例的域名防護列表 | 獲取作用域用戶名下waf實例的域名防護列表。 |
| DescribeEventDispose | 獲取事件歷史處置策略 | 獲取事件歷史處置策略。 |
| DescribeEventCountByThreatLevel | 獲取事件各類型計數 | 獲取事件各類型計數。 |
| DescribeDisposeAndPlaybook | 獲取需要被處置的實體列表與劇本列表 | 獲取需要被處置的實體列表與劇本列表。 |
| DescribeCloudSiemEvents | 獲取事件列表 | 獲取siem事件列表。 |
| DescribeCloudSiemEventDetail | 獲取事件詳情 | 獲取事件詳情。 |
| DescribeCloudSiemAssetsCounter | 獲取事件關聯各類型資產計數 | 獲取事件關聯各類型資產計數。 |
| DescribeCloudSiemAssets | 獲取事件關聯資產列表 | 獲取事件關聯資產列表。 |
| DescribeAttackTimeLine | 獲取事件相關的告警時間線數據 | 獲取事件相關的告警時間線數據。 |
| DescribeAlertsWithEvent | 獲取事件關聯的告警列表 | 獲取指定事件關聯的告警列表。 |
| DescribeAlertSourceWithEvent | 獲取事件關聯告警數據源列表 | 獲取事件關聯告警數據源列表。 |
規則管理
| API | 標題 | API概述 |
|---|---|---|
| DescribeAlertType | 獲取自定義規則可選威脅類型列表 | 獲取自定義規則可選威脅類型列表。 |
| DeleteCustomizeRule | 刪除自定義規則 | 根據指定ID自定義規則。 |
| DescribeAggregateFunction | 獲取自定義規則聚合函數列表 | 獲取自定義規則支持的聚合函數列表。 |
| DescribeCustomizeRuleCount | 獲取自定義規則計數 | 獲取自定義規則計數。 |
| DescribeCustomizeRuleTest | 獲取模擬測試場景下的歷史模擬數據 | 獲取模擬測試場景下的歷史模擬數據。 |
| DescribeCustomizeRuleTestHistogram | 獲取自定義規則業務測試結果圖表 | 獲取自定義規則業務測試結果圖表。 |
| DescribeLogFields | 獲取自定義規則可配置字段列表 | 獲取自定義規則可配置字段列表。 |
| DescribeLogSource | 獲取自定義規則可配置日志源列表 | 獲取自定義規則可配置日志源列表。 |
| DescribeLogType | 獲取自定義規則可配置日志類型 | 獲取自定義規則可配置日志類型。 |
| DescribeOperators | 獲取自定義規則操作符列表 | 獲取自定義規則操作符列表。 |
| ListCloudSiemCustomizeRules | 獲取自定義規則列表 | 獲取自定義規則列表。 |
| ListCloudSiemPredefinedRules | 獲取預定義規則列表 | 獲取預定義規則列表。 |
| ListCustomizeRuleTestResult | 獲取自定義規則測試結果列表 | 獲取自定義規則測試結果列表。 |
| PostCustomizeRule | 添加或者更新自定義規則 | 添加或者更新自定義規則。 |
| PostCustomizeRuleTest | 提交自定義規則測試 | 提交自定義規則測試。 |
| PostFinishCustomizeRuleTest | 結束自定義規則測試 | 結束自定義規則測試。 |
| PostRuleStatusChange | 更新自定義規則狀態 | 更新自定義規則狀態。 |
響應規則
| API | 標題 | API概述 |
|---|---|---|
| DescribeScopeUsers | 獲取劇本作用域用戶列表 | 獲取劇本作用域用戶列表。 |
| DeleteAutomateResponseConfig | 刪除自動化響應規則 | 刪除指定ID的自動化響應規則。 |
| DescribeAutomateResponseConfigCounter | 獲取自動化響應規則計數 | 獲取自動化響應規則計數。 |
| DescribeAutomateResponseConfigFeature | 獲取自動化規則策略可配置字段及操作符 | 獲取自動化規則策略可配置字段及操作符。 |
| DescribeAutomateResponseConfigPlayBooks | 獲取用戶自定義劇本列表 | 獲取用戶自定義劇本列表。 |
| ListAutomateResponseConfigs | 獲取自動化響應規則列表 | 獲取自動化響應規則列表。 |
| PostAutomateResponseConfig | 添加或更新自動化響應規則 | 添加或更新自動化響應規則。 |
| UpdateAutomateResponseConfigStatus | 更新自動化響應規則狀態 | 更新自動化響應規則狀態。 |
處置中心
| API | 標題 | API概述 |
|---|---|---|
| ListDisposeStrategy | 獲取處置策略列表 | 獲取處置策略列表。 |
| DescribeDisposeStrategyPlaybook | 獲取處置策略使用的劇本列表 | 獲取處置策略使用的劇本列表。 |
權限管理
| API | 標題 | API概述 |
|---|---|---|
| ListOperation | 獲取當前登錄用戶擁有的資源權限 | 獲取當前登錄用戶所具備的資源操作權限,威脅分析服務存在兩種身份,管理員和普通成員,管理員具備所有權限,普通成員只能訪問受限資源。 |
存儲管理
| API | 標題 | API概述 |
|---|---|---|
| RestoreCapacity | 置空已有的存儲 | 釋放存儲空間,降低存儲使用量,注意,該操作不可逆,存在數據丟失的風險,謹慎使用。 |
| GetCapacity | 獲取當前企業威脅分析存儲的使用量及購買量 | 獲取當前威脅分析存儲的使用量以及預付費的購買量,單位為GB。 |
| SetStorage | 保存用戶設置的存儲信息 | 保存用戶設置的存儲天數,存儲地域(region)等信息。 |
| DescribeStorage | 判斷威脅分析用戶的存儲是否存在 | 判斷威脅分析用戶的存儲(用戶側日志服務中LogStore)是否正常。 |
| GetStorage | 獲取設置的存儲信息 | 獲取威脅分析與響應產品在用戶SLS中創建的存儲設置,包含存儲天數、存儲地域等信息。 |
投遞管理
| API | 標題 | API概述 |
|---|---|---|
| ListDelivery | 展示接入威脅分析的日志投遞狀態 | 查看整個企業或者普通成員接入威脅分析的產品、日志列表,以及這些日志的數據投遞情況。 |
| OpenDelivery | 開通日志的投遞 | 開通已經接入產品日志的投遞。 |
| CloseDelivery | 關閉威脅分析已接入的云產品日志的投遞 | 關閉某個已經接入的云產品日志的投遞,關閉后用戶側的LogStore里不再有對應日志的新內容。 |
告警加白
| API | 標題 | API概述 |
|---|---|---|
| UpdateWhiteRuleList | 添加或更新告警加白規則 | 添加或更新告警加白規則。 |
| PostEventWhiteruleList | 提交告警加白規則 | 提交告警加白規則。 |
| DescribeWhiteRuleList | 獲取告警加白規則列表 | 獲取告警加白規則列表。 |
| DescribeAlertScene | 獲取告警加白規則場景列表 | 獲取告警加白場景。 |
| DescribeAlertSceneByEvent | 獲取告警加白場景與加白對象列表 | 獲取告警加白場景與加白對象列表。 |
| DeleteWhiteRuleList | 刪除告警加白規則 | 刪除指定ID的告警加白規則。 |