查询恶意请求事件详情

最近更新时间:2025-04-25 01:57:24

我的收藏

1. 接口描述

接口请求域名: tcss.tencentcloudapi.com 。

查询恶意请求事件详情

默认接口请求频率限制:20次/秒。

推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。

2. 输入参数

以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数

参数名称 必选 类型 描述
Action String 公共参数,本接口取值:DescribeRiskDnsEventDetail。
Version String 公共参数,本接口取值:2020-11-01。
Region String 公共参数,此参数为可选参数。
EventID Integer 事件ID
示例值:1

3. 输出参数

参数名称 类型 描述
EventID Integer 事件ID
示例值:1
EventType String 事件类型,恶意域名请求:DOMAIN,恶意IP请求:IP
示例值:DOMAIN
EventCount Integer 恶意请求次数
示例值:1
FoundTime String 首次发现时间
示例值:2024-04-17 17:0****
LatestFoundTime String 最近生成时间
示例值:2024-04-17 17:0****
ContainerID String 容器ID
示例值:36322181839db45cf0624e2d71059c015221be71c3552f2d98d26eda5309****
ContainerName String 容器名称
示例值:/bold_ca****
ContainerNetStatus String 隔离状态
未隔离 NORMAL
已隔离 ISOLATED
隔离中 ISOLATING
隔离失败 ISOLATE_FAILED
解除隔离中 RESTORING
解除隔离失败 RESTORE_FAILED
示例值:NORMAL
ContainerStatus String 容器状态
正在运行: RUNNING
暂停: PAUSED
停止: STOPPED
已经创建: CREATED
已经销毁: DESTROYED
正在重启中: RESTARTING
迁移中: REMOVING
示例值:RUNNING
ContainerNetSubStatus String 容器子状态
"AGENT_OFFLINE" //Agent离线
"NODE_DESTROYED" //节点已销毁
"CONTAINER_EXITED" //容器已退出
"CONTAINER_DESTROYED" //容器已销毁
"SHARED_HOST" // 容器与主机共享网络
"RESOURCE_LIMIT" //隔离操作资源超限
"UNKNOW" // 原因未知
示例值:NONE
ContainerIsolateOperationSrc String 容器隔离操作来源
示例值:root
ImageID String 镜像ID
示例值:sha256:eeb6ee3f44bd0b5103bb561b4c16bcb82328cfe5809ab675bb17ab3a16c5****
ImageName String 镜像名称
示例值:centos:7
HostName String 主机名称
示例值:szzb-tke-uat-nod****
HostIP String 内网IP
示例值:10.83.****
PublicIP String 外网IP
示例值:10.0.1****
PodName String 节点名称
示例值:podname-1
Description String 事件描述
示例值:发现容器存在访问恶意IP/域名的行为,您的容器可能已经失陷。
恶意IP/域名可能是黑客的远控服务器、恶意软件下载源、矿池****
Solution String 解决方案
示例值:1.检查容器内的恶意进程及非法端口,删除可疑的启动项和定时任务;
2.对容器存在的风险进行排查,如进行漏洞扫描、木马扫描等;
3.对容器所使用的的镜像进行加固,并替换运行中****
Reference Array of String 参考链接
示例值:["ref"]
Address String 恶意域名或IP
示例值:sentry.ky-tech.co****
City String 恶意IP所属城市
示例值:103
MatchRuleType String 命中规则类型
SYSTEM:系统规则
USER:用户自定义
示例值:USER
FeatureLabel String 标签特征
示例值:label1
ProcessAuthority String 进程权限
示例值:-rwxr-****
ProcessMd5 String 进程md5
示例值:735ae70b4ceb8707acc40bc5a3d0****
ProcessStartUser String 进程启动用户
示例值:root
ProcessUserGroup String 进程用户组
示例值:root:****
ProcessPath String 进程路径
示例值:/usr/bin/****
ProcessTree String 进程树
示例值:ping(274363)_bash(274218)_containerd-shim(274190)_containerd(34245)_system****
ProcessParam String 进程命令行参数
示例值:ping sentry.ky-tech.co****
ParentProcessStartUser String 父进程启动用户
示例值:root
ParentProcessUserGroup String 父进程用户组
示例值:root:****
ParentProcessPath String 父进程路径
示例值:/usr/bin/****
ParentProcessParam String 父进程命令行参数
示例值:bash
AncestorProcessStartUser String 祖先进程启动用户
示例值:root
AncestorProcessUserGroup String 祖先进程用户组
示例值:0:0
AncestorProcessPath String 祖先进程路径
示例值:/usr/bin/containerd-****
AncestorProcessParam String 祖先进程命令行参数
HostID String 主机ID
示例值:47850542-8b67-ce2b-9da1-15c1f04d****
EventStatus String 事件状态
EVENT_UNDEAL: 待处理
EVENT_DEALED:已处理
EVENT_IGNORE: 已忽略
EVENT_ADD_WHITE:已加白
示例值:EVENT_DE****
OperationTime String 操作时间
示例值:2024-05-09 17:1****
Remark String 备注
示例值:内部测试
NodeType String 节点类型
示例值:NORMAL
NodeName String 节点名称
示例值:szzb-tke-uat-nod****
NodeSubNetID String 节点子网ID
示例值:subnet-5gu2***
NodeSubNetName String 节点子网名称
示例值:subnet***
NodeSubNetCIDR String 节点子网网段
示例值:10.0.200.0/24
ClusterID String 集群ID
示例值:cls-ndcj****
PodIP String podip
示例值:10.0.1****
PodStatus String pod状态
示例值:Running
NodeUniqueID String 节点唯一id
示例值:cluster1-node-bcscb
NodeID String 节点ID名称
示例值:mix-hVOL****
ClusterName String 集群名称
示例值:k8s-tool
Namespace String Namespace
示例值:shequ
WorkloadType String 工作负载类型
示例值:CloneSet
RequestId String 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。

4. 示例

示例1 查询恶意请求事件详情

查询恶意请求事件详情

输入示例

POST / HTTP/1.1
Host: tcss.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeRiskDnsEventDetail
<公共请求参数>

{
    "EventID": "1"
}

输出示例

{
    "Response": {
        "Address": "www.iuyiyo.cc",
        "AncestorProcessParam": "/usr/bin/containerd-shim-runc-v2 -namespace moby -id b18a9a372645caefdca4cf9a4e1078122ecf4081bfab0034f85f664b81df0da5 -address /run/containerd/containerd.sock",
        "AncestorProcessPath": "/usr/bin/containerd-shim-runc-v2",
        "AncestorProcessStartUser": "root",
        "AncestorProcessUserGroup": "0:0",
        "City": "103",
        "ClusterID": "cls-dfw3e***",
        "ClusterName": "clsfoo***",
        "ContainerID": "b18a9a372645caefdca4cf9a4e1078122ecf4081bfab0034f85f664b81df0da5",
        "ContainerIsolateOperationSrc": "运行时安全/文件查杀",
        "ContainerName": "/fervent_goodall",
        "ContainerNetStatus": "NORMAL",
        "ContainerNetSubStatus": "NONE",
        "ContainerStatus": "RUNNING",
        "Description": "发现容器存在访问恶意IP/域名的行为,您的容器可能已经失陷。\n恶意IP/域名可能是黑客的远控服务器、恶意软件下载源、矿池地址等。",
        "EventCount": 1,
        "EventID": 306602,
        "EventStatus": "EVENT_UNDEAL",
        "EventType": "DOMAIN",
        "FeatureLabel": "label1",
        "FoundTime": "2024-09-29 17:27:15",
        "HostID": "acdd5474-6360-4fd4-bfc7-843162cb8116",
        "HostIP": "10.0.1.233",
        "HostName": "k8s-node1",
        "ImageID": "sha256:eeb6ee3f44bd0b5103bb561b4c16bcb82328cfe5809ab675bb17ab3a16c517c9",
        "ImageName": "centos:7",
        "LatestFoundTime": "2024-09-29 17:27:15",
        "MatchRuleType": "USER",
        "Namespace": "tcss",
        "NodeID": "mix-GOmf****",
        "NodeName": "k8s-node1",
        "NodeSubNetCIDR": "10.0.200.0/24",
        "NodeSubNetID": "subnet-5gu2***",
        "NodeSubNetName": "subnet***",
        "NodeType": "NORMAL",
        "NodeUniqueID": "896e349d-2e7d-4151-a26f-4e9fdafe****",
        "OperationTime": "2024-09-29 17:27:17",
        "ParentProcessParam": "/bin/bash",
        "ParentProcessPath": "/usr/bin/bash",
        "ParentProcessStartUser": "root",
        "ParentProcessUserGroup": "root:root",
        "PodIP": "10.0.1.92",
        "PodName": "PodName",
        "PodStatus": "Running",
        "ProcessAuthority": "-rwxr-xr-x",
        "ProcessMd5": "b8b1ce2ef81accb7febb8ab7f56c1576",
        "ProcessParam": "curl www.iuyiyo.cc",
        "ProcessPath": "/usr/bin/curl",
        "ProcessStartUser": "root",
        "ProcessTree": "curl(2206566)_bash(2178914)_containerd-shim-runc-v2(2178890)_systemd(1)",
        "ProcessUserGroup": "root:root",
        "PublicIP": "43.138.142.208",
        "Reference": [
            "Reference"
        ],
        "Remark": "myremark***",
        "RequestId": "52fe1ea9-4826-4f8e-bc8b-61faae09683b",
        "Solution": "1.检查容器内的恶意进程及非法端口,删除可疑的启动项和定时任务;\n 2.对容器存在的风险进行排查,如进行漏洞扫描、木马扫描等;\n 3.对容器所使用的的镜像进行加固,并替换运行中的容器。",
        "WorkloadType": "DaemonSet"
    }
}

5. 开发者资源

腾讯云 API 平台

腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。

API Inspector

用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。

SDK

云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。

命令行工具

6. 错误码

以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码

错误码 描述
AuthFailure CAM签名/鉴权错误。
FailedOperation 操作失败。
InternalError 内部错误。
InvalidParameter 参数错误。
InvalidParameter.InvalidFormat 参数格式错误。
InvalidParameter.MissingParameter 缺少必须参数。
InvalidParameter.ParsingError 参数解析错误。
InvalidParameterValue 参数取值错误。
MissingParameter 缺少参数错误。
ResourceNotFound 资源不存在。
UnknownParameter 未知参数错误。