编辑或者创建EDR策略

最近更新时间:2026-07-02 01:21:46

我的收藏

1. 接口描述

接口请求域名: csip.tencentcloudapi.com 。

编辑或者创建EDR策略

默认接口请求频率限制:20次/秒。

推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。

2. 输入参数

以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数

参数名称 必选 类型 描述
Action String 公共参数,本接口取值:ModifyEDRRule。
Version String 公共参数,本接口取值:2022-11-21。
Region String 公共参数,此参数为可选参数。
RuleType Integer

策略类型 / Rule Type: 0-系统策略/System Rule, 1-自定义策略/Custom Rule


示例值:1
AlertAction Integer

执行动作 / Action: 0-告警/Alert, 1-放行/Allow, 2-告警并拦截/Alert and Block


示例值:1
CWPScope Integer

生效资产 / Effective Scope: 0-指定主机/Specified Hosts, 1-全部主机/All Hosts, 2-专业版/Professional, 3-旗舰版/Flagship, 4-专业版+旗舰版/Professional+Flagship QUUIDS []string json:"QUUIDS" // 主机列表 / Host QUUIDS (when Scope=0)


示例值:1
TCSSScope Integer

容器生效镜像范围 / Container Image Scope: 0-指定镜像/Specified Images, 1-全部镜像/All Images


示例值:1
Status Integer

开关 / Status: 0-开启/Enabled, 1-关闭/Disabled


示例值:1
MemberId.N Array of String

集团账号的成员id


示例值:["mem-tencent-e74488e0ba0cd8fe"]
Name String

策略名称


示例值:白名单3
ContentType String

内容类型 / Content Type: md5-文件MD5/File MD5, cmdline-命令行/Command Line, dns-DNS, ip_inbound-入站IP/Inbound IP, ip_outbound-出站IP/Outbound IP, custom_file-自定义文件/Custom File, process_network-进程网络/Process Network


示例值:ip_outbound
Level Integer

告警等级 / Alert Level: 1-高危/High, 2-中危/Medium, 3-低危/Low, 4-提示/Reminder


示例值:1
DetectMode Integer

检测模式 / Detect Mode: 0-精准/Precise, 1-均衡/Balanced, 2-深度/Deep


示例值:1
AttackStage String

攻击阶段


示例值:TA0043
RuleID String

策略


示例值:44ff42d6-70ee-4d20-84ad-5240d8286a07
Description String

策略描述


示例值:白名单
DealOldEvents Integer

处理历史告警 / Handle Old Events: 0-否/No, 1-是/Yes


示例值:0
Md5List.N Array of String

ContentType=md5 时传入的 MD5 列表


示例值:["098f6bcd4621d373cade4e832627b4f6"]
FileName.N Array of String

ContentType=custom_file 时传入的文件名列表(Base64编码)


示例值:["L3Vzci9sb2MvYmlu"]
FileDirectory.N Array of String

ContentType=custom_file 时传入的文件目录列表(Base64编码)


示例值:["L3Vzci9sb2MvYmlu"]
CmdLineRules RuleContentCmdLine

ContentType=cmdline 时传入的命令行规则,Process/PProcess/AProcess 的 Exe/Cmdline 字段需要 Base64 编码

Domains.N Array of String

ContentType=dns 时传入的域名列表(Base64编码)


示例值:["d3d3LmJhaWR1LmNvbQ=="]
OutboundIP.N Array of String

ContentType=ip_outbound 时传入的出站IP列表(Base64编码)


示例值:["MS4xLjEuNw=="]
InboundIP.N Array of String

ContentType=ip_inbound 时传入的入站IP列表(Base64编码)


示例值:["MS4xLjEuNw=="]
ImageIDs.N Array of String

镜像ID列表 / Image IDs (when TCSSScope=0)


示例值:["sha256: 3599d4bcee082427c6b335a5b0d98892d2f5f0d7b1e5dc49c12e882f0f4a133f"]
ProcessNetworkRules RuleContentProcessNetwork

ContentType=process_network 时传入的进程网络规则

TargetAppIDs.N Array of Integer

选择的多账号的APPID


示例值:[260199983]
Target EdrAlertTarget

告警的加白目标机器信息

InstanceIDsWithAppId.N Array of InstanceIDWithAppIdItem

自选资产对应的实例ID和APPID

ExcludeInstanceIDsWithAppId.N Array of InstanceIDWithAppIdItem

全选资产排除的实例ID和APPID

3. 输出参数

参数名称 类型 描述
RequestId String 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。

4. 示例

示例1 创建策略

输入示例

POST / HTTP/1.1
Host: csip.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: ModifyEDRRule
<公共请求参数>

{
    "RuleType": 1,
    "AlertAction": 1,
    "CWPScope": 1,
    "TCSSScope": 1,
    "Status": 1,
    "MemberId": [
        "mem-tencent-e74488e0ba0cd8fe"
    ],
    "Name": "白名单3",
    "ContentType": "ip_outbound",
    "Level": 1,
    "DetectMode": 1,
    "AttackStage": "TA0043",
    "RuleID": "44ff42d6-70ee-4d20-84ad-5240d8286a07",
    "Description": "白名单",
    "DealOldEvents": 0,
    "Md5List": [
        "098f6bcd4621d373cade4e832627b4f6"
    ],
    "FileName": [
        "L3Vzci9sb2MvYmlu"
    ],
    "FileDirectory": [
        "L3Vzci9sb2MvYmlu"
    ],
    "CmdLineRules": {
        "Process": {
            "Exe": "/usr/local/bin",
            "CmdLine": "/test3"
        },
        "ParentProcess": {
            "Exe": "/usr/local/bin",
            "CmdLine": "/test3"
        },
        "AncestorProcess": {
            "Exe": "/usr/local/bin",
            "CmdLine": "/test3"
        }
    },
    "Domains": [
        "d3d3LmJhaWR1LmNvbQ=="
    ],
    "OutboundIP": [
        "MS4xLjEuNw=="
    ],
    "InboundIP": [
        "MS4xLjEuNw=="
    ],
    "ImageIDs": [
        "sha256: 3599d4bcee082427c6b335a5b0d98892d2f5f0d7b1e5dc49c12e882f0f4a133f"
    ],
    "ProcessNetworkRules": {
        "Process": {
            "Exe": "/usr/local/bin",
            "CmdLine": "/test3"
        },
        "DstIP": "1.1.1.1-1.1.1.10",
        "ParentProcess": {
            "Exe": "/usr/local/bin",
            "CmdLine": "/test3"
        },
        "DstPorts": [
            222
        ]
    },
    "TargetAppIDs": [
        260199983
    ]
}

输出示例

{
    "Response": {
        "RequestId": "8fdad8e2-2e71-4da5-bf68-836743e6231a"
    }
}

5. 开发者资源

腾讯云 API 平台

腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。

API Inspector

用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。

SDK

云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。

命令行工具

6. 错误码

以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码

错误码 描述
FailedOperation 操作失败。
InternalError 内部错误。
InvalidParameter 参数错误。