1. 接口描述
接口请求域名: csip.tencentcloudapi.com 。
编辑或者创建EDR策略
默认接口请求频率限制:20次/秒。
2. 输入参数
以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数。
| 参数名称 | 必选 | 类型 | 描述 |
|---|---|---|---|
| Action | 是 | String | 公共参数,本接口取值:ModifyEDRRule。 |
| Version | 是 | String | 公共参数,本接口取值:2022-11-21。 |
| Region | 否 | String | 公共参数,此参数为可选参数。 |
| RuleType | 是 | Integer | 策略类型 / Rule Type: 0-系统策略/System Rule, 1-自定义策略/Custom Rule 示例值:1 |
| AlertAction | 是 | Integer | 执行动作 / Action: 0-告警/Alert, 1-放行/Allow, 2-告警并拦截/Alert and Block 示例值:1 |
| CWPScope | 是 | Integer | 生效资产 / Effective Scope: 0-指定主机/Specified Hosts, 1-全部主机/All Hosts, 2-专业版/Professional, 3-旗舰版/Flagship, 4-专业版+旗舰版/Professional+Flagship QUUIDS []string json:"QUUIDS" // 主机列表 / Host QUUIDS (when Scope=0) 示例值:1 |
| TCSSScope | 是 | Integer | 容器生效镜像范围 / Container Image Scope: 0-指定镜像/Specified Images, 1-全部镜像/All Images 示例值:1 |
| Status | 是 | Integer | 开关 / Status: 0-开启/Enabled, 1-关闭/Disabled 示例值:1 |
| MemberId.N | 否 | Array of String | 集团账号的成员id 示例值:["mem-tencent-e74488e0ba0cd8fe"] |
| Name | 否 | String | 策略名称 示例值:白名单3 |
| ContentType | 否 | String | 内容类型 / Content Type: md5-文件MD5/File MD5, cmdline-命令行/Command Line, dns-DNS, ip_inbound-入站IP/Inbound IP, ip_outbound-出站IP/Outbound IP, custom_file-自定义文件/Custom File, process_network-进程网络/Process Network 示例值:ip_outbound |
| Level | 否 | Integer | 告警等级 / Alert Level: 1-高危/High, 2-中危/Medium, 3-低危/Low, 4-提示/Reminder 示例值:1 |
| DetectMode | 否 | Integer | 检测模式 / Detect Mode: 0-精准/Precise, 1-均衡/Balanced, 2-深度/Deep 示例值:1 |
| AttackStage | 否 | String | 攻击阶段 示例值:TA0043 |
| RuleID | 否 | String | 策略 示例值:44ff42d6-70ee-4d20-84ad-5240d8286a07 |
| Description | 否 | String | 策略描述 示例值:白名单 |
| DealOldEvents | 否 | Integer | 处理历史告警 / Handle Old Events: 0-否/No, 1-是/Yes 示例值:0 |
| Md5List.N | 否 | Array of String | ContentType=md5 时传入的 MD5 列表 示例值:["098f6bcd4621d373cade4e832627b4f6"] |
| FileName.N | 否 | Array of String | ContentType=custom_file 时传入的文件名列表(Base64编码) 示例值:["L3Vzci9sb2MvYmlu"] |
| FileDirectory.N | 否 | Array of String | ContentType=custom_file 时传入的文件目录列表(Base64编码) 示例值:["L3Vzci9sb2MvYmlu"] |
| CmdLineRules | 否 | RuleContentCmdLine | ContentType=cmdline 时传入的命令行规则,Process/PProcess/AProcess 的 Exe/Cmdline 字段需要 Base64 编码 |
| Domains.N | 否 | Array of String | ContentType=dns 时传入的域名列表(Base64编码) 示例值:["d3d3LmJhaWR1LmNvbQ=="] |
| OutboundIP.N | 否 | Array of String | ContentType=ip_outbound 时传入的出站IP列表(Base64编码) 示例值:["MS4xLjEuNw=="] |
| InboundIP.N | 否 | Array of String | ContentType=ip_inbound 时传入的入站IP列表(Base64编码) 示例值:["MS4xLjEuNw=="] |
| ImageIDs.N | 否 | Array of String | 镜像ID列表 / Image IDs (when TCSSScope=0) 示例值:["sha256: 3599d4bcee082427c6b335a5b0d98892d2f5f0d7b1e5dc49c12e882f0f4a133f"] |
| ProcessNetworkRules | 否 | RuleContentProcessNetwork | ContentType=process_network 时传入的进程网络规则 |
| TargetAppIDs.N | 否 | Array of Integer | 选择的多账号的APPID 示例值:[260199983] |
| Target | 否 | EdrAlertTarget | 告警的加白目标机器信息 |
| InstanceIDsWithAppId.N | 否 | Array of InstanceIDWithAppIdItem | 自选资产对应的实例ID和APPID |
| ExcludeInstanceIDsWithAppId.N | 否 | Array of InstanceIDWithAppIdItem | 全选资产排除的实例ID和APPID |
3. 输出参数
| 参数名称 | 类型 | 描述 |
|---|---|---|
| RequestId | String | 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。 |
4. 示例
示例1 创建策略
输入示例
POST / HTTP/1.1
Host: csip.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: ModifyEDRRule
<公共请求参数>
{
"RuleType": 1,
"AlertAction": 1,
"CWPScope": 1,
"TCSSScope": 1,
"Status": 1,
"MemberId": [
"mem-tencent-e74488e0ba0cd8fe"
],
"Name": "白名单3",
"ContentType": "ip_outbound",
"Level": 1,
"DetectMode": 1,
"AttackStage": "TA0043",
"RuleID": "44ff42d6-70ee-4d20-84ad-5240d8286a07",
"Description": "白名单",
"DealOldEvents": 0,
"Md5List": [
"098f6bcd4621d373cade4e832627b4f6"
],
"FileName": [
"L3Vzci9sb2MvYmlu"
],
"FileDirectory": [
"L3Vzci9sb2MvYmlu"
],
"CmdLineRules": {
"Process": {
"Exe": "/usr/local/bin",
"CmdLine": "/test3"
},
"ParentProcess": {
"Exe": "/usr/local/bin",
"CmdLine": "/test3"
},
"AncestorProcess": {
"Exe": "/usr/local/bin",
"CmdLine": "/test3"
}
},
"Domains": [
"d3d3LmJhaWR1LmNvbQ=="
],
"OutboundIP": [
"MS4xLjEuNw=="
],
"InboundIP": [
"MS4xLjEuNw=="
],
"ImageIDs": [
"sha256: 3599d4bcee082427c6b335a5b0d98892d2f5f0d7b1e5dc49c12e882f0f4a133f"
],
"ProcessNetworkRules": {
"Process": {
"Exe": "/usr/local/bin",
"CmdLine": "/test3"
},
"DstIP": "1.1.1.1-1.1.1.10",
"ParentProcess": {
"Exe": "/usr/local/bin",
"CmdLine": "/test3"
},
"DstPorts": [
222
]
},
"TargetAppIDs": [
260199983
]
}
输出示例
{
"Response": {
"RequestId": "8fdad8e2-2e71-4da5-bf68-836743e6231a"
}
}
5. 开发者资源
腾讯云 API 平台
腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。
API Inspector
用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。
SDK
云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。
- Tencent Cloud SDK 3.0 for Python: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Java: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for PHP: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Go: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Node.js: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for .NET: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for C++: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Ruby: CNB, GitHub, Gitee
命令行工具
6. 错误码
以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码。
| 错误码 | 描述 |
|---|---|
| FailedOperation | 操作失败。 |
| InternalError | 内部错误。 |
| InvalidParameter | 参数错误。 |