1. 接口描述
接口请求域名: csip.tencentcloudapi.com 。
获取EDR告警详情,包含告警内容JSON、资产富化、情报富化等完整信息
默认接口请求频率限制:20次/秒。
推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。
2. 输入参数
以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数。
| 参数名称 | 必选 | 类型 | 描述 |
|---|---|---|---|
| Action | 是 | String | 公共参数,本接口取值:DescribeEdrAlertInfo。 |
| Version | 是 | String | 公共参数,本接口取值:2022-11-21。 |
| Region | 否 | String | 公共参数,此参数为可选参数。 |
| Target | 是 | EdrAlertTarget | 告警定位信息(含跨账号AppID) |
| MemberId.N | 否 | Array of String | 集团账号的成员id 示例值:["mem-3481ca5ac562771f"] |
3. 输出参数
| 参数名称 | 类型 | 描述 |
|---|---|---|
| Alert | EdrAlertDetail | 告警详情 |
| RequestId | String | 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。 |
4. 示例
示例1 DescribeEdrAlertInfo
获取EDR告警详情
输入示例
POST / HTTP/1.1
Host: cwp.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeEdrAlertInfo
<公共请求参数>
{
"Target": {
"Id": 1000000000004319,
"AppId": 260108008,
"AlertId": "2e44dee79d7d98335f2c2ec5c33aaf0a",
"Quuid": "8a4eac2e-d5e0-4422-8ab1-5199ccffd9c0",
"InstanceId": "ins-llfob98q"
}
}
输出示例
{
"Response": {
"Alert": {
"AlertCategory": "AI_LINK_ENGINE",
"AlertId": "2e44dee79d7d98335f2c2ec5c33aaf0a",
"AlertName": "多行为攻击",
"AlertSource": "HOST",
"AlertSubType": "MULTI_BEHAVIOR_ATTACK",
"AppId": 260108008,
"AttackStage": "",
"CSIPTags": [],
"ClusterId": "",
"ContainerId": "",
"Content": "{\"alert_raw_id\":\"eql-333a7b877fc181df\",\"alert_raw_ids\":[\"eql-333a7b877fc181df\"],\"alert_source_engine\":\"AI-Link\",\"alert_source_rule_mode\":\"balanced\",\"alert_type_category\":\"command\",\"behaviors\":[{\"action\":\"process_snapshot\",\"behavior_description\":\"bash DNS process_snapshot a.qqmusic1.com\",\"behavior_description_en\":\"bash DNS process_snapshot a.qqmusic1.com\",\"dataset\":\"cwp.dns\",\"destination_ip\":\"13.158.37.189\",\"dns_question_name\":\"a.qqmusic1.com\",\"parent_process_cmdline\":\"\",\"parent_process_name\":\"\",\"process_command_line\":\"/bin/sh -c sleep 100\",\"process_executable\":\"bash\",\"process_md5\":\"4002e96f27590cee08ca6bf6d32db707\",\"process_name\":\"bash\",\"process_pid\":62635,\"process_start\":\"\",\"pstree\":\"[{\\\"exe\\\":\\\"bash\\\",\\\"cmdline\\\":\\\"/bin/sh -c sleep 100\\\",\\\"pid\\\":62635,\\\"name\\\":\\\"bash\\\"}]\",\"threat_intels\":[{\"field\":\"dns_question_name\",\"ioc_type\":\"domain\",\"ioc_value\":\"a.qqmusic1.com\",\"domain_detail\":{\"Result\":\"black\",\"Basis\":[\"情报分析\"],\"RegistrarName\":\"redacted for privacy\",\"DNSHistory\":[{\"IP\":\"47.238.142.66\",\"Tags\":[\"ValleyRAT远控木马\",\"Winos4.0恶意软件\",\"树狼远控木马\",\"银狐组织\"],\"Location\":[\"中国\",\"中国香港\",\"中国香港\"],\"ISP\":\"阿里云\",\"FirstSeen\":\"2026-01-28 05:54:05\",\"LastSeen\":\"2026-05-31 17:06:04\"},{\"IP\":\"8.217.103.109\",\"Tags\":[\"代理秒拨\"],\"Location\":[\"中国\",\"中国香港\",\"中国香港\"],\"ISP\":\"阿里云\",\"FirstSeen\":\"2026-04-14 15:48:00\",\"LastSeen\":\"2026-05-01 05:05:02\"},{\"IP\":\"47.75.116.189\",\"Tags\":[\"ValleyRAT远控木马\",\"Winos4.0恶意软件\",\"银狐组织\"],\"Location\":[\"中国\",\"中国香港\",\"中国香港\"],\"ISP\":\"阿里云\",\"FirstSeen\":\"2026-05-30 10:02:11\",\"LastSeen\":\"2026-05-30 10:02:11\"}]}},{\"field\":\"destination_ip\",\"ioc_type\":\"ip\",\"ioc_value\":\"13.158.37.189\",\"ip_detail\":{\"Result\":\"suspicious\",\"Tags\":[\"银狐组织\",\"代理秒拨\"],\"Basis\":\"情报分析\",\"ISP\":\"亚马逊\",\"Location\":[\"日本\",\"东京都\",\"东京\"],\"Family\":[\"银狐\"],\"Purpose\":[\"IDC-IP\"],\"Referer\":[{\"Domain\":\"uu.goldeyeuu.io\",\"Tags\":[\"Zusy银行木马\"],\"Time\":\"2026-05-27 00:00:00\"},{\"Domain\":\"wk.goldeyeuu.io\",\"Tags\":[\"Zusy银行木马\"],\"Time\":\"2026-05-27 00:00:00\"}]}}],\"timestamp\":\"2026-05-26T06:06:47.134112932+08:00\",\"user_name\":\"root\",\"working_directory\":\"\"}],\"edr_rule_id\":\"rule-c24e613eff9b86d9\",\"edr_rule_name\":\"多字段测试规则-宽列滚动\",\"execute_user\":\"root\",\"harm_description\":\"黑客在入侵服务器后,为了进行下一步的恶意操作,会执行恶意文件下载、连接矿池、添加公钥、查看敏感文件等操作。\",\"suggest_scheme\":\"1.检查恶意进程及非法端口,删除可疑的启动项和定时任务;2.隔离或者删除相关的木马文件;3.对系统进行风险排查,并进行安全加固\"}",
"ContentType": "",
"DetectMode": "BALANCED",
"EventCount": 1,
"FirstDetectTime": "2026-05-25 14:52:56",
"HarmDesc": "黑客在入侵服务器后,为了进行下一步的恶意操作,会执行恶意文件下载、连接矿池、添加公钥、查看敏感文件等操作。",
"HarmDescSource": "default",
"Id": 1000000000004319,
"ImageId": "",
"InstanceId": "ins-llfob98q",
"InstanceName": "",
"IntelSource": "",
"IsProVersion": 1,
"LatestDetectTime": "2026-05-25 14:52:56",
"Level": "MEDIUM",
"ModifyTime": "2026-05-28 17:38:45",
"MultiBehaviorDetectionMode": "command",
"PrivateIp": "",
"PublicIp": "",
"Quuid": "8a4eac2e-d5e0-4422-8ab1-5199ccffd9c0",
"RuleId": "908776",
"RuleName": "",
"RuleType": 0,
"SourceDesc": "规则引擎: AI-Link 智链引擎\n规则 908776\n检测模式: 均衡",
"Status": "PENDING",
"SuggestScheme": "1.检查恶意进程及非法端口,删除可疑的启动项和定时任务;2.隔离或者删除相关的木马文件;3.对系统进行风险排查,并进行安全加固",
"ThreatTags": [],
"Verdict": "",
"VerdictBasis": ""
},
"RequestId": "f8998684-7376-4fcf-9c6d-4f20dd0591a0"
}
}
5. 开发者资源
腾讯云 API 平台
腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。
API Inspector
用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。
SDK
云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。
- Tencent Cloud SDK 3.0 for Python: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Java: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for PHP: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Go: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Node.js: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for .NET: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for C++: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Ruby: CNB, GitHub, Gitee
命令行工具
6. 错误码
以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码。
| 错误码 | 描述 |
|---|---|
| FailedOperation | 操作失败。 |
| InternalError | 内部错误。 |
| InvalidParameter | 参数错误。 |