获取EDR告警详情

最近更新时间:2026-07-02 01:21:47

我的收藏

1. 接口描述

接口请求域名: csip.tencentcloudapi.com 。

获取EDR告警详情,包含告警内容JSON、资产富化、情报富化等完整信息

默认接口请求频率限制:20次/秒。

推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。

2. 输入参数

以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数

参数名称 必选 类型 描述
Action String 公共参数,本接口取值:DescribeEdrAlertInfo。
Version String 公共参数,本接口取值:2022-11-21。
Region String 公共参数,此参数为可选参数。
Target EdrAlertTarget

告警定位信息(含跨账号AppID)

MemberId.N Array of String

集团账号的成员id


示例值:["mem-3481ca5ac562771f"]

3. 输出参数

参数名称 类型 描述
Alert EdrAlertDetail

告警详情

RequestId String 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。

4. 示例

示例1 DescribeEdrAlertInfo

获取EDR告警详情

输入示例

POST / HTTP/1.1
Host: cwp.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeEdrAlertInfo
<公共请求参数>

{
    "Target": {
        "Id": 1000000000004319,
        "AppId": 260108008,
        "AlertId": "2e44dee79d7d98335f2c2ec5c33aaf0a",
        "Quuid": "8a4eac2e-d5e0-4422-8ab1-5199ccffd9c0",
        "InstanceId": "ins-llfob98q"
    }
}

输出示例

{
    "Response": {
        "Alert": {
            "AlertCategory": "AI_LINK_ENGINE",
            "AlertId": "2e44dee79d7d98335f2c2ec5c33aaf0a",
            "AlertName": "多行为攻击",
            "AlertSource": "HOST",
            "AlertSubType": "MULTI_BEHAVIOR_ATTACK",
            "AppId": 260108008,
            "AttackStage": "",
            "CSIPTags": [],
            "ClusterId": "",
            "ContainerId": "",
            "Content": "{\"alert_raw_id\":\"eql-333a7b877fc181df\",\"alert_raw_ids\":[\"eql-333a7b877fc181df\"],\"alert_source_engine\":\"AI-Link\",\"alert_source_rule_mode\":\"balanced\",\"alert_type_category\":\"command\",\"behaviors\":[{\"action\":\"process_snapshot\",\"behavior_description\":\"bash DNS process_snapshot a.qqmusic1.com\",\"behavior_description_en\":\"bash DNS process_snapshot a.qqmusic1.com\",\"dataset\":\"cwp.dns\",\"destination_ip\":\"13.158.37.189\",\"dns_question_name\":\"a.qqmusic1.com\",\"parent_process_cmdline\":\"\",\"parent_process_name\":\"\",\"process_command_line\":\"/bin/sh -c sleep 100\",\"process_executable\":\"bash\",\"process_md5\":\"4002e96f27590cee08ca6bf6d32db707\",\"process_name\":\"bash\",\"process_pid\":62635,\"process_start\":\"\",\"pstree\":\"[{\\\"exe\\\":\\\"bash\\\",\\\"cmdline\\\":\\\"/bin/sh -c sleep 100\\\",\\\"pid\\\":62635,\\\"name\\\":\\\"bash\\\"}]\",\"threat_intels\":[{\"field\":\"dns_question_name\",\"ioc_type\":\"domain\",\"ioc_value\":\"a.qqmusic1.com\",\"domain_detail\":{\"Result\":\"black\",\"Basis\":[\"情报分析\"],\"RegistrarName\":\"redacted for privacy\",\"DNSHistory\":[{\"IP\":\"47.238.142.66\",\"Tags\":[\"ValleyRAT远控木马\",\"Winos4.0恶意软件\",\"树狼远控木马\",\"银狐组织\"],\"Location\":[\"中国\",\"中国香港\",\"中国香港\"],\"ISP\":\"阿里云\",\"FirstSeen\":\"2026-01-28 05:54:05\",\"LastSeen\":\"2026-05-31 17:06:04\"},{\"IP\":\"8.217.103.109\",\"Tags\":[\"代理秒拨\"],\"Location\":[\"中国\",\"中国香港\",\"中国香港\"],\"ISP\":\"阿里云\",\"FirstSeen\":\"2026-04-14 15:48:00\",\"LastSeen\":\"2026-05-01 05:05:02\"},{\"IP\":\"47.75.116.189\",\"Tags\":[\"ValleyRAT远控木马\",\"Winos4.0恶意软件\",\"银狐组织\"],\"Location\":[\"中国\",\"中国香港\",\"中国香港\"],\"ISP\":\"阿里云\",\"FirstSeen\":\"2026-05-30 10:02:11\",\"LastSeen\":\"2026-05-30 10:02:11\"}]}},{\"field\":\"destination_ip\",\"ioc_type\":\"ip\",\"ioc_value\":\"13.158.37.189\",\"ip_detail\":{\"Result\":\"suspicious\",\"Tags\":[\"银狐组织\",\"代理秒拨\"],\"Basis\":\"情报分析\",\"ISP\":\"亚马逊\",\"Location\":[\"日本\",\"东京都\",\"东京\"],\"Family\":[\"银狐\"],\"Purpose\":[\"IDC-IP\"],\"Referer\":[{\"Domain\":\"uu.goldeyeuu.io\",\"Tags\":[\"Zusy银行木马\"],\"Time\":\"2026-05-27 00:00:00\"},{\"Domain\":\"wk.goldeyeuu.io\",\"Tags\":[\"Zusy银行木马\"],\"Time\":\"2026-05-27 00:00:00\"}]}}],\"timestamp\":\"2026-05-26T06:06:47.134112932+08:00\",\"user_name\":\"root\",\"working_directory\":\"\"}],\"edr_rule_id\":\"rule-c24e613eff9b86d9\",\"edr_rule_name\":\"多字段测试规则-宽列滚动\",\"execute_user\":\"root\",\"harm_description\":\"黑客在入侵服务器后,为了进行下一步的恶意操作,会执行恶意文件下载、连接矿池、添加公钥、查看敏感文件等操作。\",\"suggest_scheme\":\"1.检查恶意进程及非法端口,删除可疑的启动项和定时任务;2.隔离或者删除相关的木马文件;3.对系统进行风险排查,并进行安全加固\"}",
            "ContentType": "",
            "DetectMode": "BALANCED",
            "EventCount": 1,
            "FirstDetectTime": "2026-05-25 14:52:56",
            "HarmDesc": "黑客在入侵服务器后,为了进行下一步的恶意操作,会执行恶意文件下载、连接矿池、添加公钥、查看敏感文件等操作。",
            "HarmDescSource": "default",
            "Id": 1000000000004319,
            "ImageId": "",
            "InstanceId": "ins-llfob98q",
            "InstanceName": "",
            "IntelSource": "",
            "IsProVersion": 1,
            "LatestDetectTime": "2026-05-25 14:52:56",
            "Level": "MEDIUM",
            "ModifyTime": "2026-05-28 17:38:45",
            "MultiBehaviorDetectionMode": "command",
            "PrivateIp": "",
            "PublicIp": "",
            "Quuid": "8a4eac2e-d5e0-4422-8ab1-5199ccffd9c0",
            "RuleId": "908776",
            "RuleName": "",
            "RuleType": 0,
            "SourceDesc": "规则引擎: AI-Link 智链引擎\n规则 908776\n检测模式: 均衡",
            "Status": "PENDING",
            "SuggestScheme": "1.检查恶意进程及非法端口,删除可疑的启动项和定时任务;2.隔离或者删除相关的木马文件;3.对系统进行风险排查,并进行安全加固",
            "ThreatTags": [],
            "Verdict": "",
            "VerdictBasis": ""
        },
        "RequestId": "f8998684-7376-4fcf-9c6d-4f20dd0591a0"
    }
}

5. 开发者资源

腾讯云 API 平台

腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。

API Inspector

用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。

SDK

云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。

命令行工具

6. 错误码

以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码

错误码 描述
FailedOperation 操作失败。
InternalError 内部错误。
InvalidParameter 参数错误。