告警详情
更新时间:2026-04-30
GET /openapi/overview/alarm-operation/detail
接口描述
查询 入侵检测->告警运营 页面的告警详情,获取告警的详细信息包括文件路径、大小、SHA256等。
Header
除公共头域外,无其它特殊头域
请求参数
Query 参数
| 参数名 | 类型 | 说明 | 是否必须 | 示例值 |
|---|---|---|---|---|
| alarm_type | string | 见附录,《告警类型枚举》文档 | 是 | 6112 |
| category | string | 告警关联资产类别:1-主机类别、2-容器类别、3-用户类别 | 是 | 1 |
| index | string | 告警记录所在标识 | 是 | index_value |
| doc_id | string | 告警记录唯一标识 | 是 | doc_id_value |
示例代码
Shell
1curl -H "Authorization: your-api-key" "http://csc.baidubce.com/openapi/overview/alarm-operation/detail?alarm_type=6112&category=1&index=malware_alarm_debug&doc_id=107021ec78bacb9c46e214b36ae13e9470bbd9398a2ca0b15bfe8610cdfe64cc&locale=zh-cn&_=1776149240073"返回参数
JSON
1{
2 "success": true,
3 "status": 200,
4 "message": {
5 "global": ""
6 },
7 "result": {
8 "priority": 1,
9 "status": 1,
10 "respond_time": "",
11 "agentid": "d4acba44-291d-55a1-85c5-9d6611c20cb2",
12 "hostname": "cd-test-ubuntu16",
13 "short_id": "i-G6aVu1kv",
14 "pub_ip": "100.88.9.32",
15 "pri_ip": "192.168.0.15",
16 "discovery_time": "2026-04-16 15:27:24",
17 "first_time": "2026-04-16 11:47:54",
18 "authorized": true,
19 "cluster_id": "",
20 "cluster_name": "",
21 "node_name": "",
22 "pod_name": "",
23 "pod_ip": "",
24 "workload": "",
25 "namespace": "",
26 "ai": {
27 "status": 1,
28 "start_time": 1776324496,
29 "click": true,
30 "vote_status": 0,
31 "judge_md":"- 风险概览 \n - 威胁标签:未经 *****"
32 },
33 "aihc": {
34 "biz_name": "",
35 "biz_id": "",
36 "biz_type": "",
37 "biz_cluster_id": "",
38 "biz_cluster_name": "",
39 "biz_node_id": "",
40 "biz_node_name": ""
41 },
42 //以下属性各告警类型均不同,具体请往下查看各类型告警
43 "from": 1,
44 "mala_process": ".",
45 "file_name": "silic_1.php",
46 "file_path": "/etc/silic_1.php",
47 "path_in_root_ns": "/etc/silic_1.php",
48 "file_size": 137996,
49 "sha256": "51a9a450a76de9b085f0429b6bc8964afc19da8c114bb88e86fd4b4aaffc1e52",
50 "pid": null
51 }
52}响应字段说明
公共部分
| 字段名 | 类型 | 说明 |
|---|---|---|
| success | boolean | 请求是否成功 |
| status | integer | 状态码 |
| message | object | 消息对象 |
| message.global | string | 全局消息 |
| result | object | 结果对象 |
| result.priority | integer | 优先级 |
| result.status | integer | 状态 |
| result.respond_time | string | 处理时间 |
| result.agentid | string | Agent ID |
| result.hostname | string | 主机名称 |
| result.short_id | string | BCC短ID |
| result.pub_ip | string | 公网IP |
| result.pri_ip | string | 内网IP |
| result.discovery_time | string | 发现时间 |
| result.first_time | string | 首次发现时间 |
| result.authorized | boolean | 是否授权 |
| result.cluster_id | string | 集群ID |
| result.cluster_name | string | 集群名称 |
| result.node_name | string | 节点名称 |
| result.pod_name | string | Pod名称 |
| result.pod_ip | string | Pod IP |
| result.workload | string | 工作负载 |
| result.namespace | string | 命名空间 |
| result.ai | object | AI分析对象 |
| result.ai.status | integer | AI分析状态(0-未开始 1-进行中 2-完成 3-失败) |
| result.ai.start_time | integer | AI分析开始时间戳 |
| result.ai.click | boolean | 是否点击 |
| result.ai.vote_status | integer | 投票状态 |
| result.ai.judge_md | string | AI分析结果 |
| result.aihc | object | AIHC信息 |
| result.aihc.biz_name | string | 业务名称 |
| result.aihc.biz_id | string | 业务ID |
| result.aihc.biz_type | string | 业务类型(dev-开发机 train-训练任务 infer-在线服务) |
| result.aihc.biz_cluster_id | string | 资源池ID |
| result.aihc.biz_cluster_name | string | 资源池名称 |
| result.aihc.biz_node_id | string | 节点ID |
| result.aihc.biz_node_name | string | 节点名称 |
病毒查杀、网站后门
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.from | integer | 来源(0-进程、1-文件) |
| result.mala_process | string | 恶意进程 |
| result.file_name | string | 文件名称 |
| result.file_path | string | 文件路径 |
| result.path_in_root_ns | string | root命名空间路径 |
| result.file_size | integer | 文件大小 |
| result.sha256 | string | 文件SHA256 |
| result.pid | string | 进程ID |
反弹Shell
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.cmds | string | 执行的命令 |
| result.remote_ip | string | 远程 IP 地址 |
| result.remote_port | int | 远程端口 |
| result.rshell_type | string | 反弹 Shell 类型 |
| result.exce_description | string | 执行描述信息 |
| result.pid | int | 进程 ID |
| result.name | string | 进程名称 |
| result.exe | string | 可执行文件路径 |
| result.ppid | int | 父进程 ID |
| result.ppid_name | string | 父进程名称 |
| result.ppid_exe | string | 父进程可执行文件路径 |
进程提权
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.pid | int | 进程 ID |
| result.name | string | 进程名称 |
| result.process_permission | string | 进程权限 |
| result.operate_account | string | 操作账户 |
文件提取
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.file_name | string | 文件名 |
| result.file_path | string | 文件路径 |
| result.privilege_details | string | 权限详情 |
可疑行为、web注入、挖矿程序
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.cmds | []string | 执行的命令列表 |
| result.exes | string | 可执行文件路径 |
| result.pid | int | 进程 ID |
| result.ancestor_cmds | []string | 祖先进程命令列表 |
| result.risk_description | string | 风险描述 |
恶意访问
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.cmds | []string | 执行的命令列表 |
| result.target | string | 攻击目标 |
| result.pid | int | 进程 ID |
| result.ancestor_cmds | []string | 祖先进程命令列表 |
| result.risk_description | string | 风险描述 |
数据外传
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.tty | string | TTY 终端 |
| result.cwd | string | 当前工作目录 |
| result.cmds | []string | 执行的命令列表 |
| result.remote_user | string | 远程用户 |
| result.remote_host | string | 远程主机 |
| result.ancestor_cmds | []string | 祖先进程命令列表 |
| result.risk_description | string | 风险描述 |
暴力破解登录、异常时间登录、异常账号登录、异地登陆
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.ip | string | 登录 IP |
| result.login_account | string | 登录账户 |
| result.login_type | string | 登录类型 |
| result.login_status | int | 登录状态(1-登录成功 2-登录失败 3-拒绝登录) |
| result.ip_status | int | IP 状态(1-正常 2-已加白 3-已加黑 4-已封禁 5-处理中 6-处理失败) |
挖矿通讯、外发DDoS、恶意文件下载、外发漏洞扫描、控制木马通讯、高危漏洞
| 字段名 | 类型 | 说明 |
|---|---|---|
| result.detail | object | 告警详情数据,各告警类型字段不同,具体字段以 result.detail_schema 中的 key 为准 |
| result.detail_schema | array | 告警详情展示配置,定义 detail 中各字段的展示顺序与标签 |
| result.detail_schema[].key | string | 对应 detail 中的字段名 |
| result.detail_schema[].key_zh | string | 字段的中文展示标签 |
| result.detail_schema[].separator | string | 字段值的分隔符,为空时不分隔 |
JSON示例
JSON
1 "detail": {
2 "count": 141,
3 "highrisk_vuln_count": 2,
4 "victim_ip": "123.123.123.123",
5 "vuln": [
6 {
7 "last_scan_at": "2026-03-01 00:00:19",
8 "severity": "CRITICAL",
9 "title": "CVE-2024-28179: Jupyter Server 安全漏洞",
10 "url": "http://112.112.112.112/"
11 },
12 {
13 "last_scan_at": "2026-02-28 00:45:53",
14 "severity": "CRITICAL",
15 "title": "Memcached 弱口令漏洞",
16 "url": "tcp://113.113.113.113:11211"
17 }
18 ]
19 },
20 "detail_schema": [
21 {
22 "key": "victim_ip",
23 "key_zh": "失陷资产EIP",
24 "separator": ""
25 },
26 {
27 "key": "count",
28 "key_zh": "被扫描次数",
29 "separator": ""
30 },
31 {
32 "key": "highrisk_vuln_count",
33 "key_zh": "高危漏洞",
34 "separator": ""
35 },
36 {
37 "key": "vuln",
38 "key_zh": "详情信息",
39 "separator": ""
40 }
41 ]评价此篇文章