1. 接口描述
接口请求域名: tcss.tencentcloudapi.com 。
查询恶意请求事件详情
默认接口请求频率限制:20次/秒。
推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。
2. 输入参数
以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数。
| 参数名称 | 必选 | 类型 | 描述 |
|---|---|---|---|
| Action | 是 | String | 公共参数,本接口取值:DescribeRiskDnsEventDetail。 |
| Version | 是 | String | 公共参数,本接口取值:2020-11-01。 |
| Region | 否 | String | 公共参数,此参数为可选参数。 |
| EventID | 是 | Integer | 事件ID 示例值:1 |
3. 输出参数
| 参数名称 | 类型 | 描述 |
|---|---|---|
| EventID | Integer | 事件ID 示例值:1 |
| EventType | String | 事件类型,恶意域名请求:DOMAIN,恶意IP请求:IP 示例值:DOMAIN |
| EventCount | Integer | 恶意请求次数 示例值:1 |
| FoundTime | String | 首次发现时间 示例值:2024-04-17 17:0**** |
| LatestFoundTime | String | 最近生成时间 示例值:2024-04-17 17:0**** |
| ContainerID | String | 容器ID 示例值:36322181839db45cf0624e2d71059c015221be71c3552f2d98d26eda5309**** |
| ContainerName | String | 容器名称 示例值:/bold_ca**** |
| ContainerNetStatus | String | 隔离状态 未隔离 NORMAL 已隔离 ISOLATED 隔离中 ISOLATING 隔离失败 ISOLATE_FAILED 解除隔离中 RESTORING 解除隔离失败 RESTORE_FAILED 示例值:NORMAL |
| ContainerStatus | String | 容器状态 正在运行: RUNNING 暂停: PAUSED 停止: STOPPED 已经创建: CREATED 已经销毁: DESTROYED 正在重启中: RESTARTING 迁移中: REMOVING 示例值:RUNNING |
| ContainerNetSubStatus | String | 容器子状态 "AGENT_OFFLINE" //Agent离线 "NODE_DESTROYED" //节点已销毁 "CONTAINER_EXITED" //容器已退出 "CONTAINER_DESTROYED" //容器已销毁 "SHARED_HOST" // 容器与主机共享网络 "RESOURCE_LIMIT" //隔离操作资源超限 "UNKNOW" // 原因未知 示例值:NONE |
| ContainerIsolateOperationSrc | String | 容器隔离操作来源 示例值:root |
| ImageID | String | 镜像ID 示例值:sha256:eeb6ee3f44bd0b5103bb561b4c16bcb82328cfe5809ab675bb17ab3a16c5**** |
| ImageName | String | 镜像名称 示例值:centos:7 |
| HostName | String | 主机名称 示例值:szzb-tke-uat-nod**** |
| HostIP | String | 内网IP 示例值:10.83.**** |
| PublicIP | String | 外网IP 示例值:10.0.1**** |
| PodName | String | 节点名称 示例值:podname-1 |
| Description | String | 事件描述 示例值:发现容器存在访问恶意IP/域名的行为,您的容器可能已经失陷。 恶意IP/域名可能是黑客的远控服务器、恶意软件下载源、矿池**** |
| Solution | String | 解决方案 示例值:1.检查容器内的恶意进程及非法端口,删除可疑的启动项和定时任务; 2.对容器存在的风险进行排查,如进行漏洞扫描、木马扫描等; 3.对容器所使用的的镜像进行加固,并替换运行中**** |
| Reference | Array of String | 参考链接 示例值:["ref"] |
| Address | String | 恶意域名或IP 示例值:sentry.ky-tech.co**** |
| City | String | 恶意IP所属城市 示例值:103 |
| MatchRuleType | String | 命中规则类型 SYSTEM:系统规则 USER:用户自定义 示例值:USER |
| FeatureLabel | String | 标签特征 示例值:label1 |
| ProcessAuthority | String | 进程权限 示例值:-rwxr-**** |
| ProcessMd5 | String | 进程md5 示例值:735ae70b4ceb8707acc40bc5a3d0**** |
| ProcessStartUser | String | 进程启动用户 示例值:root |
| ProcessUserGroup | String | 进程用户组 示例值:root:**** |
| ProcessPath | String | 进程路径 示例值:/usr/bin/**** |
| ProcessTree | String | 进程树 示例值:ping(274363)_bash(274218)_containerd-shim(274190)_containerd(34245)_system**** |
| ProcessParam | String | 进程命令行参数 示例值:ping sentry.ky-tech.co**** |
| ParentProcessStartUser | String | 父进程启动用户 示例值:root |
| ParentProcessUserGroup | String | 父进程用户组 示例值:root:**** |
| ParentProcessPath | String | 父进程路径 示例值:/usr/bin/**** |
| ParentProcessParam | String | 父进程命令行参数 示例值:bash |
| AncestorProcessStartUser | String | 祖先进程启动用户 示例值:root |
| AncestorProcessUserGroup | String | 祖先进程用户组 示例值:0:0 |
| AncestorProcessPath | String | 祖先进程路径 示例值:/usr/bin/containerd-**** |
| AncestorProcessParam | String | 祖先进程命令行参数 |
| HostID | String | 主机ID 示例值:47850542-8b67-ce2b-9da1-15c1f04d**** |
| EventStatus | String | 事件状态 EVENT_UNDEAL: 待处理 EVENT_DEALED:已处理 EVENT_IGNORE: 已忽略 EVENT_ADD_WHITE:已加白 示例值:EVENT_DE**** |
| OperationTime | String | 操作时间 示例值:2024-05-09 17:1**** |
| Remark | String | 备注 示例值:内部测试 |
| NodeType | String | 节点类型 示例值:NORMAL |
| NodeName | String | 节点名称 示例值:szzb-tke-uat-nod**** |
| NodeSubNetID | String | 节点子网ID 示例值:subnet-5gu2*** |
| NodeSubNetName | String | 节点子网名称 示例值:subnet*** |
| NodeSubNetCIDR | String | 节点子网网段 示例值:10.0.200.0/24 |
| ClusterID | String | 集群ID 示例值:cls-ndcj**** |
| PodIP | String | podip 示例值:10.0.1**** |
| PodStatus | String | pod状态 示例值:Running |
| NodeUniqueID | String | 节点唯一id 示例值:cluster1-node-bcscb |
| NodeID | String | 节点ID名称 示例值:mix-hVOL**** |
| ClusterName | String | 集群名称 示例值:k8s-tool |
| Namespace | String | Namespace 示例值:shequ |
| WorkloadType | String | 工作负载类型 示例值:CloneSet |
| RequestId | String | 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。 |
4. 示例
示例1 查询恶意请求事件详情
查询恶意请求事件详情
输入示例
POST / HTTP/1.1
Host: tcss.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeRiskDnsEventDetail
<公共请求参数>
{
"EventID": "1"
}输出示例
{
"Response": {
"Address": "www.iuyiyo.cc",
"AncestorProcessParam": "/usr/bin/containerd-shim-runc-v2 -namespace moby -id b18a9a372645caefdca4cf9a4e1078122ecf4081bfab0034f85f664b81df0da5 -address /run/containerd/containerd.sock",
"AncestorProcessPath": "/usr/bin/containerd-shim-runc-v2",
"AncestorProcessStartUser": "root",
"AncestorProcessUserGroup": "0:0",
"City": "103",
"ClusterID": "cls-dfw3e***",
"ClusterName": "clsfoo***",
"ContainerID": "b18a9a372645caefdca4cf9a4e1078122ecf4081bfab0034f85f664b81df0da5",
"ContainerIsolateOperationSrc": "运行时安全/文件查杀",
"ContainerName": "/fervent_goodall",
"ContainerNetStatus": "NORMAL",
"ContainerNetSubStatus": "NONE",
"ContainerStatus": "RUNNING",
"Description": "发现容器存在访问恶意IP/域名的行为,您的容器可能已经失陷。\n恶意IP/域名可能是黑客的远控服务器、恶意软件下载源、矿池地址等。",
"EventCount": 1,
"EventID": 306602,
"EventStatus": "EVENT_UNDEAL",
"EventType": "DOMAIN",
"FeatureLabel": "label1",
"FoundTime": "2024-09-29 17:27:15",
"HostID": "acdd5474-6360-4fd4-bfc7-843162cb8116",
"HostIP": "10.0.1.233",
"HostName": "k8s-node1",
"ImageID": "sha256:eeb6ee3f44bd0b5103bb561b4c16bcb82328cfe5809ab675bb17ab3a16c517c9",
"ImageName": "centos:7",
"LatestFoundTime": "2024-09-29 17:27:15",
"MatchRuleType": "USER",
"Namespace": "tcss",
"NodeID": "mix-GOmf****",
"NodeName": "k8s-node1",
"NodeSubNetCIDR": "10.0.200.0/24",
"NodeSubNetID": "subnet-5gu2***",
"NodeSubNetName": "subnet***",
"NodeType": "NORMAL",
"NodeUniqueID": "896e349d-2e7d-4151-a26f-4e9fdafe****",
"OperationTime": "2024-09-29 17:27:17",
"ParentProcessParam": "/bin/bash",
"ParentProcessPath": "/usr/bin/bash",
"ParentProcessStartUser": "root",
"ParentProcessUserGroup": "root:root",
"PodIP": "10.0.1.92",
"PodName": "PodName",
"PodStatus": "Running",
"ProcessAuthority": "-rwxr-xr-x",
"ProcessMd5": "b8b1ce2ef81accb7febb8ab7f56c1576",
"ProcessParam": "curl www.iuyiyo.cc",
"ProcessPath": "/usr/bin/curl",
"ProcessStartUser": "root",
"ProcessTree": "curl(2206566)_bash(2178914)_containerd-shim-runc-v2(2178890)_systemd(1)",
"ProcessUserGroup": "root:root",
"PublicIP": "43.138.142.208",
"Reference": [
"Reference"
],
"Remark": "myremark***",
"RequestId": "52fe1ea9-4826-4f8e-bc8b-61faae09683b",
"Solution": "1.检查容器内的恶意进程及非法端口,删除可疑的启动项和定时任务;\n 2.对容器存在的风险进行排查,如进行漏洞扫描、木马扫描等;\n 3.对容器所使用的的镜像进行加固,并替换运行中的容器。",
"WorkloadType": "DaemonSet"
}
}5. 开发者资源
腾讯云 API 平台
腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。
API Inspector
用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。
SDK
云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。
- Tencent Cloud SDK 3.0 for Python: GitHub, Gitee
- Tencent Cloud SDK 3.0 for Java: GitHub, Gitee
- Tencent Cloud SDK 3.0 for PHP: GitHub, Gitee
- Tencent Cloud SDK 3.0 for Go: GitHub, Gitee
- Tencent Cloud SDK 3.0 for Node.js: GitHub, Gitee
- Tencent Cloud SDK 3.0 for .NET: GitHub, Gitee
- Tencent Cloud SDK 3.0 for C++: GitHub, Gitee
- Tencent Cloud SDK 3.0 for Ruby: GitHub, Gitee
命令行工具
6. 错误码
以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码。
| 错误码 | 描述 |
|---|---|
| AuthFailure | CAM签名/鉴权错误。 |
| FailedOperation | 操作失败。 |
| InternalError | 内部错误。 |
| InvalidParameter | 参数错误。 |
| InvalidParameter.InvalidFormat | 参数格式错误。 |
| InvalidParameter.MissingParameter | 缺少必须参数。 |
| InvalidParameter.ParsingError | 参数解析错误。 |
| InvalidParameterValue | 参数取值错误。 |
| MissingParameter | 缺少参数错误。 |
| ResourceNotFound | 资源不存在。 |
| UnknownParameter | 未知参数错误。 |
