« 向案例添加评论 API 删除案例 API »
Elastic 文档 Kibana 指南 [8.14] REST API 案例 API

创建案例 API

编辑

创建案例 API编辑

创建案例。

有关最新 API 详细信息,请参阅 开放式 API 规范

请求编辑

POST <kibana 主机>:<端口>/api/cases

POST <kibana 主机>:<端口>/s/<空间 ID>/api/cases

先决条件编辑

您必须对 案例 功能在 管理可观察性安全 部分的 Kibana 功能权限 具有 all 权限,具体取决于您要创建的案例的 owner

路径参数编辑

<空间 ID>
(可选,字符串) 空间的标识符。如果未指定,则使用默认空间。

请求正文编辑

assignees

(可选,对象数组) 包含分配给案例的用户的数组。

分配对象属性
uid
(必需,字符串) 用户配置文件的唯一标识符。这些标识符可以通过使用 建议用户配置文件 API 找到。
connector

(必需,对象) 包含连接器配置的对象。

connector 属性
fields

(必需,对象) 包含连接器字段的对象。要创建没有连接器的案例,请指定 null。如果您要省略任何单个字段,请指定 null 作为其值。

fields 属性

对于 IBM Resilient 连接器,请指定

issueTypes
(必需,字符串数组) 事件的类型。
severityCode
(必需,字符串) 事件的严重程度代码。

对于 Jira 连接器,请指定

issueType
(必需,字符串) 问题的类型。
parent
(必需,字符串) 父问题的键,当问题类型为 Sub-task 时。
priority
(必需,字符串) 问题的优先级。

对于 ServiceNow ITSM 连接器,请指定

category
(必需,字符串) 事件的类别。
impact
(必需,字符串) 事件对业务的影响。
severity
(必需,字符串) 事件的严重程度。
subcategory
(必需,字符串) 事件的子类别。
urgency
(必需,字符串) 事件解决可以延迟的程度。

对于 ServiceNow SecOps 连接器,请指定

category
(必需,字符串) 事件的类别。
destIp
(必需,字符串) 目标 IP 的逗号分隔列表。
malwareHash
(必需,字符串) 恶意软件哈希值的逗号分隔列表。
malwareUrl
(必需,字符串) 恶意软件 URL 的逗号分隔列表。
priority
(必需,字符串) 事件的优先级。
sourceIp
(必需,字符串) 源 IP 的逗号分隔列表。
subcategory
(必需,字符串) 事件的子类别。

对于 Swimlane 连接器,请指定

caseId
(必需,字符串) 案例 ID。

对于 Webhook - 案例管理连接器,请指定 null

id
(必需,字符串) 连接器的标识符。要创建没有连接器的案例,请使用 none。要检索连接器 ID,请使用 查找连接器
name
(必需,字符串) 连接器的名称。要创建没有连接器的案例,请使用 none
type
(必需,字符串) 连接器的类型。有效值为:.cases-webhook.jira.none.resilient.servicenow.servicenow-sir.swimlane。要创建没有连接器的案例,请使用 .none
description
(必需,字符串) 案例的描述。
owner
(必需,字符串) 拥有案例的应用程序。有效值为:casesobservabilitysecuritySolution。此值会影响案例是否在堆栈管理、可观察性或 Elastic 安全应用程序中可见。
settings

(必需,对象) 包含案例设置的对象。

settings 属性
syncAlerts
(必需,布尔值) 打开或关闭警报同步。
severity
(可选,字符串) 案例的严重程度。有效值为:criticalhighlowmedium
tags
(必需,字符串数组) 用于对案例进行分类的词语和短语。它可以是一个空数组。
title
(必需,字符串) 案例的标题。

响应代码编辑

200
表示成功调用。

示例编辑

POST api/cases
{
  "description": "A case description.",
  "title": "Case title 1",
  "tags": [ "tag 1" ],
  "connector": {
    "id": "131d4448-abe0-4789-939d-8ef60680b498",
    "name": "My connector",
    "type": ".jira",
    "fields": {
      "issueType": "10006",
      "priority": "High",
      "parent": null
    }
  },
  "settings": {
    "syncAlerts": true
  },
  "owner": "cases"
}

API 返回一个 JSON 对象,其中包含创建案例的用户以及案例标识符、版本和创建时间。例如

{
  "id": "66b9aa00-94fa-11ea-9f74-e7e108796192", 
  "version": "WzUzMiwxXQ==",
  "comments": [],
  "totalComment": 0,
  "totalAlerts": 0,
  "title": "Case title 1",
  "tags": [ "tag 1" ],
  "assignees": [],
  "settings": {
    "syncAlerts": true
  },
  "owner": "cases",
  "description": "A case description.",
  "duration": null,
  "severity": "low",
  "closed_at": null,
  "closed_by": null,
  "created_at": "2022-05-13T09:16:17.416Z",
  "created_by": {
    "email": null,
    "full_name": null,
    "username": "elastic"
  },
  "status": "open",
  "updated_at": null,
  "updated_by": null,
  "connector": {
    "id": "131d4448-abe0-4789-939d-8ef60680b498", 
    "name": "My connector",
    "type": ".jira",
    "fields": {
      "issueType": "10006",
      "parent": null,
      "priority": "High"
    }
  },
  "external_service": null 
}

案例标识符也是其保存对象 ID (savedObjectId),在将案例推送到外部系统时使用。

用于将案例推送到外部服务的默认连接器。

external_service 对象存储事件推送到外部事件管理系统后的信息。
« 向案例添加评论 API 删除案例 API »