« 查找案例活动 API 查找连接器 API »
Elastic 文档 Kibana 指南 [8.14] REST API 案例 API

查找案例 API

编辑

查找案例 API编辑

检索案例的分页子集。

有关最新 API 详细信息,请参阅 开放 API 规范

请求编辑

GET <kibana 主机>:<端口>/api/cases/_find

GET <kibana 主机>:<端口>/s/<空间 ID>/api/cases/_find

先决条件编辑

您必须对 案例 功能具有 read 权限,该功能位于 Kibana 功能权限管理可观察性安全 部分,具体取决于您要查找的案例的 owner

路径参数编辑

<空间 ID>
(可选,字符串) 空间的标识符。如果未指定,则使用默认空间。

查询参数编辑

assignees
(可选,字符串或字符串数组) 按分配者筛选返回的案例。有效值为 none 或用户配置文件的唯一标识符。这些标识符可以通过使用 建议用户配置文件 API 找到。
defaultSearchOperator
(可选,字符串) 用于 simple_query_string 的默认运算符。默认为 OR
from
(可选,字符串) 仅返回在特定日期之后创建的案例。日期必须指定为 KQL 数据范围或日期匹配表达式。 [预览] 此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。
owner
(可选,字符串或字符串数组) 用于将检索到的案例限制为特定应用程序集的过滤器。有效值为:casesobservabilitysecuritySolution。如果省略此参数,则响应将包含用户有权读取的所有案例。
page
(可选,整数) 要返回的页码。默认为 1
perPage
(可选,整数) 每页返回的规则数量。默认为 20
reporters
(可选,字符串或字符串数组) 按报告者的 username 筛选返回的案例。
search
(可选,字符串) Elasticsearch simple_query_string 查询,用于筛选响应中的对象。
searchFields
(可选,字符串或字符串数组) 要执行 simple_query_string 解析查询的字段。
severity
(可选,字符串) 案例的严重程度。有效值为:criticalhighlowmedium
sortField

(可选,字符串) 确定用于对结果进行排序的字段,createdAtupdatedAt。默认为 createdAt

即使 JSON 案例对象使用 created_atupdated_at 字段,您也必须在 URL 查询中使用 createdAtupdatedAt 字段。

sortOrder
(可选,字符串) 确定排序顺序,可以是 descasc。默认为 desc
status
(可选,字符串) 按状态筛选返回的案例,可以是 openin-progressclosed
tags
(可选,字符串或字符串数组) 按标签筛选返回的案例。
to
(可选,字符串) 仅返回在特定日期之前创建的案例。日期必须指定为 KQL 数据范围或日期匹配表达式。 [预览] 此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。

响应代码编辑

200
表示成功调用。

示例编辑

按最后更新时间升序检索前五个带有 tag-1 标签的案例

GET api/cases/_find?page=1&perPage=5&sortField=updatedAt&sortOrder=asc&tags=tag-1

API 返回一个 JSON 对象,其中列出了检索到的案例。例如

{
  "page": 1,
  "per_page": 5,
  "total": 1,
  "cases": [
    {
      "id": "abed3a70-71bd-11ea-a0b2-c51ea50a58e2",
      "version": "WzExMCwxXQ==",
      "comments": [],
      "totalComment": 1,
      "totalAlerts": 0,
      "title": "Case title",
      "tags": [ "tag-1" ],
      "description": "Case description",
      "settings": { "syncAlerts": true },
      "owner": "securitySolution",
      "duration": null, 
      "severity": "low",
      "closed_at": null,
      "closed_by": null,
      "created_at": "2022-05-12T00:16:36.371Z",
      "created_by": {
        "email": "[email protected]",
        "full_name": "Jane Doe",
        "username": "jdoe"
      },
      "status": "open",
      "updated_at": "2022-05-12T00:27:58.162Z",
      "updated_by": {
        "email": "[email protected]",
        "full_name": "Joe Smith",
        "username": "jsmith"
      },
      "assignees": [],
      "connector": {
        "id": "none",
        "name": "none",
        "type": ".none",
        "fields": null
      },
      "external_service": null
    }
  ],
  "count_open_cases": 1,
  "count_in_progress_cases":0,
  "count_closed_cases": 0
}

Duration 表示从案例创建到关闭所经过的时间(以秒为单位)。如果案例尚未关闭,则持续时间设置为 null。如果案例在不到半秒的时间内关闭,则持续时间将四舍五入为零。
« 查找案例活动 API 查找连接器 API »