« 更新(创建或更新)资产关键性记录 获取资产关键性记录 »
Elastic 文档 Elastic 安全解决方案 [8.16] Elastic 安全 API 资产关键性 API

批量更新(创建或更新)资产关键性记录

编辑

批量更新(创建或更新)资产关键性记录

编辑

新的 API 参考

有关最新的 API 详细信息,请参阅 实体分析 API

创建或更新多个实体的资产关键性记录。

如果请求中指定的实体已存在资产关键性记录,则此 API 会使用指定的数值覆盖这些记录。

如果指定实体不存在资产关键性记录,则会创建新的记录。

请求 URL

编辑

POST <kibana 主机>:<端口>/api/asset_criticality/bulk

请求正文

编辑

一个定义资产关键性记录的 JSON 对象。

名称 类型 描述 必填

records

数组

要创建或更新的资产关键性记录数组。记录的最大数量为 1000。

records.id_field

字符串

包含实体 ID 的字段。这必须是 user.namehost.name

records.id_value

字符串

records.id_field 字段中指定的实体的 ID(主机名或用户名)。

records.criticality_level

字符串

要分配的资产关键性级别,必须是以下之一

  • low_impact
  • medium_impact
  • high_impact
  • extreme_impact

例如,您可以为业务关键实体分配 extreme_impact,或为对您的安全态势构成最低风险的实体分配 low_impact

示例请求

编辑
POST /api/asset_criticality/bulk
{
  "records": [
    {
      "id_field": "host.name",
      "id_value": "my_host",
      "criticality_level": "medium_impact"
    },
    {
      "id_field": "host.name",
      "id_value": "my_other_host",
      "criticality_level": "low_impact"
    }
  ]
}

响应代码

编辑
200
表示调用成功。

示例响应

编辑

成功响应

{
  "errors": [],
  "stats": {
    "successful": 2,
    "failed": 0,
    "total": 2
  }
}
« 更新(创建或更新)资产关键性记录 获取资产关键性记录 »