创建异常容器
编辑创建异常容器
编辑创建异常容器。
异常容器对 异常项 进行分组,并可以与规则关联。当异常项的查询结果为 true 时,即使满足规则的其他条件,规则也不会发出警报。
您可以为多个异常容器分配检测规则。有关更多信息,请参见 创建规则 和 更新规则。
添加到同一容器的所有异常项都使用 OR 逻辑进行评估。也就是说,如果容器中的任何一项评估结果为 true,则异常会阻止规则生成警报。同样,当多个异常容器分配给一个规则时,也会使用 OR 逻辑来评估异常。要使用 AND 运算符,可以在单个异常项中定义多个子句 (entries)。
请求 URL
编辑POST <kibana 主机>:<端口>/api/exception_lists
请求正文
编辑具有以下字段的 JSON 对象
| 名称 | 类型 | 描述 | 必填 |
|---|---|---|---|
|
字符串 |
描述异常容器。 |
是 |
|
字符串 |
唯一标识符。 |
否,未提供时自动创建。 |
|
对象 |
列表容器元数据的占位符。 |
否 |
|
字符串 |
异常容器的名称。 |
是 |
|
字符串 |
确定异常容器是在所有 Kibana 空间中可用,还是仅在其创建的空间中可用,其中
|
否,默认为 |
|
字符串[] |
包含单词和短语的字符串数组,用于帮助对异常容器进行分类。 |
否 |
|
字符串 |
异常类型,必须是以下之一
|
是 |
示例请求
编辑创建用于保存受信任的 Linux 进程异常项的异常容器
POST api/exception_lists
{
"description": "Excludes Linux trusted processes",
"name": "Linux process exceptions",
"list_id": "trusted-linux-processes",
"type": "detection",
"namespace_type": "single",
"tags": [
"linux",
"processes"
]
}
响应代码
编辑-
200 - 表示调用成功。
响应有效负载
编辑具有唯一 ID 的异常容器对象。
{
"_tags": [],
"created_at": "2020-07-13T09:33:46.187Z",
"created_by": "elastic",
"description": "Excludes Linux trusted processes",
"id": "f320c070-c4eb-11ea-80bb-11861bae2798",
"list_id": "trusted-linux-processes",
"name": "Linux process exceptions",
"namespace_type": "single",
"tags": [
"linux",
"processes"
],
"tie_breaker_id": "2c08d5a5-2ecc-4d5a-acfb-0a367f25b3f3",
"type": "detection",
"updated_at": "2020-07-13T09:33:46.359Z",
"updated_by": "elastic"
}
这些值是将异常容器与检测规则关联所需的。