« 获取异常项 导出异常列表 »
Elastic 文档 Elastic 安全解决方案 [8.16] Elastic 安全 API 异常 API

导入异常列表

编辑

导入异常列表

编辑

新的 API 参考

有关最新的 API 详细信息,请参阅 异常 API

导入异常列表及其关联项。

异常列表对 异常项 进行分组,并且可以与规则关联。当异常项的查询结果为 true 时,即使满足关联规则的其他条件,也不会发出警报。

您可以将多个异常列表分配给检测规则。有关更多信息,请参阅 创建规则更新规则

添加到同一列表中的所有异常项都使用 OR 逻辑进行评估。这意味着,如果列表中的任何项评估结果为 true,则会阻止规则生成警报。同样,当将多个异常列表分配给规则时,也会使用 OR 逻辑来评估异常。要使用 AND 运算符,您可以在单个异常项中定义多个子句(entries)。

请求 URL

编辑

POST <kibana 主机>:<端口>/api/exception_lists/_import

请求必须包含

  • 指向包含异常列表的 .ndjson 文件的链接。

例如,使用 cURL

curl -X POST "<KibanaURL>/api/exception_lists/_import"
-u <username>:<password> -H 'kbn-xsrf: true'
--form "file=@<link to file>"

指向包含异常列表的 .ndjson 文件的相对链接。

URL 查询参数

编辑
名称 类型 描述 必需

overwrite

布尔值

确定是否覆盖具有相同 list_id 的现有异常列表。如果任何异常项具有相同的 item_id,则也会覆盖这些项。

否,默认为 false

as_new_list

布尔值

确定导入的列表是否将生成新的 list_id。为每个异常项生成额外的 item_id。异常列表容器及其项均会被覆盖。

否,默认为 false

示例请求

编辑

导入 exception_lists.ndjson 文件中的异常列表,并覆盖具有相同 list_id 值的现有列表

curl -X POST "<KibanaURL>/api/exception_lists/_import?overwrite=true"
-u <username>:<password> -H 'kbn-xsrf: true'
--form "file=@<link to file>"

指向包含异常列表的 .ndjson 文件的相对链接。

响应代码

编辑
200
指示调用成功。

响应负载

编辑
{
  "errors": [],
  "success": true;
  "success_count": 1;
  "success_exception_lists": 1;
  "success_count_exception_lists": 1;
  "success_exception_list_items": true;
  "success_count_exception_list_items": 1;
}

示例 ndjson 文件

编辑
{"_version":"WzEyOTcxLDFd","created_at":"2021-10-19T22:16:22.426Z","created_by":"elastic","description":"Query with a rule_id that acts like an external id","id":"3120bfa0-312a-11ec-9af9-ebd1fe0a2379","immutable":false,"list_id":"7d7cccb8-db72-4667-b1f3-648efad7c1ee","name":"Query with a rule id Number 1","namespace_type":"single","os_types":[],"tags":[],"tie_breaker_id":"e4daafa2-a60b-4e97-8eb4-2ed54356308f","type":"detection","updated_at":"2021-10-19T22:16:22.491Z","updated_by":"elastic","version":1}
{"_version":"WzEyOTc1LDFd","comments":[],"created_at":"2021-10-19T22:16:36.567Z","created_by":"elastic","description":"Query with a rule id Number 1 - exception list item","entries":[{"field":"@timestamp","operator":"included","type":"exists"}],"id":"398ea580-312a-11ec-9af9-ebd1fe0a2379","item_id":"f7fd00bb-dba8-4c93-9d59-6cbd427b6330","list_id":"7d7cccb8-db72-4667-b1f3-648efad7c1ee","name":"Query with a rule id Number 1 - exception list item","namespace_type":"single","os_types":[],"tags":[],"tie_breaker_id":"54fecdba-1b36-467a-867c-a49aaaa84dcc","type":"simple","updated_at":"2021-10-19T22:16:36.634Z","updated_by":"elastic"}
« 获取异常项 导出异常列表 »