« 异常容器摘要 删除异常容器 »
Elastic 文档 Elastic 安全解决方案 [8.16] Elastic 安全 API 异常 API

更新异常项

编辑

更新异常项

编辑

新的 API 参考

有关最新的 API 详细信息,请参阅 异常 API

更新现有的异常项。

请求 URL

编辑

PUT <kibana 主机>:<端口>/api/exception_lists/items

请求体

编辑
名称 类型 描述 必填

评论

comments[]

要追加的评论数组

  • comment (字符串): 关于异常项的评论。

无法修改评论 - 只能追加。

否,默认为空数组。

描述

字符串

描述异常项。

条目

entries[]

包含异常查询的数组。布尔值 AND 逻辑用于评估数组元素之间的关系。如果要使用 OR 逻辑,请创建单独的异常项。

过期时间

字符串

异常项的过期日期,以 ISO 格式表示。此字段仅适用于常规异常项,不适用于端点异常。

ID

字符串

项目的唯一标识符。

是,当项目的 item_id 字段未使用时。

项目 ID

字符串

您正在更新的项目的 item_id

是,当项目的 id 字段未使用时。

元数据

对象

异常项元数据的占位符。

名称

字符串

异常项的名称。

命名空间类型

字符串

确定异常项是在所有 Kibana 空间中可用,还是仅在其创建的空间中可用,其中

  • single: 仅在其创建的 Kibana 空间中可用。
  • agnostic: 在所有 Kibana 空间中可用。

否,默认为 single

标签

字符串[]

包含单词和短语的字符串数组,有助于对异常项进行分类。

类型

字符串

异常查询类型,必须为 simple

示例请求

编辑

更新 entries 对象

PUT api/exception_lists/items
{
  "description": "Process allowlist",
  "entries": [
    {
      "field": "process.name",
      "operator": "included",
      "type": "match",
      "value": "maintenance"
    },
    {
      "field": "host.name",
      "operator": "included",
      "type": "match_any",
      "value": [
        "liv-win-anf",
        "livw-win-mel",
        "linux-anfield",
        "new-host"
      ]
    }
  ],
  "item_id": "allow-process-on-machines",
  "name": "Host-process exclusions",
  "namespace_type": "single",
  "tags": [
    "hosts",
    "processes"
  ],
  "type": "simple"
}

响应代码

编辑
200
表示成功调用。

响应负载

编辑

更新后的对象,包括其更新时间。

示例响应

{
  "_tags": [],
  "comments": [],
  "created_at": "2020-07-15T06:28:32.457Z",
  "created_by": "elastic",
  "description": "Process allowlist",
  "entries": [
    {
      "field": "process.name",
      "operator": "included",
      "type": "match",
      "value": "maintenance"
    },
    {
      "field": "host.name",
      "operator": "included",
      "type": "match_any",
      "value": [
        "liv-win-anf",
        "livw-win-mel",
        "linux-anfield",
        "new-host"
      ]
    }
  ],
  "id": "67a70610-c664-11ea-bab5-9d6ae015701b",
  "item_id": "allow-process-on-machines",
  "list_id": "allowed-processes",
  "name": "Host-process exclusions",
  "namespace_type": "single",
  "tags": [
    "hosts",
    "processes"
  ],
  "tie_breaker_id": "15d7f2eb-7192-4f4b-a803-ad8a4f5efd08",
  "type": "simple",
  "updated_at": "2020-07-15T06:28:50.494Z",
  "updated_by": "elastic"
}
« 异常容器摘要 删除异常容器 »