创建列表容器
编辑创建列表容器
编辑创建列表容器。
列表容器对定义检测规则警报未生成的异常的常用列表项进行分组,即使规则的其他条件已满足。
同一列表容器中的所有列表项都指代同一类型的异常。例如,ip
列表容器中的每个列表项都排除一个 IP 地址。
您可以使用 CIDR 表示法检索列表容器中的 ip
项,使用单个 IP 值检索 ip_range
项。有关示例,请参见获取列表项。
请求 URL
编辑POST <kibana 主机>:<端口>/api/lists
请求正文
编辑定义列表容器属性的 JSON 对象。
必填字段
编辑可选字段
编辑名称 | 类型 | 描述 |
---|---|---|
|
字符串 |
确定如何显示检索到的列表项值。默认情况下,列表项使用以下 Handlebar 表达式显示
有关上传列表项值时的解析信息,请参见 |
|
字符串 |
唯一标识符。未提供时自动创建。 |
|
对象 |
列表容器元数据的占位符。 |
字符串 |
确定如何解析上传的列表项值。默认情况下,列表项使用以下 命名正则表达式组 解析
|
|
|
整数 |
列表容器的版本号。默认为 |
示例请求
编辑为 IP 地址创建列表容器
POST api/lists { "id": "internal-ip-excludes", "name": "Exclude internal IP addresses", "description": "Contains list items that exclude internal IP addresses from detection rules.", "type": "ip" }
为关键字创建列表容器
POST api/lists { "id": "host.name-container", "name": "Exclude hosts", "description": "Contains list items that exclude host names from detection rules.", "type": "keyword" }
使用自定义解析为 ip_range
项创建列表容器
响应代码
编辑-
200
- 指示成功调用。
响应有效负载
编辑{ "_version": "WzAsMV0=", "id": "internal-ip-excludes", "created_at": "2020-08-11T10:08:05.289Z", "created_by": "elastic", "description": "Contains list items that exclude internal IP addresses from detection rule matches.", "immutable": false, "name": "Exclude internal IP addresses", "tie_breaker_id": "f7951678-ad13-4d65-8d15-a4c706d4893e", "type": "ip", "updated_at": "2020-08-11T10:08:05.289Z", "updated_by": "elastic", "version": 1 }