检测 API
编辑检测 API
编辑您可以创建规则,自动将发送到 Elastic Security 的事件和外部警报转换为检测警报。这些警报显示在“检测”页面上。
有关事件、外部警报和检测警报之间差异的更多信息,请参阅 Elastic 词汇表。
该 API 具有以下端点
-
<kibana 主机>:<端口>/api/detection_engine/rules- 检测规则 CRUD 功能 -
<kibana 主机>:<端口>/api/detection_engine/index- 信号索引操作(用于存储检测警报) -
<kibana 主机>:<端口>/api/detection_engine/tags- 聚合并返回规则标签 -
<kibana 主机>:<端口>/api/detection_engine/rules/_import- 从.ndjson文件导入规则 -
<kibana 主机>:<端口>/api/detection_engine/rules/_export- 将规则导出到.ndjson文件 -
<kibana 主机>:<端口>/api/detection_engine/privileges- 返回用户的 Kibana 空间和信号索引权限,以及用户是否已通过身份验证 -
<kibana 主机>:<端口>/api/detection_engine/signals- 聚合、查询和返回警报,并更新其状态 -
<kibana 主机>:<端口>/api/detection_engine/rules/prepackaged- 加载和检索 Elastic 预构建规则 的状态
您可以查看和下载检测 API Postman 集合 此处。
身份验证
编辑此 API 支持基于密钥和基于令牌的身份验证。
要使用基于密钥的身份验证,请创建一个 API 密钥,然后在 API 调用的标头中指定该密钥。
要使用基于令牌的身份验证,请提供用户名和密码;这会自动创建一个与当前用户权限匹配的 API 密钥。
在这两种情况下,API 密钥随后用于在规则运行时进行授权。
如果 API 密钥与创建或最近更新规则的密钥具有不同的权限,则规则行为可能会发生变化。
如果创建规则的密钥被删除,或者创建规则的用户变为非活动状态,则规则将停止运行。
Kibana 角色要求
编辑要创建和运行规则,Kibana 空间的用户角色必须具有
- Kibana 空间
所有权限,用于安全和保存对象管理功能(请参阅 基于用户权限的功能访问)。 -
读取和写入权限,用于.siem-signals-*索引(用于存储从规则创建的检测警报的系统索引)。
有关完整的要求列表,请参阅 检测要求。