› › ›

导入规则

编辑

导入规则

编辑

从 .ndjson 文件导入规则。以下配置项也包含在 .ndjson 文件中

操作
例外列表

结合 API 密钥身份验证使用时，用户的密钥将分配给受影响的规则。如果用户的密钥被删除或用户变为非活动状态，则规则将停止运行。

如果用于授权的 API 密钥的权限与创建或最近更新规则的密钥的权限不同，则规则行为可能会发生变化。

要导入包含操作的规则，您至少需要 读取 操作和连接器 功能的权限。要覆盖或添加新的连接器，您需要 全部 操作和连接器 功能的权限。要导入不包含操作的规则，不需要 操作和连接器 权限。有关更多信息，请参阅启用和访问检测。

规则操作和连接器包含在导出的文件中，但连接器的敏感信息（例如身份验证凭据）不包含在内。导入检测规则后，必须重新添加缺少的连接器详细信息。

您可以使用 Kibana 的已保存对象 UI（堆栈管理 → Kibana → 已保存对象）或已保存对象 API（实验性）来导出和导入导入检测规则之前所需的任何连接器。

类似地，用于规则例外的任何值列表都不包含在规则导出或导入中。使用管理值列表 UI（规则 → 检测规则 (SIEM) → 管理值列表）分别导出和导入值列表。

请求 URL

编辑

POST <kibana 主机>:<端口>/api/detection_engine/rules/_import

请求必须包含

Content-Type: multipart/form-data HTTP 头。
包含规则的 .ndjson 文件的链接。

例如，使用 cURL

curl -X POST "<KibanaURL>/api/detection_engine/rules/_import"
-u <username>:<password> -H 'kbn-xsrf: true'
-H 'Content-Type: multipart/form-data'
--form "file=@<link to file>"

包含规则的 .ndjson 文件的相对链接。

URL 查询参数

编辑

名称	类型	描述	必填
`overwrite`	布尔值	确定是否覆盖具有相同 `rule_id` 的现有规则。	否，默认为 `false`。
`overwrite_exceptions`	布尔值	确定是否覆盖具有相同 `list_id` 的现有异常列表。异常列表容器及其项目都将被覆盖。	否，默认为 `false`。
`overwrite_action_connectors`	布尔值	确定是否覆盖具有相同 `kibana.alert.rule.actions.id` 的现有操作。	否，默认为 `false`。

示例请求

编辑

导入 detection_rules.ndjson 文件中的规则，并覆盖具有相同 rule_id 值的现有规则

curl -X POST "api/detection_engine/rules/_import?overwrite=true"
-H 'kbn-xsrf: true' -H 'Content-Type: multipart/form-data'
--form "file=@detection_rules.ndjson"

响应代码

编辑

200: 表示成功调用。

示例响应

编辑

{
    "success": true,
    "success_count": 1,
    "rules_count": 1,
    "errors": [],
    "exceptions_errors": [],
    "exceptions_success": true,
    "exceptions_success_count": 0
}

« 标签端点导出规则 »