« 更新(创建或更新)资产重要性记录 获取资产重要性记录 »
Elastic 文档 Elastic Security 解决方案 [8.17] Elastic Security API 资产重要性 API

批量更新(创建或更新)资产重要性记录

编辑

批量更新(创建或更新)资产重要性记录

编辑

新的 API 参考

有关最新的 API 详细信息,请参阅实体分析 API

为多个实体创建或更新资产重要性记录。

如果请求中指定的实体已存在资产重要性记录,此 API 会使用指定的值覆盖这些记录。

如果指定的实体不存在资产重要性记录,则会创建新记录。

请求 URL

编辑

POST <kibana host>:<port>/api/asset_criticality/bulk

请求体

编辑

一个定义资产重要性记录的 JSON 对象。

名称 类型 描述 必需

records

数组

要创建或更新的资产重要性记录的数组。最大记录数为 1000。

records.id_field

字符串

包含实体 ID 的字段。必须为 user.namehost.name

records.id_value

字符串

records.id_field 字段中指定的实体的 ID(主机名或用户名)。

records.criticality_level

字符串

要分配的资产重要性级别,必须是以下之一:

  • low_impact
  • medium_impact
  • high_impact
  • extreme_impact

例如,您可以将 extreme_impact 分配给业务关键实体,或将 low_impact 分配给对安全态势构成最小风险的实体。

示例请求

编辑
POST /api/asset_criticality/bulk
{
  "records": [
    {
      "id_field": "host.name",
      "id_value": "my_host",
      "criticality_level": "medium_impact"
    },
    {
      "id_field": "host.name",
      "id_value": "my_other_host",
      "criticality_level": "low_impact"
    }
  ]
}

响应代码

编辑
200
指示调用成功。

示例响应

编辑

成功响应

{
  "errors": [],
  "stats": {
    "successful": 2,
    "failed": 0,
    "total": 2
  }
}
« 更新(创建或更新)资产重要性记录 获取资产重要性记录 »