创建异常容器
编辑创建异常容器
编辑创建异常容器。
异常容器将 异常项 分组,并且可以与规则相关联。当异常项的查询结果为 true 时,即使满足规则的其他条件,规则也不会发出警报。
您可以将检测规则分配给多个异常容器。有关更多信息,请参阅 创建规则 和 更新规则。
添加到同一容器的所有异常项都使用 OR 逻辑进行评估。也就是说,如果容器中的任何项的计算结果为 true,则该异常将阻止规则生成警报。同样,当将多个异常容器分配给规则时,也会使用 OR 逻辑来评估异常。要使用 AND 运算符,您可以在单个异常项中定义多个子句 (entries)。
请求 URL
编辑POST <kibana 主机>:<端口>/api/exception_lists
请求主体
编辑包含以下字段的 JSON 对象
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
|
字符串 |
描述异常容器。 |
是 |
|
字符串 |
唯一标识符。 |
否,未提供时会自动创建。 |
|
对象 |
列表容器的元数据占位符。 |
否 |
|
字符串 |
异常容器的名称。 |
是 |
|
字符串 |
确定异常容器是在所有 Kibana 空间中可用,还是仅在创建它的空间中可用,其中
|
否,默认为 |
|
字符串[] |
包含单词和短语的字符串数组,用于帮助对异常容器进行分类。 |
否 |
|
字符串 |
异常类型,必须是以下之一
|
是 |
示例请求
编辑创建一个用于保存受信任的 Linux 进程异常项的异常容器
POST api/exception_lists
{
"description": "Excludes Linux trusted processes",
"name": "Linux process exceptions",
"list_id": "trusted-linux-processes",
"type": "detection",
"namespace_type": "single",
"tags": [
"linux",
"processes"
]
}
响应代码
编辑-
200 - 指示调用成功。
响应负载
编辑具有唯一 ID 的异常容器对象。
{
"_tags": [],
"created_at": "2020-07-13T09:33:46.187Z",
"created_by": "elastic",
"description": "Excludes Linux trusted processes",
"id": "f320c070-c4eb-11ea-80bb-11861bae2798",
"list_id": "trusted-linux-processes",
"name": "Linux process exceptions",
"namespace_type": "single",
"tags": [
"linux",
"processes"
],
"tie_breaker_id": "2c08d5a5-2ecc-4d5a-acfb-0a367f25b3f3",
"type": "detection",
"updated_at": "2020-07-13T09:33:46.359Z",
"updated_by": "elastic"
}
这些值是关联异常容器和检测规则所必需的