« 创建异常项 查找异常容器 »
Elastic 文档 Elastic 安全解决方案 [8.17] Elastic 安全 API 异常 API

创建共享异常列表

编辑

创建共享异常列表

编辑

新的 API 参考

有关最新的 API 详细信息,请参阅异常 API

创建共享异常列表。

异常列表将异常项分组,并且可以与规则关联。当异常项的查询评估为 true 时,即使满足其他条件,关联的规则也不会发出警报。

一个共享异常列表可以应用于多个检测规则。有关更多信息,请参阅创建规则更新规则

添加到同一列表中的所有异常项都使用 OR 逻辑进行评估。这意味着,如果列表中的任何项评估为 true,则会阻止规则生成警报。同样,当将多个异常列表分配给一个规则时,也使用 OR 逻辑来评估异常。要使用 AND 运算符,您可以在单个异常项中定义多个子句 (entries)。

请求 URL

编辑

POST <kibana host>:<port>/api/exceptions/shared

例如,使用 cURL

curl -X POST "<KibanaURL>/api/exceptions/shared"
-u <username>:<password> -H 'kbn-xsrf: true' -H "Content-Type: application/json"
--data "@<link to file>"

包含异常列表的 .ndjson 文件的相对链接。

示例请求

编辑

exception_lists.ndjson 文件中创建异常列表,并使用相同的 list_id 值覆盖现有列表

curl -X POST "<KibanaURL>/api/exceptions/shared"
-u <username>:<password> -H 'kbn-xsrf: true' -H "Content-Type: application/json"
--data "@<link to file>"

包含异常列表的 .ndjson 文件的相对链接。

响应代码

编辑
200
指示调用成功。

响应负载

编辑
{
    "_version":"WzM2NDAsMV0=",
    "created_at":"2022-12-08T18:24:11.678Z",
    "created_by":"elastic",
    "description":"I want to share this list with other rules",
    "id":"832fb2f0-7725-11ed-aec7-81feddf7ae2b",
    "immutable":false,
    "list_id":"dc9e6f28-cedb-4dbb-985b-008956e49fd6",
    "name":"my shared exception list",
    "namespace_type":"single",
    "os_types":[],
    "tags":[],
    "tie_breaker_id":"8c041278-7a1c-4d8c-bb70-f84987fb2c63",
    "type":"detection",
    "updated_at":"2022-12-08T18:24:11.679Z",
    "updated_by":"elastic",
    "version":1
}

示例 ndjson 文件

编辑
{
    "name": "my shared exception list",
    "description": "I want to share this list with other rules"
}
« 创建异常项 查找异常容器 »