从主机获取文件

编辑

从运行 Elastic Defend 的主机检索文件。

您必须在 Security 功能中拥有 文件操作 Kibana 权限,并且拥有企业许可证才能执行此操作。

请求 URL

编辑

POST <kibana host>:<port>/api/endpoint/action/get_file

请求体

编辑

包含以下字段的 JSON 对象

名称 类型 描述 必需

endpoint_ids

数组 (字符串)

您要在其中发出此操作的端点的 ID。

agent_type

字符串

主机正在运行的代理类型。接受的值为

  • endpoint (默认)
  • sentinel_one (目前处于技术预览阶段)

alert_ids

数组 (字符串)

如果此操作与任何警报相关联,则可以在此处指定它们。该操作将记录在与指定警报关联的任何案例中。

case_ids

数组 (字符串)

将记录所采取操作的案例 ID。

comment

字符串

将注释附加到此操作的日志中。注释文本将出现在相关的案例中。

parameters.path

字符串

文件的完整路径(包括文件名)。

示例请求

编辑

endpoint_id 值为 ed518850-681a-4d60-bb98-e22640cae2a8 的主机上检索文件 /usr/my-file.txt,并添加注释 Get my file

POST /api/endpoint/action/get_file
{
  "endpoint_ids": ["ed518850-681a-4d60-bb98-e22640cae2a8"],
  "parameters": {
    "path": "/usr/my-file.txt",
  },
  "comment": "Get my file"
}

响应代码

编辑
200
表示调用成功。
403
表示用户权限不足(需要 文件操作),或不支持的许可证级别(需要企业许可证)。

响应负载

编辑

包含创建的响应操作详细信息的 JSON 对象。

示例响应

编辑
{
  "data": {
    "id": "27ba1b42-7cc6-4e53-86ce-675c876092b2",
    "agents": [
      "ed518850-681a-4d60-bb98-e22640cae2a8"
    ],
    "hosts": {
      "ed518850-681a-4d60-bb98-e22640cae2a8": {
        "name": "gke-endpoint-gke-clu-endpoint-node-po-e1a3ab89-4c4r"
      }
    },
    "agentType": "endpoint",
    "command": "get-file",
    "startedAt": "2023-07-28T19:00:03.911Z",
    "isCompleted": false,
    "wasSuccessful": false,
    "isExpired": false,
    "status": "pending",
    "outputs": {},
    "agentState": {
      "ed518850-681a-4d60-bb98-e22640cae2a8": {
        "isCompleted": false,
        "wasSuccessful": false
      }
    },
    "createdBy": "myuser",
    "parameters": {
      "path": "/usr/my-file.txt"
    }
  }
}