« 解除隔离主机 暂停进程 »
Elastic 文档 Elastic 安全解决方案 [8.17] Elastic 安全 API 端点管理 API

终止进程

编辑

终止进程

编辑

新 API 参考

有关最新的 API 详细信息,请参阅端点管理 API

终止运行 Elastic Defend 或受支持的第三方代理类型的主机上的进程。

您必须拥有 进程操作 权限和企业许可证才能执行此操作。

请求 URL

编辑

POST <kibana 主机>:<端口>/api/endpoint/action/kill_process

请求体

编辑

具有以下字段的 JSON 对象

名称 类型 描述 必需

endpoint_ids

数组 (字符串)

要在其中发出此操作的端点的 ID。

agent_type

字符串

主机正在运行的代理类型。接受的值为

  • endpoint (默认)
  • sentinel_one (当前处于技术预览版)

alert_ids

数组 (字符串)

如果此操作与任何警报关联,则可以在此处指定它们。该操作将记录在与指定警报相关的任何案例中。

case_ids

数组 (字符串)

将记录所采取操作的案例的 ID。

comment

字符串

为此操作的日志附加注释。注释文本将出现在关联的案例中。

parameters.pid

数字

要终止的进程的进程 ID (PID)。

是,必须提供 parameters.pidparameters.entity_id,但不能同时提供两者

parameters.entity_id

字符串

要终止的进程的实体 ID。

是,必须提供 parameters.pidparameters.entity_id,但不能同时提供两者

parameters.process_name

字符串

仅限 SentinelOne agent_type。要终止的进程的名称。

是。这是 SentinelOne 唯一接受的参数

示例请求

编辑

endpoint_id 值为 ed518850-681a-4d60-bb98-e22640cae2a8 的主机上终止实体 ID 为 abc123 的进程,并添加注释 终止进程

POST /api/endpoint/action/kill_process
{
  "endpoint_ids": ["ed518850-681a-4d60-bb98-e22640cae2a8"],
  "parameters": {
    "entity_id": "abc123"
  },
  "comment": "terminate the process"
}

响应代码

编辑
200
表示成功调用。
403
表示用户权限不足(需要 进程操作),或不支持的许可证级别(需要企业许可证)。
500
一般错误。响应消息将提供其他详细信息。

响应有效负载

编辑

包含已创建的响应操作详细信息的 JSON 对象。

示例响应

编辑
{
  "data": {
    "id": "233db9ea-6733-4849-9226-5a7039c7161d",
    "agents": ["ed518850-681a-4d60-bb98-e22640cae2a8"],
    "command": "kill-process",
    "agentType": "endpoint",
    "isExpired": false,
    "isCompleted": true,
    "wasSuccessful": true,
    "errors": [],
    "startedAt": "2022-07-29T19:08:49.126Z",
    "completedAt": "2022-07-29T19:09:44.961Z",
    "outputs": {
      "ed518850-681a-4d60-bb98-e22640cae2a8": {
        "type": "json",
        "content": {
          "key": "value"
        }
      }
    },
    "createdBy": "myuser",
    "comment": "terminate the process",
    "parameters": {
      "entity_id": "abc123"
    }
  }
}
« 解除隔离主机 暂停进程 »