检测 API
编辑检测 API
编辑您可以创建规则,将发送到 Elastic Security 的事件和外部警报自动转换为检测警报。这些警报将显示在“检测”页面上。
有关事件、外部警报和检测警报之间差异的更多信息,请参阅Elastic 术语表。
该 API 具有以下端点
-
<kibana 主机>:<端口>/api/detection_engine/rules- 检测规则 CRUD 函数 -
<kibana 主机>:<端口>/api/detection_engine/index- 信号索引操作(用于存储检测警报) -
<kibana 主机>:<端口>/api/detection_engine/tags- 聚合并返回规则标签 -
<kibana 主机>:<端口>/api/detection_engine/rules/_import- 从.ndjson文件导入规则 -
<kibana 主机>:<端口>/api/detection_engine/rules/_export- 将规则导出到.ndjson文件 -
<kibana 主机>:<端口>/api/detection_engine/privileges- 返回用户的 Kibana 空间和信号索引权限,以及用户是否已通过身份验证 -
<kibana 主机>:<端口>/api/detection_engine/signals- 聚合、查询并返回警报,并更新其状态 -
<kibana 主机>:<端口>/api/detection_engine/rules/prepackaged- 加载并检索 Elastic 预构建规则的状态
您可以在此处查看和下载检测 API Postman 集合。
身份验证
编辑此 API 支持基于密钥和令牌的身份验证。
要使用基于密钥的身份验证,请创建API 密钥,然后在 API 调用的标头中指定该密钥。
要使用基于令牌的身份验证,请提供用户名和密码;这将自动创建一个与当前用户的权限匹配的 API 密钥。
在这两种情况下,API 密钥随后将在规则运行时用于授权。
如果 API 密钥的权限与创建或最近更新规则的密钥的权限不同,则规则行为可能会发生变化。
如果创建规则的密钥被删除,或者创建规则的用户变为非活动状态,则规则将停止运行。
Kibana 角色要求
编辑要创建和运行规则,Kibana 空间的用户角色必须具有
- Kibana 空间的
Security和Saved Objects Management功能的All权限(请参阅基于用户权限的功能访问)。 -
.siem-signals-*索引(用于存储从规则创建的检测警报的系统索引)的read和write权限。
有关完整的要求列表,请参阅检测要求。