扫描文件或文件夹
编辑扫描文件或文件夹
编辑在运行 Elastic Defend 的主机上扫描文件或文件夹是否存在恶意软件。
您必须在安全功能中拥有 扫描操作 Kibana 权限,并且拥有企业许可证才能执行此操作。
请求 URL
编辑POST <kibana 主机>:<端口>/api/endpoint/action/scan
请求正文
编辑包含以下字段的 JSON 对象
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
|
数组 (字符串) |
您要在其上发出此操作的端点的 ID。 |
是 |
|
字符串 |
主机正在运行的代理的类型。接受的值为
|
否 |
|
数组 (字符串) |
如果此操作与任何警报相关联,则可以在此处指定它们。该操作将记录在与指定警报相关的任何案例中。 |
否 |
|
数组 (字符串) |
将记录所采取的操作的案例 ID。 |
否 |
|
字符串 |
将注释附加到此操作的日志。注释文本将出现在相关的案例中。 |
否 |
|
字符串 |
文件夹或文件的完整路径(包括文件名)。 |
是 |
示例请求
编辑扫描主机上 endpoint_id 值为 ed518850-681a-4d60-bb98-e22640cae2a8 的文件 /usr/my-file.txt,并添加注释 扫描文件是否存在恶意软件
POST /api/endpoint/action/scan
{
"endpoint_ids": ["ed518850-681a-4d60-bb98-e22640cae2a8"],
"parameters": {
"path": "/usr/my-file.txt",
},
"comment": "Scan the file for malware"
}
响应代码
编辑-
200 - 表示调用成功。
-
403 - 表示用户权限不足(需要扫描操作),或不支持的许可证级别(需要企业许可证)。
响应有效负载
编辑一个 JSON 对象,其中包含创建的响应操作的详细信息。
示例响应
编辑{
"data": {
"id": "27ba1b42-7cc6-4e53-86ce-675c876092b2",
"agents": [
"ed518850-681a-4d60-bb98-e22640cae2a8"
],
"hosts": {
"ed518850-681a-4d60-bb98-e22640cae2a8": {
"name": "gke-endpoint-gke-clu-endpoint-node-po-e1a3ab89-4c4r"
}
},
"agentType": "endpoint",
"command": "scan",
"startedAt": "2023-07-28T19:00:03.911Z",
"isCompleted": false,
"wasSuccessful": false,
"isExpired": false,
"status": "pending",
"outputs": {},
"agentState": {
"ed518850-681a-4d60-bb98-e22640cae2a8": {
"isCompleted": false,
"wasSuccessful": false
}
},
"createdBy": "myuser",
"parameters": {
"path": "/usr/my-file.txt"
}
}
}