阻止列表
编辑阻止列表编辑
使用 异常 API 创建、检索、更新和删除端点 阻止列表 条目。端点阻止列表条目使用静态容器 ID (list_id) endpoint_blocklists 管理,该 ID 必须在添加阻止列表条目之前创建。要使用这些 API,您必须具有管理端点的权限。有关更多信息,请参阅 端点。
创建阻止列表条目容器编辑
POST <kibana 主机>:<端口>/api/exception_lists
请求体编辑
包含下面列出的字段的 JSON 对象。请求必须具有以下内容
list_id值必须为endpoint_blocklists。namespace_type值必须为agnostic。type值必须为endpoint。
| 名称 | 类型 | 描述 | 必填 |
|---|---|---|---|
|
字符串 |
描述阻止列表条目容器。 |
是 |
|
字符串 |
必须设置为 |
是 |
|
对象 |
列表容器元数据的占位符。 |
否 |
|
字符串 |
阻止列表条目容器的名称。 |
是 |
|
字符串 |
必须设置为 |
是 |
|
String[] |
包含词语和短语的字符串数组,用于帮助对阻止列表条目容器进行分类。 |
否 |
|
字符串 |
必须设置为 |
是 |
示例请求编辑
POST api/exception_lists
{
"description": "Elastic Defend Blocklists List",
"name": "Elastic Defend Blocklists List",
"list_id": "endpoint_blocklists",
"type": "endpoint_blocklists",
"namespace_type": "agnostic"
}
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
{
"_version": "WzcsMV0=",
"created_at": "2020-07-13T09:33:46.187Z",
"created_by": "elastic",
"description": "Elastic Defend Blocklists List",
"id": "f320c070-c4eb-11ea-80bb-11861bae2798",
"immutable": false,
"list_id": "endpoint_blocklists",
"name": "Elastic Defend Blocklists List",
"namespace_type": "agnostic",
"os_types": [],
"tags": [],
"tie_breaker_id": "2c08d5a5-2ecc-4d5a-acfb-0a367f25b3f3",
"type": "endpoint_blocklists",
"updated_at": "2020-07-13T09:33:46.359Z",
"updated_by": "elastic",
"version": 1
}
创建阻止列表条目编辑
POST <kibana 主机>:<端口>/api/exception_lists/items
请求体编辑
包含下面列出的字段的 JSON 对象。请求必须具有以下内容
list_id值必须为endpoint_blocklists。namespace_type值必须为agnostic。type值必须为simple。
| 名称 | 类型 | 描述 | 必填 |
|---|---|---|---|
|
comment[] |
|
否,默认为空数组。 |
|
字符串 |
描述阻止列表条目项。 |
是 |
|
entry[] |
包含阻止列表条目查询条件的数组。有关更多详细信息,请参阅 |
是。 |
|
字符串 |
必须设置为 |
是 |
|
字符串 |
异常项的唯一标识符。 |
否,未提供时自动创建。 |
|
对象 |
异常项元数据的占位符。 |
否 |
|
字符串 |
阻止列表条目的名称。 |
是 |
|
字符串 |
对于端点工件,必须设置为 |
是 |
|
os_type[] |
使用此字段指定 操作系统。仅输入一个值。 |
是 |
|
String[] |
包含词语和短语的字符串数组,用于帮助对异常项进行分类。标签还可用于将阻止列表条目定义为全局适用于所有策略,或分配给一个或多个策略(每个策略)。有关更多详细信息,请参阅 范围分配。 |
否 |
|
字符串 |
必须设置为 |
是 |
示例请求编辑
POST api/exception_lists/items
{
"comments": [],
"description": "some description about this entry",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
],
"type": "match_any",
"operator": "included"
}
],
"list_id": "endpoint_blocklists",
"name": "Some name for this item",
"namespace_type": "agnostic",
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"type": "simple"
}
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
{
"_version": "WzEzNjIsMV0=",
"comments": [],
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "some description about this entry",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
],
"type": "match_any",
"operator": "included"
}
],
"id": "17ba1bf0-997c-11ec-b212-9f4ed8b5942f",
"item_id": "29f480e6-6d34-4bc7-9038-f809f11cb679",
"list_id": "endpoint_blocklists",
"name": "Some name for this item",
"namespace_type": "agnostic",
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "c6bedf22-2292-4d4a-8eb8-e29a50b5b519",
"type": "simple",
"updated_at": "2022-03-01T16:24:39.475Z",
"updated_by": "elastic"
}
更新阻止列表条目编辑
PUT <kibana 主机>:<端口>/api/exception_lists/items
请求体编辑
包含下面列出的字段的 JSON 对象。请求必须具有以下内容
list_id值必须为endpoint_blocklists。namespace_type值必须为agnostic。type值必须为simple。
| 名称 | 类型 | 描述 | 必填 |
|---|---|---|---|
|
comment[] |
|
否,默认为空数组。 |
|
字符串 |
描述阻止列表条目。 |
是 |
|
entry[] |
包含阻止列表条目查询条件的数组。有关更多详细信息,请参阅 |
是。 |
|
字符串 |
项目的唯一标识符。 |
是,当项目的 |
|
字符串 |
您要更新的项目的 |
是,当项目的 |
|
对象 |
异常项元数据的占位符。 |
否 |
|
字符串 |
阻止列表条目的名称。 |
是 |
|
字符串 |
必须设置为 |
是 |
|
os_type[] |
os_type 值数组。 |
是 |
|
String[] |
包含词语和短语的字符串数组,用于帮助对异常项进行分类。标签还可用于将阻止列表条目定义为全局适用于所有策略,或分配给一个或多个策略(每个策略)。有关更多详细信息,请参阅 范围分配。 |
否 |
|
字符串 |
必须为 |
是 |
|
字符串 |
版本 ID,通常在检索项目时由 API 返回。使用它确保更新针对最新版本执行。 |
否 |
示例请求编辑
更新 entries
PUT api/exception_lists/items
{
"_version": "WzEzNjIsMV0=",
"name": "ABC blocklist",
"description": "These applications must be blocked",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
"c:/path/to/file3.exe"
],
"type": "match_any",
"operator": "included"
}
],
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"id": "17ba1bf0-997c-11ec-b212-9f4ed8b5942f",
"comments": [],
"item_id": "29f480e6-6d34-4bc7-9038-f809f11cb679",
"namespace_type": "agnostic",
"type": "simple"
}
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
{
"_version": "WzEzNjcsMV0=",
"comments": [],
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "These applications must be blocked",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
"c:/path/to/file3.exe"
],
"type": "match_any",
"operator": "included"
}
],
"id": "17ba1bf0-997c-11ec-b212-9f4ed8b5942f",
"item_id": "29f480e6-6d34-4bc7-9038-f809f11cb679",
"list_id": "endpoint_blocklists",
"name": "ABC blocklist",
"namespace_type": "agnostic",
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "c6bedf22-2292-4d4a-8eb8-e29a50b5b519",
"type": "simple",
"updated_at": "2022-03-01T17:21:07.273Z",
"updated_by": "elastic"
}
删除阻止列表条目编辑
DELETE <kibana 主机>:<端口>/api/exception_lists/items
URL 查询参数编辑
URL 查询必须包含以下内容之一
-
id- 项目的id,或 -
item_id- 项目的item_id
除了以上内容外,还需要 namespace_type URL 查询参数,其值为 agnostic。
示例请求编辑
删除 item_id 为 29f480e6-6d34-4bc7-9038-f809f11cb679 的阻止列表条目
DELETE api/exception_lists/items?item_id=29f480e6-6d34-4bc7-9038-f809f11cb679&namespace_type=agnostic
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
被删除的项目
{
"_version": "WzEzNjcsMV0=",
"comments": [],
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "These applications must be blocked",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
"c:/path/to/file3.exe"
],
"type": "match_any",
"operator": "included"
}
],
"id": "17ba1bf0-997c-11ec-b212-9f4ed8b5942f",
"item_id": "29f480e6-6d34-4bc7-9038-f809f11cb679",
"list_id": "endpoint_blocklists",
"name": "ABC blocklist",
"namespace_type": "agnostic",
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "c6bedf22-2292-4d4a-8eb8-e29a50b5b519",
"type": "simple",
"updated_at": "2022-03-01T17:21:07.273Z",
"updated_by": "elastic"
}
检索单个阻止列表条目编辑
GET <kibana 主机>:<端口>/api/exception_lists/items
URL 查询参数编辑
URL 查询必须包含以下内容之一
-
id- 项目的id,或 -
item_id- 项目的item_id
除了以上内容外,还需要 namespace_type URL 查询参数,其值为 agnostic。
示例请求编辑
GET api/exception_lists/items?item_id=29f480e6-6d34-4bc7-9038-f809f11cb679&namespace_type=agnostic
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
{
"_version": "WzEzNjcsMV0=",
"comments": [],
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "These applications must be blocked",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
"c:/path/to/file3.exe"
],
"type": "match_any",
"operator": "included"
}
],
"id": "17ba1bf0-997c-11ec-b212-9f4ed8b5942f",
"item_id": "29f480e6-6d34-4bc7-9038-f809f11cb679",
"list_id": "endpoint_blocklists",
"name": "ABC blocklist",
"namespace_type": "agnostic",
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "c6bedf22-2292-4d4a-8eb8-e29a50b5b519",
"type": "simple",
"updated_at": "2022-03-01T17:21:07.273Z",
"updated_by": "elastic"
}
查找阻止列表条目编辑
GET <kibana 主机>:<端口>/api/exception_lists/items/_find
URL 查询参数编辑
| 名称 | 类型 | 描述 | 必填 |
|---|---|---|---|
|
字符串 |
必须设置为 |
是 |
|
字符串 |
必须设置为 |
是 |
|
整数 |
要返回的页码。 |
否 |
|
整数 |
每页要返回的项目数。 |
否 |
|
字符串 |
确定用于对结果进行排序的字段。 |
否 |
|
字符串 |
确定排序顺序,可以是 |
否 |
|
字符串 |
用于过滤结果的 Kibana 查询语言 (KQL) 字符串。 |
否 |
示例请求编辑
GET api/exception_lists/items/_find?page=1&per_page=10&sort_field=name&sort_order=asc&list_id=endpoint_blocklists&namespace_type=agnostic
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
{
"data": [
{
"_version": "WzEzNjcsMV0=",
"comments": [],
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "These applications must be blocked",
"entries": [
{
"field": "file.path",
"value": [
"c:/path/to/file.exe",
"c:/path/to/file2.exe"
"c:/path/to/file3.exe"
],
"type": "match_any",
"operator": "included"
}
],
"id": "17ba1bf0-997c-11ec-b212-9f4ed8b5942f",
"item_id": "29f480e6-6d34-4bc7-9038-f809f11cb679",
"list_id": "endpoint_blocklists",
"name": "ABC blocklist",
"namespace_type": "agnostic",
"os_types": [
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "c6bedf22-2292-4d4a-8eb8-e29a50b5b519",
"type": "simple",
"updated_at": "2022-03-01T17:21:07.273Z",
"updated_by": "elastic"
}
],
"page": 1,
"per_page": 10,
"total": 1
}
值类型编辑
以下是使用 创建 或 更新 阻止列表条目 API 时可以定义的类型
comment 对象架构编辑
注释是包含以下结构的 JSON 对象
{
"comment": "some comment here"
}
与更新 API 一起使用时,可以通过使用关联的 id 更新现有注释,而任何没有 id 属性的注释都将作为新注释添加
{
"comment": "some comment here - updated",
"id": "1078cf59-5893-4143-acf7-40a40af16bee"
}
范围分配编辑
阻止列表条目可以全局分配到所有端点策略,也可以分配到特定策略。您可以通过使用以 policy: 为前缀的一个或多个标签来分配阻止列表条目。请注意,阻止列表条目可以是全局的,也可以是针对每个策略的,但不能 两者都是。以下标签可用于控制分配范围
-
policy:all: 阻止列表条目对于所有策略都是全局的。如果使用,则不允许使用其他policy:标签。 -
policy:<endpoint-policy-id>: 阻止列表条目分配给策略。可以使用多个per policy标签将阻止列表条目关联到多个策略。
entry 对象模式编辑
在端点黑名单条目上可以定义至少 3 个条件。不允许重复。黑名单条目支持以下条目
文件哈希编辑
所有 操作系统类型 都支持文件哈希。文件哈希条目具有以下结构
-
field: 支持file.hash.md5、file.hash.sha1或file.hash.sha256值。 -
value: 与field关联的哈希值数组。 -
type: 必须为match_any。 -
operator: 必须为included。
{
"field": "file.hash.md5",
"value": [
"741462ab431a22233C787BAAB9B653C7"
],
"type": "match_any",
"operator": "included"
}
进程文件路径编辑
所有 操作系统类型 都支持进程文件路径。文件路径条目具有以下结构
-
field: 必须为file.path。 -
value: 要匹配的文件路径数组。 -
type: 必须为match_any。 -
operator: 必须为included。
{
"field": "file.path",
"value": "c:/path/to/file.exe",
"type": "match_any",
"operator": "included"
}
进程文件签名编辑
仅 Windows 操作系统类型 支持进程签名。签名条目具有以下结构
-
field: 必须设置为file.Ext.code_signature。 -
type: 必须设置为nested。 -
entries: 包含 1 个entry项的数组。 -
entries[0]: 定义要匹配的签名的条目-
field: 必须设置为subject_name。 -
value: 要匹配的签名名称数组。 -
type: 必须设置为match_any。 -
operator: 必须设置为included。
-
{
"field": "file.Ext.code_signature",
"entries": [
{
"field": "subject_name",
"value": [
"test1",
"test2"
],
"type": "match_any",
"operator": "included"
}
],
"type": "nested"
}
Windows 黑名单条目的示例。编辑
每个黑名单项目只允许一个 file.path 或 file.Ext.code_signature 条目。 file.hash.* 条目也受支持,并接受最多三个值。 file.hash.* 的允许哈希类型为 md5、sha1 或 sha256。
[
{
"field": "file.hash.md5",
"value": [
"741462ab431a22233C787BAAB9B653C7"
],
"type": "match_any",
"operator": "included"
},
{
"field": "file.hash.sha1",
"value": [
"aedb279e378BED6C2DB3C9DC9e12ba635e0b391c"
],
"type": "match_any",
"operator": "included"
},
{
"field": "file.hash.sha256",
"value": [
"a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3"
],
"type": "match_any",
"operator": "included"
}
]
[
{
"field": "file.Ext.code_signature",
"entries": [
{
"field": "subject_name",
"value": [
"test1",
"test2"
],
"type": "match_any",
"operator": "included"
}
],
"type": "nested"
}
]
[
{
"field": "file.path",
"value": "c:/path/to/file.exe",
"type": "match_any",
"operator": "included"
}
]