创建异常容器
编辑创建异常容器编辑
创建异常容器。
异常容器将异常项分组,并且可以与规则关联。当异常项的查询结果为 true 时,即使规则的其他条件满足,规则也不会发出警报。
您可以将多个异常容器分配给检测规则。有关详细信息,请参见创建规则和更新规则。
添加到同一容器的所有异常项都使用 OR 逻辑进行评估。也就是说,如果容器中的任何一项评估为 true,则异常会阻止规则生成警报。同样,当将多个异常容器分配给规则时,使用 OR 逻辑来评估异常。要使用 AND 运算符,您可以在单个异常项中定义多个子句 (entries)。
请求 URL编辑
POST <kibana 主机>:<端口>/api/exception_lists
请求正文编辑
包含以下字段的 JSON 对象
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
|
字符串 |
描述异常容器。 |
是 |
|
字符串 |
唯一标识符。 |
否,在未提供时自动创建。 |
|
对象 |
用于列表容器元数据的占位符。 |
否 |
|
字符串 |
异常容器的名称。 |
是 |
|
字符串 |
确定异常容器是可以在所有 Kibana 空间中使用,还是只能在创建它的空间中使用,其中
|
否,默认为 |
|
字符串[] |
包含单词和短语的字符串数组,有助于对异常容器进行分类。 |
否 |
|
字符串 |
异常的类型,必须是以下之一
|
是 |
示例请求编辑
创建一个用于保存受信任的 Linux 进程异常项的异常容器
POST api/exception_lists
{
"description": "Excludes Linux trusted processes",
"name": "Linux process exceptions",
"list_id": "trusted-linux-processes",
"type": "detection",
"namespace_type": "single",
"tags": [
"linux",
"processes"
]
}
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
具有唯一 ID 的异常容器对象。
{
"_tags": [],
"created_at": "2020-07-13T09:33:46.187Z",
"created_by": "elastic",
"description": "Excludes Linux trusted processes",
"id": "f320c070-c4eb-11ea-80bb-11861bae2798",
"list_id": "trusted-linux-processes",
"name": "Linux process exceptions",
"namespace_type": "single",
"tags": [
"linux",
"processes"
],
"tie_breaker_id": "2c08d5a5-2ecc-4d5a-acfb-0a367f25b3f3",
"type": "detection",
"updated_at": "2020-07-13T09:33:46.359Z",
"updated_by": "elastic"
}
这些值是将异常容器与检测规则关联所必需的