创建共享异常列表
编辑创建共享异常列表编辑
创建一个共享异常列表。
异常列表将 异常项 分组,并且可以与规则关联。当异常项的查询评估为 true 时,即使关联规则的其他条件满足,也不会发出警报。
共享异常列表可以应用于多个检测规则。有关更多信息,请参阅 创建规则 和 更新规则。
添加到同一列表中的所有异常项都使用 OR 逻辑进行评估。这意味着,如果列表中的任何项评估为 true,则会阻止规则生成警报。同样,当多个异常列表分配给规则时,使用 OR 逻辑来评估异常。要使用 AND 运算符,可以在单个异常项中定义多个子句 (entries)。
请求 URL编辑
POST <kibana 主机>:<端口>/api/exceptions/shared
例如,使用 cURL
curl -X POST "<KibanaURL>/api/exceptions/shared" -u <username>:<password> -H 'kbn-xsrf: true' -H "Content-Type: application/json" --data "@<link to file>"
示例请求编辑
在 exception_lists.ndjson 文件中创建异常列表,并用相同 list_id 值覆盖现有列表。
响应代码编辑
-
200 - 表示成功调用。
响应有效负载编辑
{
"_version":"WzM2NDAsMV0=",
"created_at":"2022-12-08T18:24:11.678Z",
"created_by":"elastic",
"description":"I want to share this list with other rules",
"id":"832fb2f0-7725-11ed-aec7-81feddf7ae2b",
"immutable":false,
"list_id":"dc9e6f28-cedb-4dbb-985b-008956e49fd6",
"name":"my shared exception list",
"namespace_type":"single",
"os_types":[],
"tags":[],
"tie_breaker_id":"8c041278-7a1c-4d8c-bb70-f84987fb2c63",
"type":"detection",
"updated_at":"2022-12-08T18:24:11.679Z",
"updated_by":"elastic",
"version":1
}
示例 ndjson 文件编辑
{
"name": "my shared exception list",
"description": "I want to share this list with other rules"
}