« 摘要异常容器 删除异常容器 »
Elastic 文档 Elastic 安全解决方案 [8.17] Elastic 安全 API 异常 API

更新异常项

编辑

更新异常项

编辑

新 API 参考

有关最新的 API 详细信息,请参阅异常 API

更新现有的异常项。

请求 URL

编辑

PUT <kibana host>:<port>/api/exception_lists/items

请求正文

编辑
名称 类型 描述 必填

comments

comments[]

要追加的注释数组

  • comment(字符串):关于异常项的注释。

注释无法修改,只能追加。

否,默认为空数组。

description

字符串

描述异常项。

entries

entries[]

包含异常查询的数组。使用布尔 AND 逻辑来评估数组元素之间的关系。如果要使用 OR 逻辑,请创建单独的异常项。

expire_time

字符串

异常项的过期日期,采用 ISO 格式。此字段仅适用于常规异常项,不适用于端点异常。

id

字符串

该项的唯一标识符。

是,当该项的 item_id 字段未使用时。

item_id

字符串

您正在更新的项的 item_id

是,当该项的 id 字段未使用时。

meta

对象

用于存放关于异常项的元数据。

name

字符串

异常项的名称。

namespace_type

字符串

确定异常项是在所有 Kibana 空间中可用,还是仅在其创建的空间中可用,其中

  • single:仅在创建它的 Kibana 空间中可用。
  • agnostic:在所有 Kibana 空间中可用。

否,默认为 single

tags

字符串[]

包含单词和短语的字符串数组,用于帮助分类异常项。

type

字符串

异常查询类型,必须为 simple

示例请求

编辑

更新 entries 对象

PUT api/exception_lists/items
{
  "description": "Process allowlist",
  "entries": [
    {
      "field": "process.name",
      "operator": "included",
      "type": "match",
      "value": "maintenance"
    },
    {
      "field": "host.name",
      "operator": "included",
      "type": "match_any",
      "value": [
        "liv-win-anf",
        "livw-win-mel",
        "linux-anfield",
        "new-host"
      ]
    }
  ],
  "item_id": "allow-process-on-machines",
  "name": "Host-process exclusions",
  "namespace_type": "single",
  "tags": [
    "hosts",
    "processes"
  ],
  "type": "simple"
}

响应代码

编辑
200
指示成功调用。

响应负载

编辑

更新后的对象,包括更新时间。

示例响应

{
  "_tags": [],
  "comments": [],
  "created_at": "2020-07-15T06:28:32.457Z",
  "created_by": "elastic",
  "description": "Process allowlist",
  "entries": [
    {
      "field": "process.name",
      "operator": "included",
      "type": "match",
      "value": "maintenance"
    },
    {
      "field": "host.name",
      "operator": "included",
      "type": "match_any",
      "value": [
        "liv-win-anf",
        "livw-win-mel",
        "linux-anfield",
        "new-host"
      ]
    }
  ],
  "id": "67a70610-c664-11ea-bab5-9d6ae015701b",
  "item_id": "allow-process-on-machines",
  "list_id": "allowed-processes",
  "name": "Host-process exclusions",
  "namespace_type": "single",
  "tags": [
    "hosts",
    "processes"
  ],
  "tie_breaker_id": "15d7f2eb-7192-4f4b-a803-ad8a4f5efd08",
  "type": "simple",
  "updated_at": "2020-07-15T06:28:50.494Z",
  "updated_by": "elastic"
}
« 摘要异常容器 删除异常容器 »