« 异常容器摘要 删除异常容器 »
Elastic 文档 Elastic 安全解决方案 [8.14] Elastic 安全 API 异常 API

更新异常项目

编辑

更新异常项目编辑

更新现有异常项目。

请求 URL编辑

PUT <kibana 主机>:<端口>/api/exception_lists/items

请求主体编辑

名称 类型 描述 必需

评论

comments[]

要追加的评论数组

  • comment (字符串): 关于异常项目的评论。

评论无法修改——只能追加。

否,默认为空数组。

描述

字符串

描述异常项目。

条目

entries[]

包含异常查询的数组。布尔值 AND 逻辑用于评估数组元素之间的关系。如果您想使用 OR 逻辑,请创建单独的异常项目。

过期时间

字符串

异常项目的过期日期,以 ISO 格式表示。此字段仅适用于常规异常项目,不适用于端点异常。

ID

字符串

项目的唯一标识符。

是,当项目的 item_id 字段未使用时。

item_id

字符串

您要更新的项目的 item_id

是,当项目的 id 字段未使用时。

元数据

对象

用于存储有关异常项目的元数据的占位符。

名称

字符串

异常项目的名称。

命名空间类型

字符串

确定异常项目是在所有 Kibana 空间中可用,还是仅在创建它的空间中可用,其中

  • single: 仅在创建它的 Kibana 空间中可用。
  • agnostic: 在所有 Kibana 空间中可用。

否,默认为 single

标签

String[]

包含单词和短语的字符串数组,用于帮助对异常项目进行分类。

类型

字符串

异常查询类型,必须为 simple

示例请求编辑

更新 entries 对象

PUT api/exception_lists/items
{
  "description": "Process allowlist",
  "entries": [
    {
      "field": "process.name",
      "operator": "included",
      "type": "match",
      "value": "maintenance"
    },
    {
      "field": "host.name",
      "operator": "included",
      "type": "match_any",
      "value": [
        "liv-win-anf",
        "livw-win-mel",
        "linux-anfield",
        "new-host"
      ]
    }
  ],
  "item_id": "allow-process-on-machines",
  "name": "Host-process exclusions",
  "namespace_type": "single",
  "tags": [
    "hosts",
    "processes"
  ],
  "type": "simple"
}

响应代码编辑

200
表示调用成功。

响应有效负载编辑

更新后的对象,包括其更新时间。

示例响应

{
  "_tags": [],
  "comments": [],
  "created_at": "2020-07-15T06:28:32.457Z",
  "created_by": "elastic",
  "description": "Process allowlist",
  "entries": [
    {
      "field": "process.name",
      "operator": "included",
      "type": "match",
      "value": "maintenance"
    },
    {
      "field": "host.name",
      "operator": "included",
      "type": "match_any",
      "value": [
        "liv-win-anf",
        "livw-win-mel",
        "linux-anfield",
        "new-host"
      ]
    }
  ],
  "id": "67a70610-c664-11ea-bab5-9d6ae015701b",
  "item_id": "allow-process-on-machines",
  "list_id": "allowed-processes",
  "name": "Host-process exclusions",
  "namespace_type": "single",
  "tags": [
    "hosts",
    "processes"
  ],
  "tie_breaker_id": "15d7f2eb-7192-4f4b-a803-ad8a4f5efd08",
  "type": "simple",
  "updated_at": "2020-07-15T06:28:50.494Z",
  "updated_by": "elastic"
}
« 异常容器摘要 删除异常容器 »