隔离主机
编辑隔离主机编辑
将运行 Elastic Defend 的主机从网络中隔离。
Isolated
是一个持久状态,直到端点收到释放命令。您必须拥有 主机隔离 权限 以及至少一个白金版许可证才能执行此操作。
请求 URL编辑
POST <kibana 主机>:<端口>/api/endpoint/action/isolate
(已弃用) POST <kibana 主机>:<端口>/api/endpoint/isolate
- 此 URL 将返回一个指向 POST <kibana 主机>:<端口>/api/endpoint/action/isolate
的 308 永久重定向。
请求正文编辑
包含以下字段的 JSON 对象
名称 | 类型 | 描述 | 必填 |
---|---|---|---|
|
数组 (字符串) |
要对这些端点执行操作的 ID。 |
是 |
|
字符串 |
主机运行的代理类型。接受的值为
|
否 |
|
数组 (字符串) |
如果此操作与任何警报相关联,则可以在这里指定它们。该操作将记录在与指定警报相关联的所有案例中。 |
否 |
|
数组 (字符串) |
执行的操作将被记录在其中的案例的 ID。 |
否 |
|
字符串 |
将注释附加到此操作的日志中。注释文本将出现在相关的案例中。 |
否 |
示例请求编辑
隔离单个主机,其 endpoint_id
值为 ed518850-681a-4d60-bb98-e22640cae2a8
POST /api/endpoint/action/isolate { "endpoint_ids": ["ed518850-681a-4d60-bb98-e22640cae2a8"] }
隔离多个主机;包括注释
POST /api/endpoint/action/isolate { "endpoint_ids": [ "9972d10e-4b9e-41aa-a534-a85e2a28ea42", "bc0e4f0c-3bca-4633-9fee-156c0b505d16", "fa89271b-b9d4-43f2-a684-307cffddeb5a" ], "comment": "Locked down, pending further investigation" }
隔离与特定案例关联的主机;包括注释
POST /api/endpoint/action/isolate { "endpoint_ids": [ "1aa1f8fd-0fb0-4fe4-8c30-92068272d3f0", "b30a11bf-1395-4707-b508-fbb45ef9793e" ], "case_ids": ["4976be38-c134-4554-bd5e-0fd89ce63667"] "comment": "Isolating as initial response" }
响应代码编辑
-
200
- 表示成功调用。
-
403
- 表示用户权限不足 (主机隔离 权限是必需的) 或许可证级别不支持 (需要最低白金版许可证)。
-
500
- 一般错误。响应消息将提供更多详细信息。
响应有效负载编辑
包含 id
的 JSON 对象,该对象引用已提交的操作。
示例响应编辑
{ "action": "233db9ea-6733-4849-9226-5a7039c7161d", "data": { "id": "233db9ea-6733-4849-9226-5a7039c7161d", "agents": ["ed518850-681a-4d60-bb98-e22640cae2a8"], "command": "suspend-process", "agentType": "endpoint", "isExpired": false, "isCompleted": true, "wasSuccessful": true, "errors": [], "startedAt": "2022-07-29T19:08:49.126Z", "completedAt": "2022-07-29T19:09:44.961Z", "outputs": { "ed518850-681a-4d60-bb98-e22640cae2a8": { "type": "json", "content": { "key": "value" } } }, "createdBy": "myuser", "comment": "suspend the process", "parameters": { "entity_id": "abc123" } } }