主机隔离例外
编辑主机隔离例外编辑
通过 API 创建、检索、更新和删除端点 主机隔离例外。主机隔离例外通过 例外 API 使用静态容器 ID (list_id) endpoint_host_isolation_exceptions 管理,该容器 ID 必须在添加主机隔离例外之前创建。访问这些 API 需要用户拥有管理端点的授权。
创建主机隔离例外容器编辑
POST <kibana 主机>:<端口>/api/exception_lists
请求正文编辑
包含以下列出字段的 JSON 对象。请求必须包含以下内容
list_id值必须为endpoint_host_isolation_exceptions。namespace_type值必须为agnostic。type值必须为endpoint_host_isolation_exceptions。
| 名称 | 类型 | 说明 | 必需 |
|---|---|---|---|
|
字符串 |
描述主机隔离例外容器。 |
是 |
|
字符串 |
必须设置为 |
是 |
|
对象 |
列表容器的元数据占位符。 |
否 |
|
字符串 |
主机隔离例外容器的名称。 |
是 |
|
字符串 |
必须设置为 |
是 |
|
String[] |
包含词语和短语的字符串数组,用于帮助对主机隔离例外容器进行分类。 |
否 |
|
字符串 |
必须设置为 |
是 |
示例请求编辑
POST api/exception_lists
{
"description": "Elastic Defend Host Isolation Exceptions List",
"name": "Elastic Defend Host Isolation Exceptions List",
"list_id": "endpoint_host_isolation_exceptions",
"type": "endpoint_host_isolation_exceptions",
"namespace_type": "agnostic"
}
响应代码编辑
-
200 - 表示调用成功。
响应有效负载编辑
{
"_version": "WzIxMTgsMV0=",
"created_at": "2022-03-03T13:55:32.176Z",
"created_by": "elastic",
"description": "Elastic Defend Host Isolation Exceptions List",
"id": "978cbd00-9af9-11ec-94b1-fd7e90cc2a08",
"immutable": false,
"list_id": "endpoint_host_isolation_exceptions",
"name": "Elastic Defend Host Isolation Exceptions List",
"namespace_type": "agnostic",
"os_types": [],
"tags": [],
"tie_breaker_id": "9894ae5c-2ce0-47dc-8c52-784ca2219fc3",
"type": "endpoint_host_isolation_exceptions",
"updated_at": "2022-03-03T13:55:32.178Z",
"updated_by": "elastic",
"version": 1
}
创建主机隔离例外编辑
POST <kibana 主机>:<端口>/api/exception_lists/items
请求正文编辑
包含以下列出字段的 JSON 对象。请求必须包含以下内容
list_id值必须为endpoint_host_isolation_exceptions。namespace_type值必须为agnostic。type值必须为simple。-
os_types必须是包含所有os_types值 的数组
| 名称 | 类型 | 说明 | 必需 |
|---|---|---|---|
|
comment[] |
|
否,默认为空数组。 |
|
字符串 |
描述主机隔离例外项。 |
是 |
|
entry[] |
包含主机隔离例外查询条件的数组。有关详细信息,请参见 |
是。 |
|
字符串 |
必须设置为 |
是 |
|
字符串 |
例外项的唯一标识符。 |
否,未提供时自动创建。 |
|
对象 |
例外项的元数据占位符。 |
否 |
|
字符串 |
主机隔离例外名称。 |
是 |
|
字符串 |
对于端点工件,必须设置为 |
是 |
|
os_type[] |
使用此字段指定 操作系统。只输入一个值。 |
是 |
|
String[] |
包含词语和短语的字符串数组,用于帮助对例外项进行分类。标签还可以用于定义主机隔离例外,使其对所有策略全局适用,或分配给一个或多个策略(每个策略)。有关详细信息,请参见 范围分配。 |
否 |
|
字符串 |
必须设置为 |
是 |
示例请求编辑
POST api/exception_lists/items
{
"description": "some description about this entry",
"entries": [
{
"field": "destination.ip",
"value": "10.10.0.1",
"type": "match",
"operator": "included"
}
],
"list_id": "endpoint_host_isolation_exceptions",
"name": "Some name for this item",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"tags": [
"policy:all"
],
"type": "simple"
}
响应代码编辑
-
200 - 表示调用成功。
响应有效负载编辑
{
"_version": "WzIxNDcsMV0=",
"created_at": "2022-03-03T14:04:00.496Z",
"created_by": "elastic",
"description": "some description about this entry",
"entries": [
{
"field": "destination.ip",
"value": "10.10.0.1",
"type": "match",
"operator": "included"
}
],
"id": "c6883700-9afa-11ec-94b1-fd7e90cc2a08",
"item_id": "1342081d-66ad-4b03-b554-131195ce404b",
"list_id": "endpoint_host_isolation_exceptions",
"name": "Host Isolation Exception - Created with API",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "b65843e1-07b8-46d2-9e2b-5f0586dc364a",
"type": "simple",
"updated_at": "2022-03-03T14:04:00.498Z",
"updated_by": "elastic"
}
更新主机隔离例外编辑
PUT <kibana 主机>:<端口>/api/exception_lists/items
请求正文编辑
包含以下列出字段的 JSON 对象。请求必须包含以下内容
list_id值必须为endpoint_host_isolation_exceptions。namespace_type值必须为agnostic。type值必须为simple。-
os_types必须是包含所有os_types值 的数组
| 名称 | 类型 | 说明 | 必需 |
|---|---|---|---|
|
comment[] |
|
否,默认为空数组。 |
|
字符串 |
描述主机隔离例外。 |
是 |
|
entry[] |
包含主机隔离例外查询条件的数组。有关详细信息,请参见 |
是。 |
|
字符串 |
项目的唯一标识符。 |
是,当项目的 |
|
字符串 |
要更新的项目的 |
是,当项目的 |
|
对象 |
例外项的元数据占位符。 |
否 |
|
字符串 |
主机隔离例外名称。 |
是 |
|
字符串 |
必须设置为 |
是 |
|
os_type[] |
os_type 值的数组。 |
是 |
|
String[] |
包含词语和短语的字符串数组,用于帮助对例外项进行分类。标签还可以用于定义主机隔离例外,使其对所有策略全局适用,或分配给一个或多个策略(每个策略)。有关详细信息,请参见 范围分配。 |
否 |
|
字符串 |
必须为 |
是 |
|
字符串 |
版本 ID,通常在检索项目时由 API 返回。使用它确保更新针对最新版本进行。 |
否 |
示例请求编辑
更新 entries
PUT api/exception_lists/items
{
"description": "via API",
"entries": [
{
"field": "destination.ip",
"type": "match",
"value": "10.10.0.15",
"operator": "included"
}
],
"id": "c6883700-9afa-11ec-94b1-fd7e90cc2a08",
"item_id": "1342081d-66ad-4b03-b554-131195ce404b",
"name": "Host Isolation Exception - Created with API",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"type": "simple"
}
响应代码编辑
-
200 - 表示调用成功。
响应有效负载编辑
{
"_version": "WzIyMDIsMV0=",
"created_at": "2022-03-03T14:04:00.496Z",
"created_by": "elastic",
"description": "via API",
"entries": [
{
"field": "destination.ip",
"type": "match",
"value": "10.10.0.15",
"operator": "included"
}
],
"id": "c6883700-9afa-11ec-94b1-fd7e90cc2a08",
"item_id": "1342081d-66ad-4b03-b554-131195ce404b",
"list_id": "endpoint_host_isolation_exceptions",
"name": "HIE via API",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"tags": [],
"tie_breaker_id": "b65843e1-07b8-46d2-9e2b-5f0586dc364a",
"type": "simple",
"updated_at": "2022-03-03T14:22:08.345Z",
"updated_by": "elastic"
}
删除主机隔离例外编辑
DELETE <kibana 主机>:<端口>/api/exception_lists/items
URL 查询参数编辑
URL 查询必须包含以下内容之一
-
id- 项目的id,或者 -
item_id- 项目的item_id
除了以上内容外,还需要 namespace_type URL 查询参数,其值为 agnostic。
示例请求编辑
删除 item_id 为 1342081d-66ad-4b03-b554-131195ce404b 的主机隔离例外。
DELETE api/exception_lists/items?item_id=1342081d-66ad-4b03-b554-131195ce404b&namespace_type=agnostic
响应代码编辑
-
200 - 表示调用成功。
响应有效负载编辑
被删除的项目。
{
"_version": "WzIyNDksMV0=",
"comments": [],
"created_at": "2022-03-04T12:42:41.797Z",
"created_by": "elastic",
"description": "some description about this entry",
"entries": [
{
"field": "destination.ip",
"value": "10.10.0.1",
"type": "match",
"operator": "included"
}
],
"id": "c6883700-9afa-11ec-94b1-fd7e90cc2a08",
"item_id": "1342081d-66ad-4b03-b554-131195ce404b",
"list_id": "endpoint_host_isolation_exceptions",
"name": "Host Isolation Exception via API",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "c0401075-7bd5-47e2-bd6c-4f7e088aa348",
"type": "simple",
"updated_at": "2022-03-04T12:42:41.802Z",
"updated_by": "elastic"
}
检索单个主机隔离例外编辑
GET <kibana 主机>:<端口>/api/exception_lists/items
URL 查询参数编辑
URL 查询必须包含以下内容之一
-
id- 项目的id,或者 -
item_id- 项目的item_id
除了以上内容外,还需要 namespace_type URL 查询参数,其值为 agnostic。
示例请求编辑
GET api/exception_lists/items?item_id=1342081d-66ad-4b03-b554-131195ce404b&namespace_type=agnostic
响应代码编辑
-
200 - 表示调用成功。
响应有效负载编辑
{
"_version": "WzEzNjcsMV0=",
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "Host Isolation Exception item via API",
"entries": [
{
"field": "destination.ip",
"type": "match",
"value": "10.10.0.15",
"operator": "included"
}
],
"id": "c6883700-9afa-11ec-94b1-fd7e90cc2a08",
"item_id": "1342081d-66ad-4b03-b554-131195ce404b",
"list_id": "endpoint_host_isolation_exceptions",
"name": "Host Isolation Exception via API",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "97fe9d23-c8b8-4dc1-97e1-16444c8d863a",
"type": "simple",
"updated_at": "2022-03-01T17:21:07.273Z",
"updated_by": "elastic"
}
查找主机隔离例外编辑
GET <kibana 主机>:<端口>/api/exception_lists/items/_find
URL 查询参数编辑
| 名称 | 类型 | 说明 | 必需 |
|---|---|---|---|
|
字符串 |
必须设置为 |
是 |
|
字符串 |
必须设置为 |
是 |
|
整数 |
要返回的页码。 |
否 |
|
整数 |
每页要返回的项目数量。 |
否 |
|
字符串 |
确定用于对结果排序的字段。 |
否 |
|
字符串 |
确定排序顺序,可以是 |
否 |
|
字符串 |
用于将结果过滤下来的 Kibana 查询语言 (KQL) 字符串。 |
否 |
示例请求编辑
GET api/exception_lists/items/_find?page=1&per_page=10&sort_field=name&sort_order=asc&list_id=endpoint_host_isolation_exceptions&namespace_type=agnostic
响应代码编辑
-
200 - 表示调用成功。
响应有效负载编辑
{
"data": [
{
"_version": "WzEzNjcsMV0=",
"created_at": "2022-03-01T16:24:39.471Z",
"created_by": "elastic",
"description": "Host Isolation Exception item via API",
"entries": [
{
"field": "destination.ip",
"type": "match",
"value": "10.10.0.15",
"operator": "included"
}
],
"id": "4e0e4e10-9af8-11ec-94b1-fd7e90cc2a08",
"item_id": "6555a6ed-b31c-4c74-b1a1-f2c5d9fb7d4a",
"list_id": "endpoint_host_isolation_exceptions",
"name": "Host Isolation Exception via API",
"namespace_type": "agnostic",
"os_types": [
"linux",
"macos",
"windows"
],
"tags": [
"policy:all"
],
"tie_breaker_id": "97fe9d23-c8b8-4dc1-97e1-16444c8d863a",
"type": "simple",
"updated_at": "2022-03-01T17:21:07.273Z",
"updated_by": "elastic"
}
],
"page": 1,
"per_page": 10,
"total": 1
}
值类型编辑
以下描述了使用 创建 或 更新 主机隔离例外 API 时可以定义的类型。
comment 对象模式编辑
注释是包含以下结构的 JSON 对象
{
"comment": "some comment here"
}
与更新 API 一起使用时,可以使用其关联的 id 更新现有注释,而任何没有 id 属性的注释都将被添加为新的注释。
{
"comment": "some comment here - updated",
"id": "1078cf59-5893-4143-acf7-40a40af16bee"
}
范围分配编辑
主机隔离例外可以全局应用于所有端点策略,也可以分配给特定策略。你可以通过定义一个或多个以 policy: 为前缀的标签来分配主机隔离例外。请注意,主机隔离例外可以是全局的或针对策略的,但不能 同时 是两种。以下标签可用于控制分配范围
-
policy:all: 主机隔离例外对所有策略全局有效。如果使用,则不允许使用其他policy:标签。 -
policy:<endpoint-policy-id>: 主机隔离例外分配给某个策略。可以使用多个per policy标签将主机隔离例外与多个策略关联。