› › ›

列出响应操作

列出响应操作编辑

检索响应操作列表。

请求 URL编辑

GET <kibana 主机>:<端口>/api/action

URL 查询参数编辑

所有参数都是可选的

名称	类型	描述	默认值
`page`	数字	要检索的结果页面。	1
`pageSize`	数字	每页结果的大小。1 到 10000。	10
`commands`	string[]	响应操作命令名称列表。接受的值是 `isolate` `unisolate` `kill-process` `suspend-process` `running-processes` `get-file` `execute` `upload`
`agentIds`	string[]	代理 ID 列表。最多 50 个。
`userIds`	string[]	用户 ID 列表。
`startDate`	string	以 ISO 格式或 Date Math 格式的开始日期。
`endDate`	string	以 ISO 格式或 Date Math 格式的结束日期。
`agentTypes`	string 或 string[]	要检索的代理类型列表。接受的值是 `endpoint` (默认) `sentinel_one` (目前处于技术预览阶段)
`withOutputs`	string 或 string[]	应包含操作完整输出的操作 ID 列表。
`types`	string 或 string[]	操作类型列表。有效值为 `automated`: 从规则触发的操作 `manual`: 通过 API 手动触发的操作

示例请求编辑

列出操作

GET /api/endpoint/action

列出过去 24 小时内针对两个特定代理 ID 的 isolate 或 kill-process 命令操作

GET /api/endpoint/action?agentIds=a123&agentIds=b456&commands=isolate&commands=kill-process&startDate=now-24h/h

响应代码编辑

200: 指示成功调用。

示例响应编辑

{
    "page": 1,
    "pageSize": 10,
    "total": 4,
    "startDate": "now-24h/h",
    "endDate": "now",
    "elasticAgentIds": [
        "afdc366c-e2e0-4cdb-ae1d-94575bd2d8e0"
    ],
    "data": [
        {
            "id": "b3d6de74-36b0-4fa8-be46-c375bf1771bf",
            "agents": [
                "afdc366c-e2e0-4cdb-ae1d-94575bd2d8e0"
            ],
            "command": "running-processes",
            "agentType": "endpoint",
            "startedAt": "2022-08-08T15:24:57.402Z",
            "isCompleted": true,
            "completedAt": "2022-08-08T09:50:47.672Z",
            "wasSuccessful": true,
            "isExpired": false,
            "createdBy": "elastic"
        },
        {
            "id": "43b4098b-8752-4fbb-a7a7-6df7c74d0ee3",
            "agents": [
                "afdc366c-e2e0-4cdb-ae1d-94575bd2d8e0"
            ],
            "command": "isolate",
            "agentType": "endpoint",
            "startedAt": "2022-08-08T15:23:37.359Z",
            "isCompleted": true,
            "completedAt": "2022-08-08T10:41:57.352Z",
            "wasSuccessful": true,
            "isExpired": false,
            "createdBy": "elastic"
        },
        {
            "id": "5bc92c86-b8e6-42dd-837f-12ad29e09caa",
            "agents": [
                "afdc366c-e2e0-4cdb-ae1d-94575bd2d8e0"
            ],
            "command": "kill-process",
            "agentType": "endpoint",
            "startedAt": "2022-08-08T14:38:44.125Z",
            "isCompleted": true,
            "completedAt": "2022-08-08T09:44:50.952Z",
            "wasSuccessful": true,
            "isExpired": false,
            "createdBy": "elastic",
            "comment": "bad process - taking up too much cpu"
        },
        {
            "id": "790d54e0-3aa3-4e5b-8255-3ce9d851246a",
            "agents": [
                "afdc366c-e2e0-4cdb-ae1d-94575bd2d8e0"
            ],
            "command": "unisolate",
            "agentType": "endpoint",
            "startedAt": "2022-08-08T14:38:15.391Z",
            "isCompleted": true,
            "completedAt": "2022-08-08T09:40:47.398Z",
            "wasSuccessful": true,
            "isExpired": false,
            "createdBy": "elastic",
            "comment": "Not a threat to the network"
        }
    ]
}

对于 Fleet API，请参见 Fleet API 文档。

« 获取操作详情 Elastic 安全字段和对象模式 »