› ›

列表 API

列表 API编辑

列表可与检测规则异常一起使用，以定义防止规则生成警报的值。

列表由以下组成

列表容器：一个用于相同 Elasticsearch 数据类型的值的容器。可以使用以下数据类型
- 布尔值
- 字节
- 日期
- date_nanos
- date_range
- 双精度浮点数
- double_range
- 单精度浮点数
- float_range
- 半精度浮点数
- 整数
- integer_range
- IP 地址
- ip_range
- 关键词
- 长整型
- long_range
- 短整型
- 文本
列表项：用于确定异常是否阻止生成警报的值。

同一列表容器中的所有列表项必须具有相同的数据类型，并且每个项目都定义一个单独的值。例如，一个名为 internal-ip-addresses-southport 的 IP 列表容器包含五个项目，每个项目定义一个内部 IP 地址

要使用这些 IP 地址作为定义规则异常的值，请使用 异常 API 创建一个异常项，该项目引用 internal-ip-addresses-southport 列表。

列表不能直接添加到规则中，也不能定义用于确定何时应用异常的操作符（is in list，is not in list）。使用一个异常项来定义操作符并将其与一个异常容器关联。然后，可以将异常容器添加到规则的 exceptions_list 对象中。

在开始使用列表之前，必须为相关的 Kibana 空间创建 .lists 和 .items 数据流。要了解如何执行此操作，请转至列表索引端点。

创建这些数据流后，您的角色需要管理规则的权限。有关要求的完整列表，请参阅启用和访问检测。