› ›

检测 API

检测 API编辑

您可以创建规则，这些规则会自动将发送到 Elastic Security 的事件和外部警报转换为检测警报。这些警报会显示在“检测”页面上。

有关事件、外部警报和检测警报之间差异的更多信息，请参阅 Elastic 词汇表。

该 API 具有以下端点

<kibana 主机>:<端口>/api/detection_engine/rules - 检测规则 CRUD 功能
<kibana 主机>:<端口>/api/detection_engine/index - 信号索引操作（用于存储检测警报）
<kibana 主机>:<端口>/api/detection_engine/tags - 聚合并返回规则标签
<kibana 主机>:<端口>/api/detection_engine/rules/_import - 从 .ndjson 文件导入规则
<kibana 主机>:<端口>/api/detection_engine/rules/_export - 将规则导出到 .ndjson 文件
<kibana 主机>:<端口>/api/detection_engine/privileges - 返回用户的 Kibana 空间和信号索引权限，以及用户是否已验证
<kibana 主机>:<端口>/api/detection_engine/signals - 聚合、查询并返回警报，以及更新其状态
<kibana 主机>:<端口>/api/detection_engine/rules/prepackaged - 加载并检索 Elastic 预建规则的状态

您可以查看和下载 Detections API Postman 集合 here。

此 API 支持基于密钥和令牌的验证。

要使用基于密钥的验证，请创建一个 API 密钥，然后在 API 调用的标头中指定该密钥。

要使用基于令牌的验证，请提供用户名和密码；这将自动创建一个与当前用户权限匹配的 API 密钥。

在这两种情况下，API 密钥随后将在规则运行时用于授权。

如果 API 密钥与创建或最近更新规则的密钥具有不同的权限，则规则的行为可能会发生变化。

如果创建规则的密钥被删除，或创建规则的用户变为非活动状态，则规则将停止运行。

要创建和运行规则，Kibana 空间的用户角色必须具有

Kibana 空间 All 权限，用于 Security 和 Saved Objects Management 功能（请参阅基于用户权限的功能访问）。
read 和 write 权限，用于 .siem-signals-* 索引（用于存储从规则创建的检测警报的系统索引）。

有关要求的完整列表，请参阅检测先决条件和要求。