« 标签端点 导出规则 »
Elastic 文档 Elastic 安全解决方案 [8.14] Elastic 安全 API 检测 API

导入规则

编辑

导入规则编辑

.ndjson 文件导入规则。以下配置项也包含在 .ndjson 文件中

  • 操作
  • 例外列表

API 密钥 身份验证一起使用时,用户的密钥将被分配给受影响的规则。如果用户的密钥被删除或用户变得不活跃,规则将停止运行。

如果用于授权的 API 密钥与创建或最近更新规则的密钥具有不同的权限,则规则行为可能会发生变化。

要导入带有操作的规则,您至少需要 Read 权限才能访问 Action and Connectors 功能。要覆盖或添加新的连接器,您需要 All 权限才能访问 Actions and Connectors 功能。要导入没有操作的规则,您不需要 Actions and Connectors 权限。有关详细信息,请参阅 启用和访问检测

规则操作和连接器包含在导出的文件中,但有关连接器(如身份验证凭据)的敏感信息包含在内。您必须在导入检测规则后重新添加缺失的连接器详细信息。

您可以使用 Kibana 的 保存的对象 UI(堆栈管理Kibana保存的对象)或保存的对象 API(实验性)来 导出导入 在导入检测规则之前可能需要的任何连接器。

同样,用于规则异常的任何值列表都不包含在规则导出或导入中。使用 管理值列表 UI(规则检测规则 (SIEM)管理值列表)单独导出和导入值列表。

请求 URL编辑

POST <kibana 主机>:<端口>/api/detection_engine/rules/_import

请求必须包括

  • The Content-Type: multipart/form-data HTTP header.
  • 指向包含规则的 .ndjson 文件的链接。

例如,使用 cURL

curl -X POST "<KibanaURL>/api/detection_engine/rules/_import"
-u <username>:<password> -H 'kbn-xsrf: true'
-H 'Content-Type: multipart/form-data'
--form "file=@<link to file>"

指向包含规则的 .ndjson 文件的相对链接。

URL 查询参数编辑

名称 类型 描述 必需

overwrite

布尔值

确定是否覆盖具有相同 rule_id 的现有规则。

否,默认值为 false

overwrite_exceptions

布尔值

确定是否覆盖具有相同 list_id 的现有例外列表。例外列表容器及其项目都将被覆盖。

否,默认值为 false

overwrite_action_connectors

布尔值

确定是否覆盖具有相同 kibana.alert.rule.actions.id 的现有操作。

否,默认值为 false

示例请求编辑

导入 detection_rules.ndjson 文件中的规则,并覆盖具有相同 rule_id 值的现有规则

curl -X POST "api/detection_engine/rules/_import?overwrite=true"
-H 'kbn-xsrf: true' -H 'Content-Type: multipart/form-data'
--form "file=@detection_rules.ndjson"

响应代码编辑

200
表示成功调用。

示例响应编辑

{
    "success": true,
    "success_count": 1,
    "rules_count": 1,
    "errors": [],
    "exceptions_errors": [],
    "exceptions_success": true,
    "exceptions_success_count": 0
}
« 标签端点 导出规则 »