› › ›

导入规则

编辑

导入规则

编辑

从 .ndjson 文件导入规则。以下配置项也包含在 .ndjson 文件中

操作
例外列表

当与API 密钥身份验证一起使用时，用户的密钥将被分配给受影响的规则。如果用户的密钥被删除或用户变为非活动状态，规则将停止运行。

如果用于授权的 API 密钥与创建或最近更新规则的密钥具有不同的权限，则规则行为可能会更改。

要导入带有操作的规则，您至少需要 读取 操作和连接器功能的权限。要覆盖或添加新连接器，您需要 操作和连接器功能的 全部 权限。要导入不带操作的规则，您不需要 操作和连接器 权限。有关更多信息，请参阅启用和访问检测。

规则操作和连接器包含在导出的文件中，但有关连接器的敏感信息（例如身份验证凭据）不包含在内。导入检测规则后，您必须重新添加缺失的连接器详细信息。

您可以使用 Kibana 的已保存对象 UI（堆栈管理 → Kibana → 已保存对象）或已保存对象 API（实验性）来导出和导入任何必要的连接器，然后再导入检测规则。

同样，用于规则例外的任何值列表都不会包含在规则导出或导入中。使用管理值列表 UI（规则 → 检测规则（SIEM） → 管理值列表）分别导出和导入值列表。

请求 URL

编辑

POST <kibana 主机>:<端口>/api/detection_engine/rules/_import

请求必须包括

Content-Type: multipart/form-data HTTP 标头。
指向包含规则的 .ndjson 文件的链接。

例如，使用 cURL

curl -X POST "<KibanaURL>/api/detection_engine/rules/_import"
-u <username>:<password> -H 'kbn-xsrf: true'
-H 'Content-Type: multipart/form-data'
--form "file=@<link to file>"

指向包含规则的 .ndjson 文件的相对链接。

URL 查询参数

编辑

名称	类型	描述	必需
`overwrite`	布尔值	确定是否覆盖具有相同 `rule_id` 的现有规则。	否，默认为 `false`。
`overwrite_exceptions`	布尔值	确定是否覆盖具有相同 `list_id` 的现有例外列表。例外列表容器及其项目都会被覆盖。	否，默认为 `false`。
`overwrite_action_connectors`	布尔值	确定是否覆盖具有相同 `kibana.alert.rule.actions.id` 的现有操作。	否，默认为 `false`。

示例请求

编辑

导入 detection_rules.ndjson 文件中的规则，并覆盖具有相同 rule_id 值的现有规则

curl -X POST "api/detection_engine/rules/_import?overwrite=true"
-H 'kbn-xsrf: true' -H 'Content-Type: multipart/form-data'
--form "file=@detection_rules.ndjson"

响应代码

编辑

200: 指示调用成功。

示例响应

编辑

{
    "success": true,
    "success_count": 1,
    "rules_count": 1,
    "errors": [],
    "exceptions_errors": [],
    "exceptions_success": true,
    "exceptions_success_count": 0
}

« 标签端点导出规则 »