Elastic 安全 API
编辑Elastic 安全 API
编辑您可以使用这些 API 与 Elastic 安全功能进行交互
控制台支持向 Kibana API 发送请求。在任何 Kibana API 端点前加上 kbn:,并通过控制台发送请求。例如:GET kbn:/api/index_management/indices
此外,Kibana 操作 API 提供了部分文档,用于在外部工单系统中打开和更新案例。有关 Kibana 操作的更多信息,请参阅 警报和操作 和 操作插件。
API URL
编辑对于调用 Default Kibana 空间,API 端点如下
<kibana 主机>:<端口>/api/<端点>
其中
-
<kibana 主机>是您的 Kibana 实例的主机名。 -
<端口>是您的 Kibana 实例的端口号。 -
<端点>是 API 端点,例如detection_engine/rules或cases/configure。
如果您要调用 不是 Default 空间的 Kibana 空间,则空间标识符是端点 URL 的一部分
<kibana 主机>:<端口>/s/<空间 URL>/api/<端点>
其中 <空间 URL> 是 Kibana 空间的 URL 标识符。
您可以在 编辑空间 页面(管理 → 空间 → <空间名称>)或通过调用 GET /api/spaces/space 来查找空间 URL 标识符。
身份验证
编辑Elastic 安全 API 支持基于密钥和令牌的身份验证。
基于密钥的身份验证
编辑要使用基于密钥的身份验证,请创建 API 密钥,然后在 API 调用的标头中指定该密钥。
基于令牌的身份验证
编辑对于基于令牌的身份验证,请使用您登录 Kibana UI 时使用的相同用户名和密码。在给定的 HTTP 工具中,如果可用,您可以选择使用其 基本身份验证 选项,该选项用于存储用户名和密码,以便作为调用的一部分传递。
API 调用
编辑所有 API 调用都是无状态的。每个调用都必须包含 Elastic 安全执行请求所需的所有信息。
请求必须包含以下标头
-
kbn-xsrf: <值>,其中<值>可以是任何字母数字字符串(例如,kbn-xsrf: kibana) -
Content-Type: application/json(当请求包含 JSON 有效负载时)
例如,以下调用使用检测 API 从 Kibana siem 空间检索前 20 个检测规则
curl -X GET "<kibana host>:<port>/s/siem/api/detection_engine/rules/_find" -H 'kbn-xsrf: kibana' -u <username>:<password>
在开发模式下,Kibana 服务器在代理后面运行,该代理会向其 URL 添加随机路径组件。basePath 的注意事项 描述了如何处理和禁用随机路径组件。