createCustomRule
创建自定义规则的方法
参数
|
参数 |
描述 |
包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
待创建规则的类型。 |
可选 |
数字 |
可选值:
|
|
|
待创建规则的名称。 |
必填 |
字符串 |
无附加要求。 |
|
|
规则的描述信息。 |
可选 |
字符串 |
无附加要求。 |
|
|
关联标签列表。 |
可选 |
字符串数组 |
无额外要求。 |
|
|
包含与规则关联的设置。 |
必填 |
对象 |
参考
|
|
|
指示请求是否返回新规则的ID。 |
布尔值 |
可选 |
可选值:
默认值:
|
对象
settings
|
参数 |
描述 |
包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
指示规则是否激活。 |
必填 |
整数 |
可选值:
|
|
|
指示将创建事件的严重程度。 |
必填 |
整数 |
可选值:
|
|
|
指示要定位的实体类型。 |
必填 |
字符串 |
可选值:
|
|
|
包含规则所依据的条件。可添加多个对象。 |
必填 |
对象数组 |
每个对象包含以下设置:
注意
有关
|
|
|
指定为此规则实施的排除项的详细信息。 |
可选 |
对象数组 |
每个对象包含以下设置:
|
|
|
指示是否为此规则生成的EDR事件启用自动响应动作,以及启用哪些动作。 这些动作仅与EDR事件兼容。 |
可选 |
对象数组 |
每个对象包含以下设置:
使用Bitdefender EDR订阅或GravityZone EDR云许可证的企业无法使用自动操作功能。 |
检测与排除项
|
检测(类型=1) |
排除(类型=2) |
显示名称 |
目标 |
字段 |
技术 |
关系 |
验证器 |
|---|---|---|---|---|---|---|---|
|
否 |
是 |
告警名称 |
不适用 |
检测 |
两者 |
是 |
|
|
是 |
是 |
名称 |
进程 |
进程.名称 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
路径 |
进程 |
进程.路径 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
完整路径名称 |
进程 |
进程.完整路径名称 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
命令行 |
进程 |
进程.命令行 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
父进程名称 |
进程 |
进程.父进程.名称 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
父进程路径 |
进程 |
进程.父进程.路径 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
父进程完整路径名 |
进程 |
进程.父进程.完整路径名 |
EDR |
是|包含|任意 |
字符串 |
|
是 |
是 |
父进程命令行 |
进程 |
进程.父进程.命令行 |
EDR |
是|包含|任意 |
字符串 |
|
否 |
是 |
文件名称 |
进程 |
进程.用户 |
EDR |
是|包含|任意 |
字符串 |
|
否 |
是 |
文件路径 |
进程 |
进程.MD5 |
EDR |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
SHA256 |
进程 |
进程.SHA2 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
名称 |
文件 |
文件.名称 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
路径 |
文件 |
文件.路径 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
完整路径名 |
文件 |
文件完整路径名 |
两者 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程名称 |
文件 |
文件.创建者.名称 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程路径 |
文件 |
文件.创建者.路径 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程完整路径名 |
文件 |
文件.创建者.完整路径名 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程命令行 |
文件 |
文件.创建者.命令行 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
操作 |
文件 |
文件.操作 备注
该字段必须包含以下确切值:
|
终端检测与响应 |
是 | 任意 |
字符串 |
|
否 |
是 |
MD5 |
文件 |
文件.MD5 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SHA256 |
文件 |
文件.SHA256 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL |
文件 |
文件.URL |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
创建进程用户 |
文件 |
文件.创建者.用户 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
源IP |
连接 |
连接.源IP |
两者 |
是|包含|任意 |
有效IP |
|
是 |
是 |
目标IP |
连接 |
连接.目标IP |
两者 |
是|包含|任意 |
有效IP |
|
是 |
是 |
源端口 |
连接 |
连接.源端口 |
EDR |
是|包含|任意 |
0至65,535之间的整数 |
|
是 |
是 |
目标端口 |
连接 |
连接.目标端口 |
EDR |
是 |包含| 任意 |
0到65,535之间的整数 |
|
是 |
是 |
创建进程名称 |
连接 |
连接.进程.名称 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程路径 |
连接 |
连接.进程.路径 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程完整路径名称 |
连接 |
连接.进程.完整路径名 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
创建进程命令行 |
连接 |
连接.进程.命令行 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
创建进程用户 |
连接 |
连接.进程.用户 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
网址 |
连接 |
连接.网址 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
HTTP用户 |
连接 |
连接.HTTP用户 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
HTTP下载文件 |
连接 |
连接.HTTP下载文件 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
HTTP上传文件 |
连接 |
连接.HTTP上传文件 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
FTP用户 |
连接 |
连接.FTP用户 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SMB域 |
连接 |
连接.SMB域 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SMB共享路径 |
连接 |
连接.SMB共享路径 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SMB用户 |
连接 |
连接.SMB用户 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH用户 |
连接 |
连接.SSH用户 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
WMI执行查询 |
连接 |
连接.WMI执行查询 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
Telnet用户 |
连接 |
连接.Telnet用户 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
文件远程操作 |
连接 |
连接.文件远程操作 注意
此字段必须包含以下精确值:
|
终端检测与响应 |
是 | 任意 |
字符串 |
|
否 |
是 |
文件远程路径 |
连接 |
连接.文件远程路径 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
文件名 |
连接 |
连接.文件.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
邮件主题 |
连接 |
连接.邮件.主题 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
应用程序名称 |
连接 |
连接.应用程序.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
密钥保管库名称 |
连接 |
连接.密钥保管库.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
角色名称 |
连接 |
连接.角色.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
策略名称 |
连接 |
连接.策略.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
共享链接名称 |
连接 |
连接.共享链接.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
流程名称 |
连接 |
连接.流程.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL名称 |
连接 |
连接.URL.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH密钥名称 |
连接 |
连接.SSH密钥.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
启动模板名称 |
连接 |
连接.启动模板.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
服务主体名称 |
连接 |
连接.服务主体.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
用户组名称 |
连接 |
连接.用户组.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户名称 |
连接 |
连接.自动化账户.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户钩子名称 |
连接 |
连接.自动化账户钩子.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
API名称 |
连接 |
连接.API.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
证书颁发机构名称 |
连接 |
连接.证书颁发机构.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
存储桶名称 |
连接 |
连接.存储桶.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
连接 |
连接.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
连接 |
连接.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
键 |
注册表 |
注册表.键 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
值 |
注册表 |
注册表值 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
否 |
创建进程名称 |
注册表 |
注册表.创建者.名称 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
创建进程路径 |
注册表 |
注册表.创建者.路径 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
创建进程完整路径名称 |
注册表 |
注册表.创建者.完整路径名 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
创建进程命令行 |
注册表 |
注册表.创建者.命令行 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
操作 |
注册表 |
注册表.操作 备注
此字段必须包含以下确切值:
|
终端检测与响应 |
是 | 任意 |
字符串 |
|
否 |
是 |
名称 |
用户连接 |
用户登录.名称 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
用户连接 |
用户登录.源用户 |
扩展检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
用户连接 |
用户登录.目标用户 |
扩展检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
域 |
用户连接 |
用户登录.域 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
文件名 |
用户连接 |
用户登录.文件.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
邮件主题 |
用户连接 |
用户登录.邮件.主题 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
应用程序名称 |
用户连接 |
用户登录.应用程序.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
密钥保管库名称 |
用户连接 |
用户登录.密钥保管库.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
角色名称 |
用户连接 |
UserLogin.Role.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
策略名称 |
用户连接 |
UserLogin.Policy.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
共享链接名称 |
用户连接 |
UserLogin.SharingLink.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
流程名称 |
用户连接 |
用户登录流程名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL名称 |
用户连接 |
用户登录URL名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH密钥名称 |
用户连接 |
用户登录SSH密钥名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
启动模板名称 |
用户连接 |
用户登录启动模板名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
服务主体名称 |
用户连接 |
UserLogin.ServicePrincipal.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
用户组名称 |
用户连接 |
UserLogin.UserGroup.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户名称 |
用户连接 |
UserLogin.AutomationAccount.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户钩子名称 |
用户连接 |
UserLogin.AutomationAccountHook.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
接口名称 |
用户连接 |
用户登录.接口.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
证书颁发机构名称 |
用户连接 |
用户登录.证书颁发机构.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
存储桶名称 |
用户连接 |
用户登录.存储桶.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
用户连接 |
用户登录.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
用户连接 |
UserLogin.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
主题 |
电子邮件 |
Email.主题 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
发件人 |
电子邮件 |
Email.发件人 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
收件人 |
电子邮件 |
邮件.接收者 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
附件 |
邮件 |
邮件.附件 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
网址 |
邮件 |
邮件.网址 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
名称 |
应用程序 |
应用程序.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
标识 |
应用程序 |
应用程序.标识 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
应用程序地址 |
应用程序 |
应用程序.地址 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
应用程序 |
应用程序.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
应用程序 |
应用程序.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
应用程序 |
应用程序.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
应用程序 |
应用程序.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
密钥保管库 |
密钥保管库.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
密钥保管库 |
密钥保管库.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
密钥保管库 |
KeyVault.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
密钥保管库 |
KeyVault.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
密钥保管库 |
KeyVault.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
角色 |
角色名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
标识 |
角色 |
角色标识 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
角色 |
角色.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
角色 |
角色.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
角色 |
角色.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目的IP |
角色 |
角色.目的IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
策略 |
策略.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
策略 |
策略.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
资源策略类型 |
策略 |
策略.资源策略类型 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
策略 |
策略.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
策略 |
策略.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
策略 |
策略.源IP |
XDR |
等于 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
策略 |
策略.目标IP |
XDR |
等于 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
共享链接 |
共享链接.名称 |
XDR |
等于 | 包含 | 任意 |
字符串 |
|
否 |
是 |
网址 |
共享链接 |
共享链接.网址 |
XDR |
等于 | 包含 | 任意 |
字符串 |
|
否 |
是 |
来源用户 |
共享链接 |
共享链接.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
共享链接 |
共享链接.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
共享链接 |
共享链接.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
共享链接 |
共享链接.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
流 |
流.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
标识 |
流 |
流.标识 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
网址 |
流 |
流.网址 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
流 |
流.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
流 |
流.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
流 |
流.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
流 |
流.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
流 |
网址.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL |
URL |
URL.URL |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
URL |
URL.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
URL |
URL.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
URL |
URL.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
URL |
URL.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
SSH密钥 |
SSH密钥.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH公钥 |
SSH密钥 |
SSH密钥.公钥 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
SSH密钥 |
SshKey.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
SSH密钥 |
SshKey.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
SSH密钥 |
SshKey.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
SSH密钥 |
SshKey.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
启动模板 |
启动模板.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
启动模板 |
启动模板.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
启动模板 |
启动模板.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
启动模板 |
启动模板.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
启动模板 |
LaunchTemplate.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
启动模板 |
LaunchTemplate.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
服务主体 |
ServicePrincipal.Name |
XDR |
是 | 包含 | 任意 |
是 | 包含 | 任意 |
|
否 |
是 |
ID |
服务主体 |
服务主体ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
服务主体 |
服务主体.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
服务主体 |
服务主体.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
服务主体 |
服务主体.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
服务主体 |
服务主体.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
用户组 |
用户组.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
用户组 |
用户组.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
用户组 |
用户组.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
用户组 |
用户组.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
用户组 |
用户组.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
用户组 |
用户组.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
自动化账户 |
自动化账户.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
自动化账户 |
自动化账户.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
自动化账户 |
自动化账户.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
自动化账户 |
自动化账户.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
自动化账户 |
自动化账户.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
自动化账户 |
自动化账户.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
自动化账户钩子 |
自动化账户钩子.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
自动化账户钩子 |
自动化账户钩子.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
自动化账户钩子 |
AutomationAccountHook.SourceUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
自动化账户钩子 |
AutomationAccountHook.DestinationUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
自动化账户钩子 |
AutomationAccountHook.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
自动化账户钩子 |
AutomationAccountHook.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
API |
API.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
API |
API.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
API |
API.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
API |
API.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
API |
Api.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
证书颁发机构 |
CertificateAuthority.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
证书颁发机构 |
CertificateAuthority.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
证书颁发机构 |
证书颁发机构.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
证书颁发机构 |
证书颁发机构.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
证书颁发机构 |
证书颁发机构.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
存储桶 |
存储桶.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
存储桶 |
存储桶.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
存储桶 |
存储桶.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
存储桶 |
存储桶.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
存储桶 |
存储桶.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
注意
该
any
操作符表示一个数组。
返回值
此方法返回新创建规则的ID或一个布尔值,该值为
true
表示自定义规则创建成功。
示例
请求 :
{
"params": {
"companyId": "669fa6bb98b4ed9eb90b85b2",
"type": 1,
"name": "通过API创建的检测规则",
"description": "通过API创建的检测规则描述",
"settings": {
"status": 0,
"severity": 1,
"target": "文件",
"automaticActions": [
{
"type": 1,
"enabled": true
}
],
"criteriaList": [
{
"field": "文件.名称",
"relation": "是",
"value": [
"abcd"
]
}
],
"filters": [
{
"field": "检测",
"value": [
"test-api"
]
}
]
},
"returnRuleId": true
},
"jsonrpc": "2.0",
"method": "createCustomRule",
"id": "0df7568c-59c1-48e0-a31b-18d83e6d9810"
}
响应 :
{
"id": "0df7568c-59c1-48e0-a31b-18d83e6d9810",
"jsonrpc": "2.0",
"result": "6372b7a3897aaa77ee021642"
}