createCustomRule
创建自定义规则的方法
参数
|
参数 |
描述 |
请求包含项 |
类型 |
取值 |
|---|---|---|---|---|
|
|
自定义规则条目所属的公司ID |
可选 |
字符串 |
必须是用户有权管理的有效公司ID。 默认值:发起请求所用API密钥所属的公司。 |
|
|
要创建的规则类型。 |
可选 |
数字 |
可选值:
|
|
|
要创建的规则名称。 |
必填 |
字符串 |
无额外要求。 |
|
|
规则描述。 |
可选 |
字符串 |
无额外要求。 |
|
|
关联标签列表。 |
可选 |
字符串数组 |
无额外要求。 |
|
|
包含与规则关联的设置项。 |
必填 |
对象 |
参见
|
|
|
指示请求是否返回新规则的ID。 |
布尔值 |
可选 |
可选值:
默认值:
|
对象
设置
|
参数 |
描述 |
包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
指示规则是否启用 |
必填 |
整数 |
可选值:
|
|
|
指示将创建事件的严重程度 |
必填 |
整数 |
可选值:
|
|
|
指定您想要定位的实体类型。 |
必填 |
字符串 |
可选值:
|
|
|
包含规则所依据的条件。可添加多个对象。 |
必填 |
对象数组 |
每个对象包含以下设置:
注意
有关
|
|
|
指定为此规则实施的排除项的详细信息。 |
可选 |
对象数组 |
每个对象包含以下设置:
|
|
|
指示是否为此规则创建的EDR事件启用自动响应操作及具体操作类型。 这些操作仅与EDR事件兼容。 |
可选 |
对象数组 |
每个对象包含以下设置:
使用Bitdefender EDR订阅或GravityZone EDR云许可证的企业无法使用自动操作功能。 |
检测与排除项
|
检测 (类型=1) |
排除项 (类型=2) |
显示名称 |
目标 |
字段 |
技术 |
关系 |
验证器 |
|---|---|---|---|---|---|---|---|
|
否 |
是 |
告警名称 |
不适用 |
检测 |
两者 |
是 |
|
|
是 |
是 |
名称 |
进程 |
进程.名称 |
EDR |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
路径 |
进程 |
进程.路径 |
EDR |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
完整路径名 |
进程 |
进程.完整路径名 |
EDR |
是|包含|任意 |
字符串 |
|
是 |
是 |
命令行 |
进程 |
进程.命令行 |
EDR |
是|包含|任意 |
字符串 |
|
是 |
是 |
父进程名称 |
进程 |
进程.父进程.名称 |
EDR |
是|包含|任意 |
字符串 |
|
是 |
是 |
父进程路径 |
进程 |
进程.父进程.路径 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
父进程完整路径名 |
进程 |
进程.父进程.完整路径名 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
父进程命令行 |
进程 |
进程.父进程.命令行 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
文件名称 |
进程 |
进程.用户 |
终端检测与响应 |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
文件路径 |
进程 |
进程.MD5 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SHA256 |
进程 |
进程.SHA2 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
名称 |
文件 |
文件.名称 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
路径 |
文件 |
文件.路径 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
完整路径名 |
文件 |
文件.完整路径名 |
两者 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程名称 |
文件 |
文件.创建者.名称 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程路径 |
文件 |
文件.创建者.路径 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程完整路径名 |
文件 |
文件.创建者.完整路径名 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程命令行 |
文件 |
File.CreatedBy.CommandLine |
EDR |
是 |包含| 任意 |
字符串 |
|
否 |
是 |
操作 |
文件 |
File.Operation 注意
此字段必须包含以下确切值:
|
EDR |
是 | 任意 |
字符串 |
|
否 |
是 |
MD5 |
文件 |
文件.MD5 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SHA256 |
文件 |
文件.SHA256 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL |
文件 |
文件.URL |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
创建进程用户 |
文件 |
文件.创建者.用户 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
是 |
是 |
源IP |
连接 |
连接.源IP |
两者 |
是 | 包含 | 任意 |
有效IP |
|
是 |
是 |
目标IP |
连接 |
连接.目标IP |
两者 |
是 | 包含 | 任意 |
有效IP |
|
是 |
是 |
源端口 |
连接 |
连接.源端口 |
终端检测与响应 |
是 | 包含 | 任意 |
0至65,535之间的整数 |
|
是 |
是 |
目标端口 |
连接 |
连接.目标端口 |
终端检测与响应 |
是|包含|任意 |
介于0到65,535之间的整数 |
|
是 |
是 |
创建进程名称 |
连接 |
连接.进程.名称 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程路径 |
连接 |
连接.进程.路径 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程完整路径名称 |
连接 |
连接.进程.完整路径名 |
终端检测与响应 |
是|包含|任意 |
字符串 |
|
是 |
是 |
创建进程命令行 |
连接 |
连接.进程.命令行 |
终端检测与响应 |
包含任意 |
字符串 |
|
否 |
是 |
创建进程用户 |
连接 |
连接.进程.用户 |
终端检测与响应 |
包含任意 |
字符串 |
|
否 |
是 |
网址 |
连接 |
连接.网址 |
终端检测与响应 |
包含任意 |
字符串 |
|
否 |
是 |
HTTP用户 |
连接 |
连接.HTTP用户 |
终端检测与响应 |
包含任意 |
字符串 |
|
否 |
是 |
HTTP下载文件 |
连接 |
Connection.HTTPDownloadedFile |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
HTTP上传文件 |
连接 |
Connection.HTTPUploadedFile |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
FTP用户 |
连接 |
Connection.FTPUser |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SMB域 |
连接 |
Connection.SMBDomain |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SMB共享路径 |
连接 |
连接.SMB共享路径 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SMB用户 |
连接 |
连接.SMB用户 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH用户 |
连接 |
连接.SSH用户 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
WMI执行查询 |
连接 |
连接.WMI执行查询 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
Telnet用户 |
连接 |
连接.Telnet用户 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
远程文件操作 |
连接 |
连接.远程文件操作 注意
此字段必须包含以下确切值:
|
EDR |
是 | 任意 |
字符串 |
|
否 |
是 |
文件远程路径 |
连接 |
连接.文件远程路径 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
文件名 |
连接 |
连接.文件.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
邮件主题 |
连接 |
连接.邮件.主题 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
应用程序名称 |
连接 |
连接.应用.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
密钥保管库名称 |
连接 |
连接.密钥保管库.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
角色名称 |
连接 |
连接.角色.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
策略名称 |
连接 |
连接.策略.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
共享链接名称 |
连接 |
连接.共享链接.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
流程名称 |
连接 |
连接.流程.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL名称 |
连接 |
连接.URL.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH密钥名称 |
连接 |
连接.SSH密钥.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
启动模板名称 |
连接 |
连接.启动模板.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
服务主体名称 |
连接 |
连接.服务主体.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
用户组名称 |
连接 |
连接.用户组.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户名称 |
连接 |
连接.自动化账户.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户钩子名称 |
连接 |
Connection.AutomationAccountHook.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
接口名称 |
连接 |
Connection.Api.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
证书颁发机构名称 |
连接 |
Connection.CertificateAuthority.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
存储桶名称 |
连接 |
连接.存储桶.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
连接 |
连接.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
连接 |
连接.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
键 |
注册表 |
注册表.键 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
值 |
注册表 |
注册表.值 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
否 |
创建进程名称 |
注册表 |
注册表.创建者.名称 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
创建进程路径 |
注册表 |
注册表.创建者.路径 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
创建进程完整路径名称 |
注册表 |
注册表.创建者.完整路径名 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
是 |
否 |
创建进程命令行 |
注册表 |
注册表.创建者.命令行 |
EDR |
是 |包含| 任意 |
字符串 |
|
是 |
是 |
操作 |
注册表 |
注册表.操作 备注
此字段必须包含以下确切值:
|
EDR |
是 | 任意 |
字符串 |
|
否 |
是 |
名称 |
用户连接 |
用户登录名 |
EDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
用户连接 |
用户登录.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
用户连接 |
用户登录.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
域 |
用户连接 |
用户登录.域 |
终端检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
文件名 |
用户连接 |
用户登录.文件.名称 |
扩展检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
邮件主题 |
用户连接 |
用户登录.邮件.主题 |
扩展检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
应用程序名称 |
用户连接 |
用户登录.应用程序.名称 |
扩展检测与响应 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
密钥保管库名称 |
用户连接 |
用户登录.密钥保管库.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
角色名称 |
用户连接 |
用户登录.角色.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
策略名称 |
用户连接 |
用户登录.策略.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
共享链接名称 |
用户连接 |
用户登录.共享链接.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
流程名称 |
用户连接 |
用户登录.流程.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL名称 |
用户连接 |
用户登录.URL.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH密钥名称 |
用户连接 |
用户登录.SSH密钥.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
启动模板名称 |
用户连接 |
用户登录.启动模板.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
服务主体名称 |
用户连接 |
UserLogin.ServicePrincipal.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
用户组名称 |
用户连接 |
UserLogin.UserGroup.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户名称 |
用户连接 |
UserLogin.AutomationAccount.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
自动化账户钩子名称 |
用户连接 |
UserLogin.AutomationAccountHook.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
API名称 |
用户连接 |
UserLogin.Api.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
证书颁发机构名称 |
用户连接 |
UserLogin.CertificateAuthority.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
存储桶名称 |
用户连接 |
UserLogin.Bucket.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
用户连接 |
用户登录.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
用户连接 |
用户登录.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
主题 |
电子邮件 |
邮件.主题 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
发件人 |
电子邮件 |
邮件.发件人 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
收件人 |
电子邮件 |
电子邮件.收件人 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
附件 |
电子邮件 |
电子邮件.附件 |
两者 |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
网址 |
电子邮件 |
电子邮件.网址 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
名称 |
应用程序 |
应用程序.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
标识符 |
应用程序 |
应用程序.标识符 |
XDR |
等于 | 包含 | 任意 |
字符串 |
|
否 |
是 |
应用程序地址 |
应用程序 |
应用程序.地址 |
XDR |
等于 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
应用程序 |
应用程序.源用户 |
XDR |
等于 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
应用程序 |
应用程序.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
应用程序 |
应用程序.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
应用程序 |
应用程序.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
密钥保管库 |
密钥保管库.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
密钥保管库 |
密钥保管库.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
密钥保管库 |
密钥保管库.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
密钥保管库 |
密钥保管库.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
密钥保管库 |
密钥保管库.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
角色 |
角色名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
标识 |
角色 |
角色标识 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
角色 |
角色源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
角色 |
角色目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
角色 |
角色.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
角色 |
角色.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
策略 |
策略.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
策略 |
策略.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
资源策略类型 |
策略 |
策略.资源策略类型 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
策略 |
策略.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
策略 |
策略.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
策略 |
策略.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
策略 |
策略.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
共享链接 |
共享链接.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
网址 |
共享链接 |
共享链接.网址 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
共享链接 |
共享链接.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
共享链接 |
共享链接.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
共享链接 |
共享链接.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
共享链接 |
共享链接.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
流 |
流.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
流 |
流.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL |
流 |
流.URL |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
流 |
流.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
流 |
Flow.DestinationUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
流 |
Flow.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
流 |
Flow.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
流 |
URL名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
URL |
url |
URL.Url |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
url |
URL.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
url |
URL.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
URL |
URL.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
URL |
URL.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
SSH密钥 |
SSH密钥.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
SSH公钥 |
SSH密钥 |
SSH密钥.公钥 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
SSH密钥 |
SshKey.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
SSH密钥 |
SshKey.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
SSH密钥 |
SshKey.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
SSH密钥 |
SshKey.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
启动模板 |
LaunchTemplate.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
启动模板 |
LaunchTemplate.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
启动模板 |
LaunchTemplate.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
启动模板 |
LaunchTemplate.DestinationUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
启动模板 |
LaunchTemplate.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
启动模板 |
LaunchTemplate.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
服务主体 |
ServicePrincipal.Name |
XDR |
是 | 包含 | 任意 |
是 | 包含 | 任意 |
|
否 |
是 |
ID |
服务主体 |
服务主体.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
服务主体 |
服务主体.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
服务主体 |
服务主体.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
服务主体 |
服务主体.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
服务主体 |
服务主体.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
用户组 |
用户组.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
用户组 |
用户组.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
用户组 |
用户组.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
用户组 |
UserGroup.DestinationUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
用户组 |
UserGroup.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
用户组 |
UserGroup.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
自动化账户 |
自动化账户.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
自动化账户 |
自动化账户.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
自动化账户 |
自动化账户.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
自动化账户 |
自动化账户.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
自动化账户 |
AutomationAccount.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
自动化账户 |
AutomationAccount.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
自动化账户钩子 |
AutomationAccountHook.Name |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
自动化账户钩子 |
AutomationAccountHook.Id |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
自动化账户钩子 |
AutomationAccountHook.SourceUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
自动化账户钩子 |
AutomationAccountHook.DestinationUser |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
自动化账户钩子 |
AutomationAccountHook.SourceIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
自动化账户钩子 |
AutomationAccountHook.DestinationIP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
API |
Api.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
ID |
API |
Api.ID |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
API |
Api.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
API |
Api.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
API |
Api.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
证书颁发机构 |
证书颁发机构.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
证书颁发机构 |
证书颁发机构.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
证书颁发机构 |
证书颁发机构.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
证书颁发机构 |
证书颁发机构.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
证书颁发机构 |
证书颁发机构.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
名称 |
存储桶 |
存储桶.名称 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源用户 |
存储桶 |
存储桶.源用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
目标用户 |
存储桶 |
存储桶.目标用户 |
XDR |
是 | 包含 | 任意 |
字符串 |
|
否 |
是 |
源IP |
存储桶 |
存储桶.源IP |
XDR |
是 | 包含 | 任意 |
有效IP |
|
否 |
是 |
目标IP |
存储桶 |
存储桶.目标IP |
XDR |
是 | 包含 | 任意 |
有效IP |
注意
该
任意
操作符表示一个数组。
返回值
此方法返回新创建规则的ID或一个布尔值,该值为
真
表示自定义规则创建成功。
示例
请求 :
{
"params": {
"companyId": "669fa6bb98b4ed9eb90b85b2",
"type": 1,
"name": "通过API创建的检测规则",
"description": "通过API创建的检测规则描述",
"settings": {
"status": 0,
"severity": 1,
"target": "文件",
"automaticActions": [
{
"type": 1,
"enabled": true
}
],
"criteriaList": [
{
"field": "文件.名称",
"relation": "是",
"value": [
"abcd"
]
}
],
"filters": [
{
"field": "检测",
"value": [
"test-api"
]
}
]
},
"returnRuleId": true
},
"jsonrpc": "2.0",
"method": "createCustomRule",
"id": "0df7568c-59c1-48e0-a31b-18d83e6d9810"
}
响应 :
{
"id": "0df7568c-59c1-48e0-a31b-18d83e6d9810",
"jsonrpc": "2.0",
"result": "6372b7a3897aaa77ee021642"
}