优化异常结果
Elastic Stack 无服务器安全
为了更清楚地了解真实的威胁,您可以调整异常结果。以下步骤有助于减少误报的数量
当异常包括来自仅偶尔运行的已知进程的结果时,您可以过滤掉不需要的结果。
例如,要过滤掉来自仅偶尔执行的名为maintenanceservice.exe的后台进程的结果,您需要
在导航菜单中或使用全局搜索字段查找机器学习。
在异常检测下,选择设置。
单击过滤器列表,然后单击新建。
将显示创建新过滤器列表窗格。
输入过滤器列表 ID。
输入过滤器列表的描述(可选)。
单击添加项目。
在项目文本框中,输入要过滤掉异常结果的进程的名称(在我们的示例中为
maintenanceservice.exe)。
单击添加,然后单击保存。
新过滤器将显示在过滤器列表中,并且可以添加到相关作业。
在导航菜单中查找机器学习。
在异常检测下,选择异常浏览器。
导航到需要过滤器的作业结果。如果未列出作业结果,请单击编辑作业选择,然后选择相关作业。
在操作列中,单击齿轮图标,然后选择配置规则。
将显示创建规则窗口。
选择
添加过滤器列表以限制规则的应用范围.
相关检测器的WHEN语句(在我们的示例中为
process.name)。IS IN语句。
您在创建过滤器列表过程中创建的过滤器。
提示有关更多信息,请参见使用自定义规则自定义检测器。
单击保存。
对规则的更改仅影响新结果。在添加过滤器之前作业发现的所有异常仍然会显示。
如果您要删除先前检测到的该进程的所有结果,则必须克隆并运行克隆的作业。
运行克隆的作业可能需要一些时间。仅在完成所有作业规则更改后才运行该作业。
在导航菜单中查找机器学习。
在异常检测下,选择作业。
导航到您为其配置规则的作业。
(可选)展开作业行,然后单击JSON以验证配置的过滤器是否显示在JSON代码中的
custom rules下。在操作列中,单击更多(三个点)图标,然后选择克隆作业。
将显示配置数据馈送页面。
单击数据预览,并检查数据是否显示且没有错误。
单击下一步,直到显示作业详细信息页面。
为克隆的作业输入作业 ID,以表明它是原始作业的迭代。例如,将数字或用户名附加到原始作业名称,例如
windows-rare-network-process-2。
单击下一步,并检查作业验证是否没有错误。您可以忽略有关多个影响因素的警告。
单击下一步,然后单击创建作业。
将显示启动 <job name> 窗口。
选择作业将分析异常的时间点。
单击启动。
过一会儿,结果将开始显示在异常浏览器页面上。
某些作业使用高计数函数来查找进程事件中不寻常的峰值。对于某些进程,活动爆发是正常的,例如在服务器群上运行的自动化和后台作业。但是,有时高增量事件计数不太可能是例行行为的结果。在这些情况下,您可以为高事件计数被视为异常设置最小阈值。
根据您的异常检测结果,您可能希望为packetbeat_dns_tunneling作业设置最小事件计数阈值
在导航菜单中查找机器学习。
在异常检测下,选择异常浏览器。
导航到
packetbeat_dns_tunneling作业的作业结果。如果未列出作业结果,请单击编辑作业选择,然后选择packetbeat_dns_tunneling。在操作列中,单击齿轮图标,然后选择配置规则。
将显示创建规则窗口。
选择为规则何时应用添加数字条件,并选择以下
when语句WHEN actual IS GREATER THAN <X>
其中
<X>是检测到异常的阈值。单击保存。
要应用新阈值,请通过在异常检测作业页面上选择操作→启动数据馈送来重新运行作业。