正在加载

检测和警报

Elastic Stack 无服务器安全

使用检测引擎来创建和管理规则,并查看这些规则创建的警报。规则会定期搜索索引(例如 logs-*filebeat-*)中是否存在可疑的源事件,并在满足规则条件时创建警报。创建警报后,其状态为 Open。为了帮助跟踪调查,警报的 状态 可以设置为 OpenAcknowledgedClosed

Alerts page

除了创建 您自己的规则 之外,启用 Elastic 预构建规则 以立即开始检测可疑活动。有关所有预构建规则的详细信息,请参阅 预构建规则参考 部分。加载并运行预构建规则后,调整检测规则添加和管理例外 解释了如何修改规则以减少误报并获得更好的一组可操作警报。您还可以在创建或修改自己的规则时使用例外和值列表。

有几个特殊的预构建规则需要您了解

  • 端点保护规则:根据 Elastic Defend 的威胁监控和预防自动创建警报。
  • 外部警报:自动为所有传入的第三方系统警报(例如,Suricata 警报)创建警报。

如果您想通过外部系统(如 Slack 或电子邮件)接收警报创建时的通知,请使用 Kibana 警报和操作 框架。

注意

要在 Elastic Stack 中使用 Kibana 警报进行检测警报通知,您需要 适当的许可证

规则开始运行后,您可以监控它们的执行情况以验证它们是否正常运行,以及查看、管理和解决警报(请参阅 管理检测警报监控和排除规则执行故障)。

您可以通过 UI 或 Detections API 创建和管理规则和警报。

重要事项

要确保您可以访问 Detections 和管理规则,请参阅 Detections 要求

Elastic Stack

数据层 存储不经常访问且很少更新的时间序列数据,而冻结数据层则存储访问频率更低且永远不会更新的时间序列数据。如果您使用规则自动执行跨不同数据层的搜索,请考虑以下最佳实践和限制。

  • 热层中的保留时间:我们建议将数据保留在热层(索引生命周期管理热阶段)中至少 24 小时。在不到 24 小时内将提取的数据从热阶段移动到另一个阶段(例如,冷或冻结)的索引生命周期管理策略可能会导致性能问题和/或规则执行错误。
  • 关键任务数据的副本:如果您的数据必须具有高可用性,则应具有副本。由于冻结层不支持副本,因此分片不可用可能会导致部分规则运行失败。在 Elastic Stack 升级期间或之后也可能会遇到分片不可用。如果发生这种情况,您可以在分片可用后 手动重新运行 受影响时间段内的规则。

数据层是一个强大而有用的工具。使用它们时,请记住以下几点

  • 为避免规则失败,请勿修改 Elastic Security 控制的索引(例如警报和列表索引)的索引生命周期管理策略。
  • 源数据必须具有索引生命周期管理策略,该策略将其保留在热层或温层中至少 24 小时,然后再移动到冷层或冻结层。

指标匹配规则提供了一种强大的功能来搜索您的安全数据;但是,它们的查询可能会消耗大量的部署资源。创建 指标匹配规则 时,我们建议将指标索引查询的时间范围限制为所需规则覆盖范围所需的最小时间段。例如,默认指标索引查询 @timestamp > "now-30d/d" 在指定的指标索引中搜索过去 30 天内提取的指标,并将查询开始时间四舍五入到最接近的一天(解析为 UTC 00:00:00)。如果没有此限制,该规则将包括指标索引中的所有指标,这可能会延长指标索引查询完成所需的时间。

此外,还存在以下支持限制

  • 指标匹配规则不支持冷数据或冻结数据。指标匹配规则查询的索引中的冷数据或冻结数据必须比规则查询的时间范围更旧。如果您的数据的时间戳不可靠,您可以使用 Query DSL 过滤器 排除冷层和冻结层数据。
  • 不支持具有大于 24 小时的额外回溯时间的指标匹配规则。

Detections 要求 提供了有关启动和使用 Detections 功能所需的所有权限的详细信息。

解决 UI 错误消息

根据您的权限以及是否已为 Kibana 空间创建检测系统索引,当您打开警报规则页面时,可能会收到以下错误消息之一

要了解使用 logsdb 索引模式 如何影响您的规则和警报,请参阅 将 logsdb 索引模式与 Elastic Security 结合使用

利用 检测即代码 (DaC) 原则来外部管理您的检测规则。

Elastic Security Labs 团队使用 detection-rules 仓库来开发、测试和发布 Elastic Security 的 预构建规则。该仓库提供 DaC 功能,并允许您自定义设置,以简化使用 DaC 管道管理用户规则的设置。

要开始使用,请参阅 DaC 文档

© . All rights reserved.