关于构建块规则
Elastic Stack Serverless Security
创建构建块规则,当您不想在 UI 中看到其生成的警报时。这在您想要
- 记录低风险警报,而不会在“警报”表中产生噪音。
- 在警报索引上执行的规则(
.alerts-security.alerts-<kibana space>)。然后,您可以使用构建块规则创建隐藏警报,作为普通规则生成可见警报的基础。
要创建搜索警报索引的规则,请将规则的源选择为索引模式,然后输入警报索引的索引模式(.alerts-security.alerts-*)。
默认情况下,构建块警报会从“概览”和“警报”页面中排除。您可以选择在“警报”页面中包含构建块警报,这将增加警报数量。
- 在导航菜单中找到警报,或使用全局搜索字段进行查找。
- 在“警报”表中,选择位于最右侧的其他过滤器 → 包含构建块警报。
注意
在构建块规则详细信息页面上,将显示该规则的警报(默认情况下,已选择包含构建块警报)。