关于检测规则

Elastic Stack Serverless Security

规则定期运行，并搜索符合其标准的源事件、匹配项、序列或机器学习作业异常结果。 当满足规则的标准时，将创建检测告警。

您可以创建以下类型的规则

• 自定义查询：基于查询的规则，它搜索定义的索引，并在一个或多个文档与规则的查询匹配时创建告警。

• 机器学习：机器学习规则，当机器学习作业发现高于定义的阈值的异常时，它会创建告警（请参阅异常检测）。

  对于机器学习规则，关联的机器学习作业必须正在运行。如果机器学习作业未运行，该规则将

  • 如果发现现有异常结果的分数高于定义的阈值，则运行并创建告警。
  • 当规则执行时，发出错误，指出机器学习作业未运行。

• 阈值：搜索定义的索引，并在单次执行期间指定字段的值出现次数并满足阈值时创建检测告警。当多个值满足阈值时，将为每个值生成一个告警。

  例如，如果阈值 field 是 source.ip 且其 value 是 10，则为规则的搜索结果中至少出现 10 次的每个源 IP 地址生成告警。

• 事件关联：搜索定义的索引，并在结果与事件查询语言 (EQL)查询匹配时创建告警。

• 指示器匹配：当 Elastic Security 索引字段值与指定的指示器索引模式中定义的字段值匹配时，创建告警。例如，您可以为 IP 地址创建一个指示器索引，并使用此索引在事件的destination.ip等于索引中的值时创建告警。 指示器索引字段映射应符合ECS。有关创建 Elasticsearch 索引和字段类型的信息，请参阅为一些文档建立索引、创建索引 API和字段数据类型。如果您的指示器采用标准文件格式（例如 CSV 或 JSON），您还可以使用机器学习数据可视化工具将您的指示器导入到指示器索引中。请参阅在 Kibana 中探索数据并使用导入数据选项导入您的指示器。

  提示

  您还可以将值列表用作指示器匹配索引。有关更多信息，请参阅本主题末尾的将值列表与指示器匹配规则一起使用。

• 新术语：为在指定时间范围内源文档中检测到的每个新术语生成一个告警。您还可以检测最多三个新术语的组合（例如，以前从未一起观察到的host.ip和host.id）。

• ES|QL：搜索定义的索引，并在结果与Elasticsearch 查询语言 ES|QL查询匹配时创建告警。

  注意

  默认情况下，ES|QL 在 Kibana 中启用。可以使用高级设置中的enableESQL设置禁用它。 这将从各种应用程序中隐藏 ES|QL 用户界面。但是，用户将能够访问现有的 ES|QL 工件，例如保存的搜索和可视化。

×

创建规则时，您必须指定您希望该规则运行的 Elasticsearch 索引模式，或者选择一个数据视图字段作为数据源。如果选择数据视图，您可以选择与该数据视图关联的运行时字段来为该规则创建查询（机器学习规则除外，它们不使用查询）。

对于预构建规则和自定义规则，您都可以在创建告警时发送通知。可以通过 Jira、Microsoft Teams、PagerDuty、Slack 等发送通知，并且可以在创建或编辑规则时配置通知。

规则（包括所有后台检测和它们生成的动作）使用与上次编辑该规则的用户关联的API 密钥进行授权。在创建或修改规则时，将为该用户生成一个 API 密钥，捕获其权限的快照。然后，API 密钥用于运行与该规则关联的所有后台任务，包括检测检查和执行动作。

当修改规则或管理检测告警时，您可以添加例外，以防止规则即使在其标准得到满足时也生成告警。这对于减少噪声非常有用，例如防止来自受信任的进程和内部 IP 地址的告警。