正在加载

添加和管理例外

Elastic Stack Serverless Security

您可以从规则详细信息页面、“警报”表、警报详细信息浮出框或“共享例外列表”页面向规则添加例外。添加例外时,您还可以关闭所有符合例外条件的警报。

重要提示

  • 为确保例外成功应用,请确保为其查询定义的字段在其各自的索引中得到正确且一致的映射。请参阅 ECS 以了解有关支持的映射的更多信息。

  • 事件关联规则添加例外时,请务必小心。例外是针对序列中的每个事件进行评估的,如果例外匹配完成序列所需的任何事件,则不会创建警报。

    要从序列中的特定事件排除值,请更新规则的 EQL 语句。例如

    `sequence
  [file where file.extension == "exe"
  and file.name != "app-name.exe"]
  [process where true
  and process.name != "process-name.exe"]`

  • 指示器匹配规则添加例外时,请务必小心。例外是针对源索引和指示器索引进行评估的,因此如果例外与任何一个索引中的事件匹配,则不会生成警报。

  1. 执行下列操作之一

    • 从规则详细信息页面添加例外

      1. 在导航菜单中或使用全局搜索字段查找 检测规则 (SIEM)

      2. 在“规则”表中,搜索要添加例外的规则,然后单击其名称以打开规则详细信息。

      3. 向下滚动规则详细信息页面,选择 规则例外 选项卡,然后单击 添加规则例外

        Detail of rule exceptions tab

    • 从“警报”表添加例外

      1. 在导航菜单中或使用全局搜索字段查找 警报
      2. 向下滚动到“警报”表,转到要为其创建例外的警报,单击 更多操作 菜单 (…​),然后选择 添加规则例外

    • 从警报详细信息浮出框添加例外

      1. 在导航菜单中或使用全局搜索字段查找 警报
      2. 从“警报”表中单击 查看详细信息 按钮。
      3. 在警报详细信息浮出框中,单击 执行操作 → 添加规则例外

    • 从“共享例外列表”页面添加例外

      1. 在导航菜单中或使用全局搜索字段查找 共享例外列表 页面。
      2. 单击 创建共享例外列表 创建例外项

  2. 添加规则例外 浮出框中,命名例外。

  3. 添加定义例外的条件。当例外的查询评估为 true 时,即使满足规则的条件,规则也不会生成警报。

    重要提示

    规则例外区分大小写,这意味着任何输入为大写或小写字母的字符都将按原样处理。如果您希望某个字段被评估为区分大小写,则某些 ECS 字段具有 .caseless 版本,您可以直接使用。

    注意

    从警报创建新例外时,例外条件会自动填充相关的警报数据。自定义突出显示字段中的数据会首先列出。描述自动生成的例外条件的注释也会添加到 添加注释 部分。

    1. 字段:选择一个字段来识别要筛选的事件。

      注意

      对于存在冲突的字段,会显示警告。使用这些字段可能会导致意外的例外行为。有关更多信息,请参阅 排查类型冲突和未映射字段

    2. 运算符:选择一个运算符来定义条件

      • is | is not — 必须与定义的值完全匹配。

      • is one of | is not one of — 与任何定义的值匹配。

      • exists | does not exist — 该字段存在。

      • is in list | is not in list — 与值列表中的值匹配。

        注意
        • 由值列表定义的例外必须在所有条件中使用 is in listis not in list
        • 值列表不支持通配符。
        • 如果由于大小或数据类型而无法使用值列表,则它将在 菜单中不可用。

      • matches | does not match — 允许您在 中使用通配符,例如 C:\\path\\*\\app.exe。可用的通配符是 ? (匹配一个字符) 和 * (匹配零个或多个字符)。所选的 字段 数据类型必须是 keywordtextwildcard

        注意

        某些字符必须使用反斜杠转义,例如 \\ 表示字面反斜杠,\* 表示星号,\? 表示问号。Windows 路径必须用双反斜杠分隔(例如,C:\\Windows\\explorer.exe),并且已经包含双反斜杠的路径可能需要四个反斜杠作为每个分隔符。

        重要提示

        使用通配符可能会影响性能。要创建更高效的通配符例外,请使用多个条件并使它们尽可能具体。例如,使用 process.namefile.name 添加条件可以帮助限制通配符匹配的范围。

    3. :输入与 字段 关联的值。要输入多个值 (当使用 is one ofis not one of 时),输入每个值,然后按 Return

      注意

      is one ofis not one of 运算符支持相同的区分大小写的值。例如,如果要匹配值 Windowswindows,请将这两个值都添加到 字段。

      在以下示例中,该例外是从“规则”页面创建的,并阻止规则在 svchost.exe 进程在主机名 siem-kibana 上运行时生成警报。

      add exception ui

  4. 单击 ANDOR 以创建多个条件并定义它们的关系。

  5. 单击 添加嵌套条件 以使用嵌套字段创建条件。这仅适用于 这些嵌套字段。对于所有其他字段,不应使用嵌套条件。

  6. 选择将例外添加到规则或共享例外列表。

    注意

    如果您是从“共享例外列表”页面创建例外,则可以将该例外添加到多个规则。

    提示

    如果共享例外列表不存在,您可以从“共享例外列表”页面创建一个

  7. (可选)输入描述例外的注释。

  8. (可选)输入例外的未来到期日期和时间。

  9. 选择以下警报操作之一

    • 关闭此警报:添加例外时关闭警报。此选项仅在从“警报”表添加例外时可用。
    • 关闭所有与此例外匹配并由此规则生成的警报:关闭所有与例外的条件匹配且仅由当前规则生成的警报。

  10. 单击 添加规则例外

您可以将 Elastic Endpoint 例外添加到 endpoint 保护规则 或与 Elastic Endpoint 规则例外关联的规则。要在创建或编辑规则时关联规则,请选择 Elastic Endpoint 例外 选项。

Endpoint 例外会添加到 endpoint 保护规则主机上的 Elastic Endpoint。

重要提示

添加到 endpoint 保护规则的例外会影响从 Elastic Endpoint 发送的所有警报。请注意不要意外阻止有用的 Endpoint 警报。

此外,要向端点保护规则添加端点例外,系统中必须至少生成一个 Elastic Endpoint 警报。对于非生产用途,如果不存在警报,您可以使用恶意软件模拟技术或工具(例如来自欧洲计算机防病毒研究所 (EICAR) 的反恶意软件测试文件)来触发测试警报。

重要提示

二进制字段在检测规则例外中不受支持。

  1. 执行下列操作之一

    • 要从规则详细信息页面添加端点例外

      1. 在导航菜单中或使用全局搜索字段查找 检测规则 (SIEM)
      2. 在“规则”表中,搜索并选择其中一个端点保护规则
      3. 向下滚动规则详细信息页面,选择 端点例外 选项卡,然后单击 添加端点例外

    • 要从“警报”表添加端点例外

      1. 在导航菜单中或使用全局搜索字段查找 警报
      2. 向下滚动到“警报”表,然后从 Elastic Endpoint 警报中,单击 更多操作 菜单 (…​),然后选择 添加端点例外

    • 要从共享例外列表页面添加端点例外

      1. 在导航菜单中或使用全局搜索字段查找 共享例外列表 页面。

      2. 展开“端点安全例外列表”,或单击列表名称以打开列表的详细信息页面。接下来,单击 添加端点例外

        注意

        “端点安全例外列表”会自动创建。默认情况下,它与端点保护规则以及任何选择了Elastic Endpoint 例外选项的规则相关联。

    添加端点例外”弹出框将打开。

    endpoint add exp

  2. 如果需要,请修改条件。

    重要提示

    规则例外区分大小写,这意味着任何输入为大写或小写字母的字符都将按原样处理。如果您希望某个字段被评估为区分大小写,则某些 ECS 字段具有 .caseless 版本,您可以直接使用。

    注意
    • 存在冲突的字段会标记有警告图标 (Field conflict warning icon)。使用这些字段可能会导致意外的例外行为。有关更多信息,请参阅排查类型冲突和未映射的字段
    • is one ofis not one of 运算符支持相同的区分大小写的值。例如,如果要匹配值 Windowswindows,请将这两个值都添加到 字段。

  3. (可选) 向例外添加注释。

  4. 您可以选择以下任意选项

    • 关闭此警报:添加例外时关闭警报。此选项仅在从“警报”表添加例外时可用。
    • 关闭与此例外匹配且由此规则生成的所有警报:关闭与例外条件匹配的所有警报。

  5. 单击 添加端点例外。将为检测规则和 Elastic Endpoint 创建一个例外。

    注意

    在较大的部署中,例外可能需要更长的时间才能应用于主机。

一些 Endpoint 对象包含嵌套字段,确保排除正确字段的唯一方法是使用嵌套条件。一个例子是 process.Ext 对象

{
  "ancestry": [],
  "code_signature": {
    "trusted": true,
    "subject_name": "LFC",
    "exists": true,
    "status": "trusted"
  },
  "user": "WDAGUtilityAccount",
  "token": {
    "elevation": true,
    "integrity_level_name": "high",
    "domain": "27FB305D-3838-4",
    "user": "WDAGUtilityAccount",
    "elevation_type": "default",
    "sid": "S-1-5-21-2047949552-857980807-821054962-504"
  }
}

只有以下对象才需要嵌套条件以确保例外功能正常

  • Endpoint.policy.applied.artifacts.global.identifiers
  • Endpoint.policy.applied.artifacts.user.identifiers
  • Target.dll.Ext.code_signature
  • Target.process.Ext.code_signature
  • Target.process.Ext.token.privileges
  • Target.process.parent.Ext.code_signature
  • Target.process.thread.Ext.token.privileges
  • dll.Ext.code_signature
  • file.Ext.code_signature
  • file.Ext.macro.errors
  • file.Ext.macro.stream
  • process.Ext.code_signature
  • process.Ext.token.privileges
  • process.parent.Ext.code_signature
  • process.thread.Ext.token.privileges

嵌套条件示例

创建排除所有 LFC 签名可信进程的例外

nested exp

要查看规则的例外

  1. 打开规则的详细信息页面。为此,请在导航菜单中找到 检测规则 (SIEM),或者使用全局搜索字段搜索“检测规则 (SIEM)”,搜索您想要检查的规则,然后单击规则的名称以打开其详细信息。

  2. 向下滚动并选择 规则例外端点例外 选项卡。属于该规则的所有例外将显示在列表中。

    从列表中,您可以过滤、编辑和删除例外。您还可以在 活动例外已过期例外 之间切换。

    A default rule list

要了解某个例外是否被其他规则使用,请选择 规则例外端点例外 选项卡,导航到例外列表项,然后单击 影响 X 个规则

注意

您对例外所做的更改也适用于使用该例外的其他规则。

Exception that affects multiple rules
© . All rights reserved.