创建和管理共享异常列表
Elastic Stack 无服务器安全
共享异常列表允许您将异常分组在一起,然后将它们应用于多个规则。使用“共享异常列表”页面设置共享异常列表。
设置共享异常列表以包含异常项
- 在导航菜单中或使用全局搜索字段查找共享异常列表页面。
- 单击创建共享异常列表 → 创建共享列表。
- 为共享异常列表指定一个名称。
- (可选)提供描述。
- 单击创建共享异常列表。
添加异常项
在导航菜单中或使用全局搜索字段查找共享异常列表页面。
单击创建共享异常列表 → 创建异常项。
提示您可以通过展开列表或查看其详细信息页面并单击创建规则异常,将异常添加到空的共享异常列表。 创建异常后,您可以将共享异常列表与规则关联。 有关更多信息,请参阅将共享异常列表与规则关联。
在添加规则异常弹出窗口中,命名异常项并添加定义异常何时阻止警报的条件。 当满足异常的查询条件(查询评估为
true)时,即使满足其他规则条件,规则也不会生成警报。字段:选择一个字段来标识要筛选的事件。
运算符:选择一个运算符来定义条件
is|is not— 必须与定义的值完全匹配。is one of|is not one of— 匹配任何定义的值。exists|does not exist— 该字段存在。is in list|is not in list— 匹配值列表中的值。注意- 由值列表定义的异常必须在所有条件中使用
is in list或is not in list。 - 值列表不支持通配符。
- 如果由于大小或数据类型而无法使用值列表,则它在值菜单中将不可用。
- 由值列表定义的异常必须在所有条件中使用
matches|does not match— 允许您在值中使用通配符,例如C:\path\*\app.exe。 可用的通配符是?(匹配一个字符)和*(匹配零个或多个字符)。 所选的字段数据类型必须是 keyword、text 或 wildcard。重要使用通配符会影响性能。 要使用通配符创建更高效的异常,请使用多个条件并使它们尽可能具体。 例如,使用
process.name或file.name添加条件可以帮助限制通配符匹配的范围。
值:输入与字段关联的值。 要输入多个值(当使用
is one of或is not one of时),输入每个值,然后按 Return。
单击 AND 或 OR 以创建多个条件并定义它们的关系。
单击添加嵌套条件以使用嵌套字段创建条件。 这仅对 这些嵌套字段是必需的。 对于所有其他字段,不应使用嵌套条件。
选择将异常添加到共享异常列表。
注意如果不存在共享异常列表,则此选项将不可用。 此外,您无法从此 UI 将端点异常项添加到端点安全异常列表。 有关创建端点异常的说明,请参阅添加 Elastic Endpoint 异常。
(可选)输入描述异常的注释。
(可选)输入异常的未来到期日期和时间。
(可选)关闭与此异常匹配并且由此规则生成的所有警报:关闭与异常条件匹配并且仅由当前规则生成的所有警报。
单击添加规则异常。
将共享异常列表应用于规则
在导航菜单中或使用全局搜索字段查找共享异常列表页面。
执行以下操作之一
- 选择共享异常列表的名称以打开其详细信息页面,然后单击链接规则。
- 找到要分配给规则的共享异常列表,然后从更多操作菜单 (…) 中,选择链接规则。
单击链接列中的切换以选择要链接到异常列表的规则。
提示如果您知道规则的名称,则可以将其输入到搜索栏中。
单击保存。
(可选)要验证共享异常列表是否已添加到您选择的规则中
打开规则的详细信息页面(规则 → 检测规则 (SIEM) → 规则名称)。
向下滚动页面,然后选择规则异常选项卡。
导航到共享异常列表中包含的异常项。 单击影响共享列表链接以查看关联的共享异常列表。
“共享异常列表”页面在单独的行上显示每个共享异常列表,最近创建的列表位于顶部。 每行都包含有关共享异常列表的以下详细信息
- 共享异常列表名称
- 列表的创建日期
- 创建列表的用户的用户名
- 共享异常列表中的异常项数
- 共享异常列表影响的规则数
要查看共享异常列表中异常项的详细信息,请展开行。
要按特定值筛选异常列表,请在搜索栏中输入一个值。 您可以搜索以下属性
名称list_idcreated_by
如果未选择任何属性,则该应用默认搜索列表名称。
您可以从“共享异常列表”页面编辑、导出、导入、复制和删除共享异常列表。
要导出或删除异常列表,请在相应的列表上选择所需的操作按钮。 请注意以下事项
- 异常列表将导出到
.ndjson文件。 - 异常列表也会作为配置了异常的任何导出的检测规则的一部分导出。 请参阅导出和导入规则。
- 如果异常列表链接到任何规则,您将收到一条警告,要求您确认删除。
- 如果异常列表包含过期的异常,您可以选择是否将其包含在导出的文件中。
