创建和管理值列表

Elastic Stack Serverless Security

值列表包含相同 Elasticsearch 数据类型的多个值，例如 IP 地址，用于确定例外情况何时阻止生成警报。 您可以使用值列表来定义检测规则的例外情况；但是，您不能使用值列表来定义端点规则的例外情况。

值列表是具有相同 Elasticsearch 数据类型的项目的列表。 您可以使用以下类型创建值列表

• Keywords (许多 ECS 字段 是关键字)
• IP 地址
• IP 范围
• 文本

创建值列表后，您可以使用 is in list 和 is not in list 运算符来定义例外。

为规则例外创建值列表时，请注意列表的大小和数据类型。 所有规则类型都支持值列表例外，但极大的列表或某些数据类型存在限制。

自定义查询、机器学习和指示器匹配规则支持以下值列表类型和大小

• 具有超过 65,536 个值的关键字或IP 地址列表类型
• 具有超过 200 个破折号表示法值（例如，127.0.0.1-127.0.0.4 是一个值）或超过 65,536 个 CIDR 表示法值的IP 范围列表类型

要创建值列表

1. 准备一个 txt 或 csv 文件，其中包含要用于确定单个列表中的例外情况的所有值。 如果您使用 txt 文件，则换行符充当分隔符。

   重要事项

   • 文件中的所有值必须是相同的 Elasticsearch 类型。
   • 值列表不支持通配符。 值必须是字面值。
   • 允许的最大文件大小为 900 万字节。

2. 在导航菜单中或使用全局搜索字段找到检测规则 (SIEM)。

3. 单击管理值列表。 管理值列表窗口打开。

   
   ×

4. 从值列表类型下拉列表中选择列表类型（关键字、IP 地址、IP 范围或文本）。

5. 拖动或选择包含值的 csv 或 txt 文件。

6. 单击导入值列表。

您可以编辑、删除或导出现有值列表。

1. 在导航菜单中或使用全局搜索字段找到检测规则 (SIEM)。

2. 单击管理值列表。 管理值列表窗口打开。

3. 在值列表表中，单击要编辑的值列表。

4. 执行下列任何操作

   • 筛选列表中的项目：使用 KQL 搜索栏查找列表中的值。 根据列表的类型，您可以按 keyword、ip_range、ip 或 text 字段进行筛选。 例如，要按类型为 keyword 的值列表中的 Gmail 地址进行筛选，请在搜索栏中输入 keyword:*gmail.com。

     您还可以按 updated_by 字段（例如，updated_by:testuser）或 updated at 字段（例如，updated_at < now）进行筛选。

   • 将单个项目添加到列表：单击创建列表项目，输入值，然后单击添加列表项目。

   • 批量上传列表项目：拖动或选择包含要添加的值的 csv 或 txt 文件，然后单击上传。

   • 编辑值：在“值”列中，转到要编辑的值，然后单击编辑按钮 ()。 完成编辑后，单击保存按钮 () 以保存更改。 单击取消按钮 () 以还原更改。

   • 删除值：单击删除值按钮 () 以从列表中删除值。

×

1. 在导航菜单中或使用全局搜索字段找到检测规则 (SIEM)。

2. 单击管理值列表。 管理值列表窗口打开。

3. 从值列表表中，您可以

   1. 单击导出值列表按钮 () 以导出值列表。

   2. 单击删除值列表按钮 () 以删除值列表。

      
      ×