正在加载

安装和管理 Elastic 预构建规则

Elastic Stack 无服务器安全

请按照以下指南开始使用 Elastic Security 应用程序的 预构建规则,保持规则更新,并确保规则拥有成功运行所需的数据。

注意

  • 大多数预构建规则默认情况下不会启动运行。您可以使用“安装并启用”选项在安装规则时启动运行规则,或者先安装规则,然后手动启用它们。安装后,默认情况下仅会启用少数预构建规则,例如 Endpoint Security 规则。

  • 如果您在 Elastic Stack 上没有 企业订阅,或者在 Serverless 上没有 完整项目层级订阅,则无法修改 Elastic 预构建规则的大部分设置。您必须先复制它们,然后对复制的规则进行更改。有关更多信息,请参阅 选择和复制所有预构建规则

  • 在 Elastic Stack 上,Elastic 预构建规则的自动更新支持当前 Elastic Security 版本和最新的三个先前小版本。例如,如果您使用的是 Elastic Security 9.0,您将可以使用 Rules UI 来更新您的预构建规则,直到 Elastic Security 9.4 发布。此后,您仍然可以手动下载和安装更新的预构建规则,但您必须升级到最新的 Elastic Security 版本才能接收自动更新。

  1. 在导航菜单中或使用全局搜索字段找到 检测规则 (SIEM),然后转到“规则”表。

    添加 Elastic 规则旁边的徽章显示可用于安装的预构建规则的数量。

    The Add Elastic Rules page

  2. 单击 添加 Elastic 规则

    提示

    要在安装规则之前检查其详细信息,请选择规则名称。这将打开规则详细信息浮出控件。

  3. 执行下列操作之一

    • 安装所有可用规则:单击页面顶部的 全部安装。(这不会启用规则;您仍然需要手动执行此操作。)
    • 安装单个规则:在规则表中,单击 安装 以安装规则而不启用它,或单击 垂直框按钮安装并启用 以在安装后立即开始运行规则。
    • 安装多个规则:选择规则,然后在页面顶部单击 安装 x 个所选规则 以安装而不启用规则,或单击 垂直框按钮安装并启用 以安装并开始运行规则。
    提示

    使用搜索栏和 标签 过滤器查找要安装的规则。例如,如果您的环境仅包含 Windows 端点,请按 OS: Windows 过滤。有关标签类别的更多信息,请参阅 预构建规则标签

    The Add Elastic Rules page

  4. 对于您尚未启用的任何规则,请返回到“规则”页面,搜索或过滤要运行的规则,然后执行以下任一操作

    • 启用单个规则:打开规则的“已启用”开关。
    • 启用多个规则:选择规则,然后单击 批量操作启用

启用规则后,它将按照配置的计划开始运行。要确认它是否成功运行,请检查规则表中其 上次响应 状态,或打开规则的详细信息页面并检查 执行结果 选项卡。

如果您在 Elastic Stack 上拥有 企业订阅,或者在 Serverless 上拥有 完整项目层级订阅,您还可以 编辑您已安装的预构建规则

每个预构建规则都包含多个标签,用于标识规则的用途、检测方法、相关资源和其他信息,以帮助对规则进行分类。这些标签是类别-值对;例如,OS: Windows 表示专为 Windows 端点设计的规则。类别包括

  • 数据源:提供规则数据的应用程序、云提供商、数据收集器或 Elastic 集成。

  • :数据源类型的一般类别(例如云、端点或网络)。

  • 操作系统:主机操作系统,可以将其视为另一种数据源类型。

  • 资源:其他规则资源,例如调查指南。

  • 规则类型:标识规则是否依赖于专用资源(例如机器学习作业或威胁情报指示器),或者它是否是由其他规则的警报构建的高阶规则。

  • 策略:规则所解决的 MITRE ATT&CK 策略。

  • 威胁:规则检测到的特定威胁(例如 Cobalt Strike 或 BPFDoor)。

  • 用例:规则检测到的活动类型及其用途。用例包括

    • Active Directory 监控:检测与 Active Directory 相关的更改。
    • 资产可见性:检测对指定资产类型的更改。
    • 配置审核:检测不需要的配置更改。
    • 引导式入门:示例规则,用于 Elastic Security 的引导式入门之旅。
    • 身份和访问审计:检测与身份和访问管理 (IAM) 相关的活动。
    • 日志审计:检测日志配置或存储上的活动。
    • 网络安全监控:检测网络安全配置活动。
    • 威胁检测:检测威胁。
    • 漏洞:检测特定漏洞的利用。

如果您在 Elastic Stack 上没有 企业订阅,或者在 Serverless 上没有 完整项目层级订阅,则无法修改 Elastic 预构建规则的大部分设置。您只能编辑 规则操作添加例外。如果要修改预构建规则上的其他设置,则必须首先复制它,然后对复制的规则进行更改。请注意,您的自定义规则与原始预构建规则完全分开,并且如果预构建规则已更新,则不会收到 Elastic 的更新。

  1. 在导航菜单中或使用全局搜索字段找到 检测规则 (SIEM)
  2. 规则 表中,选择 Elastic 规则 过滤器。
  3. 选择一个或多个规则,或者单击规则表上方的 选择所有 x 个规则
  4. 单击 批量操作复制
  5. (可选)选择是否复制规则的例外,然后单击 复制

然后,您可以修改复制的规则,并在需要时删除预构建的规则。

重要

以下步骤仅适用于您在 Elastic Stack 上拥有 Platinum 订阅或更低版本,或者在 Serverless 上拥有 Essentials 项目层级 订阅的情况。

如果您在 Elastic Stack 上拥有企业订阅或在 Serverless 上拥有完整项目层级订阅,请遵循 更新已修改和未修改的 Elastic 预构建规则 中的指南。

Elastic 会定期更新预构建规则,以优化其性能并确保它们能检测到最新的威胁和技术。当您的已安装预构建规则有可用更新版本时,规则页面上会出现 规则更新 选项卡,您可以通过它将已安装的规则更新到最新版本。

  1. 在导航菜单中或使用全局搜索字段找到 检测规则 (SIEM)

  2. 规则 表格中,选择 规则更新 选项卡。

    注意

    如果您的所有已安装预构建规则都是最新版本,则不会出现 规则更新 选项卡。

    The Rule Updates tab on the Rules page

  3. (可选)要在更新规则之前检查规则最新版本的详细信息,请选择规则名称。这将打开规则详细信息浮出框。

    选择 Elastic 更新概览 选项卡以逐字段查看规则更改,或选择 JSON 视图 选项卡以 JSON 格式查看整个规则的更改。这两个选项卡都并排显示 当前规则(您当前安装的版本)和 Elastic 更新 版本(您可以选择安装的版本)的比较。已删除的字符以红色突出显示;添加的字符以绿色突出显示。

    要接受更改并安装更新后的版本,请选择 更新规则

    Prebuilt rule comparison

  4. 执行以下操作之一,在 规则 页面上更新预构建规则

    • 更新所有可用的规则:单击 全部更新

    • 更新单个规则:单击该规则的 更新规则

    • 更新多个规则:选择规则,然后单击 更新 x 个选定的规则

      提示

      使用搜索栏和 标签 过滤器来查找要更新的规则。例如,如果您的环境仅包含 Windows 端点,则按 OS: Windows 进行过滤。有关标签类别的更多信息,请参阅 预构建规则标签

© . All rights reserved.