从调查指南启动时间线

Elastic Stack 无服务器安全

检测规则调查指南提供了对潜在安全问题进行分类、分析和响应的步骤。对于自定义规则，您可以创建一个交互式调查指南，其中包括用于在 时间线 中启动运行时查询的按钮，使用警报数据和硬编码的字面值。这允许您直接从警报使用相关数据启动详细的时间线调查。

×

在“调查”部分下，单击“显示调查指南”以打开警报详细信息弹出窗口左侧面板中的“调查”选项卡。

×

“调查”选项卡显示查询按钮，并且每个查询按钮显示找到的事件文档数量。 单击查询按钮以根据调查指南中的配置设置自动在时间线中加载查询。

×

您可以 在创建新规则或编辑现有规则时配置交互式调查指南。

1. 在配置规则的设置时（新规则的“关于规则”步骤，或者现有规则的“关于”选项卡），展开“高级设置”，然后向下滚动到“调查指南”Markdown 编辑器。

   
   ×

2. 将编辑器光标放在您想要在调查指南中添加查询按钮的位置，然后选择工具栏中的调查图标 ()。 出现“添加调查查询”构建器表单。

   
   ×

3. 填写查询构建器表单以创建调查查询

   1. 标签：输入要显示在查询按钮上的文本。

   2. 描述：（可选）输入要与按钮一起包含的附加文本。

   3. 筛选器：选择字段、运算符和值以构建查询。 单击“OR”或“AND”以创建多个筛选器并定义它们的关系。

      要使用警报中的字段值作为查询参数，请输入用双花括号括起来的字段名称（例如 {{kibana.alert.example}}），作为筛选器值的自定义选项。

      
      ×

   4. 相对时间范围：（可选）选择一个时间范围以限制查询，相对于警报的创建时间。

4. 单击“保存更改”。 语法将添加到调查指南编辑器。

   注意

   如果您需要更改查询按钮的配置，您可以直接在编辑器中编辑语法（请参阅下面的语法参考），或者删除语法并使用查询构建器表单重新创建查询。

5. 保存并启用规则。

以下语法定义交互式调查指南中的查询按钮。

!{investigate{
  "label": "Test action",
  "description": "Click to investigate.",
  "providers": [
    [
      {"field": "event.id", "excluded": false, "queryType": "phrase", "value": "{{event.id}}", "valueType": "string"}
    ],
    [
      {"field": "event.action", "excluded": false, "queryType": "phrase", "value": "rename", "valueType": "string"},
      {"field": "process.pid", "excluded": false, "queryType": "phrase", "value": "{{process.pid}}", "valueType": "string"}
    ]
  ],
  "relativeFrom": "now-15m",
  "relativeTo": "now"
}}

此示例创建以下时间线查询，如下所示

(event.id : <alert value>)
OR (event.action : "rename" AND process.pid : <alert value>)

×

当在与特定警报无关的上下文（例如规则的详细信息页面）中查看交互式调查指南时，查询将作为 时间线模板打开，并且 parameter 字段被视为时间线模板字段。

×