管理检测警报

Elastic Stack 无服务器安全

“警报”页面显示所有检测警报。 从“警报”页面，您可以筛选警报、查看警报趋势、更改警报的状态、将警报添加到案例以及开始调查和分析警报。

×

“警报”页面提供了多种方法来组织和分类检测警报，以便您调查可疑事件。 您可以

• 查看警报的详细信息。 单击“警报”表中的查看详细信息按钮以打开警报详细信息弹出窗口。 有关更多信息，请参见查看检测警报详细信息。

  
  ×

• 查看创建警报的规则。 单击规则列中的名称以打开规则的详细信息。

• 查看与警报关联的实体的详细信息。 在“警报”表中，单击实体名称以打开实体详细信息弹出窗口。

• 在 KQL 栏中筛选特定规则（例如，kibana.alert.rule.name :"SSH (Secure Shell) from the Internet"）。 KQL 自动完成功能可用于 .alerts-security.alerts-* 索引。

• 使用日期和时间筛选器来定义特定时间范围。 默认情况下，此筛选器设置为搜索最近 24 小时。

• 使用下拉筛选控件按最多四个字段筛选警报。 默认情况下，您可以按状态、严重性、用户和主机筛选警报，并且可以编辑控件以使用其他字段。

• 在可视化部分中，按特定字段可视化和分组警报。 使用左侧的按钮选择视图类型（摘要、趋势、计数或树状图），然后使用右侧的菜单选择用于分组警报的 ECS 字段。 有关每种视图类型的更多信息，请参见可视化检测警报。

• 将鼠标悬停在值上以显示可用的内联操作。 单击展开图标以获取更多选项，包括显示前 x 个和复制到剪贴板。 可用选项因数据类型而异。

  
  ×

• 通过选择其他筛选器下拉列表来筛选警报结果以包含构建块警报，或仅显示来自指标匹配规则的警报。 默认情况下，构建块警报不包括在“概览”和“警报”页面中。 您可以选择在“警报”页面上包括构建块警报，这将扩展警报的数量。

  注意

  当更新警报结果以包含构建块警报时，安全应用程序会在 .alerts-security.alerts-<Kibana space> 索引中搜索 kibana.alert.building_block_type 字段。 查找从指标匹配规则创建的警报时，应用程序会在同一索引中搜索 kibana.alert.rule.type:'threat_match'。

  
  ×

• 查看由特定规则生成的检测警报。 转到规则 → 检测规则 (SIEM)，然后在表中选择一个规则名称。 规则详细信息页面显示规则设置的完整视图，趋势直方图下的“警报”表显示与该规则关联的警报，包括来自该规则的任何先前或已删除修订版本的警报。

默认情况下，“警报”页面上的下拉控件按状态、严重性、用户和主机筛选警报。 您可以编辑它们以按不同的字段进行筛选，以及删除、添加和重新排序它们，如果您喜欢不同的顺序。

×

1. 单击控件旁边的三个点图标 ()，然后选择编辑控件。

2. 执行以下任一操作

   • 要重新排序控件，请单击并拖动控件的手柄 ()。
   • 要删除控件，请将鼠标悬停在其上方并选择删除控件 ()。
   • 要编辑控件，请将鼠标悬停在其上方并选择编辑控件 ()。
   • 要添加新控件，请单击添加控件 ()。 如果您已经有四个控件，则必须先删除一个控件才能为新控件腾出空间。

3. 如果您正在编辑或添加控件，请在打开的配置弹出窗口中执行以下操作

   1. 在字段列表中，选择筛选器的字段。 控件类型会自动应用于您选择的字段。
   2. 输入一个标签以标识控件。
   3. 单击保存并关闭。

4. 单击保存待处理的更改 ()。

您可以按规则名称、用户名、主机名、源 IP 地址或任何其他字段对警报进行分组。 选择按以下项对警报进行分组，然后选择一个选项或自定义字段以指定不同的字段。

最多选择三个字段用于分组警报。 组将按照您选择的顺序嵌套，并且嵌套顺序显示在表上方的按以下项对警报进行分组旁边。

×

每个组显示诸如警报的严重程度以及组中有多少用户、主机和警报之类的信息。 显示的信息因所选字段而异。

要与分组警报交互

• 选择执行操作菜单以对组中的所有警报执行批量操作，例如更改其状态。

• 单击组的名称或展开图标 () 以显示该组中的警报。 您可以像任何其他警报表一样筛选和自定义此视图。

  
  ×

使用警报表左上方的工具栏按钮来自定义要显示的列。

• 列: 重新排列列的顺序。
• 排序字段 x: 按照一列或多列对表格进行排序。
• 字段: 选择要在表格中显示的字段。您还可以添加 运行时字段 到检测警报，并在警报表中显示它们。

单击右上角的 全屏 按钮以全屏模式查看表格。

×

使用警报表右上角的查看选项下拉列表来控制警报的显示方式。

• 网格视图: 以传统的表格视图显示警报，每列代表一个字段。
• 事件渲染视图: 以描述性的事件流显示警报，其中包含有关该事件的相关详细信息和上下文。

×

从警报表或警报详细信息弹出框中，您可以：

• 将检测警报添加到案例
• 更改警报的状态
• 从警报添加规则例外
• 应用和筛选警报标签
• 将用户分配给警报
• 筛选已分配的警报
• 从警报添加端点例外
• 隔离警报的主机
• 对警报的主机执行响应操作（仅警报详细信息弹出框）
• 针对警报运行 Osquery
• 在时间线中查看警报
• 以可视化方式分析警报的进程关系
• 向警报添加注释

您可以设置警报的状态，以指示是否需要调查（打开）、正在积极调查（已确认）或已解决（已关闭）。默认情况下，“警报”页面显示打开的警报。要筛选 已确认 或 已关闭 的警报，请使用“警报”页面顶部的 状态 下拉筛选器。

要更改警报的状态，请执行以下操作之一：

• 在“警报”表中，单击警报行中的 更多操作 (…​)，然后选择一个状态。

• 在“警报”表中，选择要更改的警报，单击表格上方左上角的 已选择 x 个警报，然后选择一个状态。

  
  ×

• 要批量更改 分组警报 的状态，请选择该组的 采取操作 菜单，然后选择一个状态。

  警告

  此功能目前处于 Beta 阶段，可能会发生更改。其设计和代码不如官方 GA 功能成熟，并且按原样提供，不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 约束。

• 在警报的详细信息弹出框中，单击 采取操作 并选择一个状态。

使用警报标签将相关的警报组织到您可以筛选和分组的类别中。例如，使用 False Positive 警报标签将一组警报标记为误报。然后，通过在 KQL 栏中输入 kibana.alert.workflow_tags : "False Positive" 查询来搜索它们。或者，使用警报表的 下拉筛选器 来筛选已标记的警报。

要在单个警报上应用或删除警报标签，请执行以下操作之一：

• 在“警报”表中，单击警报行中的 更多操作 (…​)，然后单击 应用警报标签。选择或取消选择标签，然后单击 应用标签。
• 在警报的详细信息弹出框中，单击 采取操作 → 应用警报标签。选择或取消选择标签，然后单击 应用标签。

要在多个警报上应用或删除警报标签，请选择要更改的警报，然后单击表格上方左上角的 已选择 x 个警报。单击 应用警报标签，选择或取消选择标签，然后单击 应用标签。

×

将用户分配给您希望他们调查的警报，并在警报的整个生命周期内管理警报被分配者。

通过将 被分配者 列添加到“警报”表（字段 → kibana.alert.workflow_assignee_ids）来显示已分配给警报的用户。最多可以在 被分配者 列中显示四个已分配的用户。如果警报已分配给五个或更多用户，则会显示一个数字。

×

分配的用户会自动显示在警报详细信息弹出框中。最多可以在弹出框中显示两个已分配的用户。如果警报已分配给三个或更多用户，则会显示一个带编号的徽章。

×

单击“警报”表上方的 被分配者 筛选器，然后选择要按其进行筛选的用户。

×

您可以直接从“警报”表向生成警报的规则添加例外。例外可以防止规则生成警报，即使满足其标准也是如此。

要添加例外，请单击“警报”表中的 更多操作 菜单 (…​)，然后选择 添加例外。或者，在警报详细信息弹出框中选择 采取操作 → 添加规则例外。

有关例外及其使用方法的更多信息，请参阅 添加和管理例外。

• 要在时间轴中查看单个警报，请单击“警报”表中的 在时间轴中调查 按钮。或者，在警报详细信息弹出框中选择 采取操作 → 在时间轴中调查。

  
  ×

• 要在时间线中查看多个警报（最多 2,000 个），请选中警报旁边的复选框，然后单击已选择 x 个警报 → 在时间线中调查。

  
  ×

假设生成警报的规则使用时间线模板。在这种情况下，当您在时间线中调查警报时，模板中定义的 dropzone 查询值将被其相应的警报值替换。

示例

此时间线模板在规则中使用 host.name: "{host.name}" dropzone 过滤器。当在时间线中调查由该规则生成的警报时，{host.name} 值将被警报的 host.name 值替换。如果警报的 host.name 值为 Windows-ArsenalFC，则时间线 dropzone 查询为 host.name: "Windows-ArsenalFC"。