正在加载

管理检测规则

Elastic Stack 无服务器安全

通过“规则”页面,您可以查看和管理所有预构建和自定义的检测规则。

The Rules page

在“规则”页面上,您可以

要对规则列表进行排序,请单击任何列标题。要按降序排序,请再次单击列标题。

要筛选规则列表,请在搜索栏中输入搜索词,然后按 Return

  • 规则名称 — 输入规则名称中的一个词或短语。
  • 索引模式 — 输入索引模式(例如 filebeat-*)以显示使用它的所有规则。
  • MITRE ATT&CK 战术或技术 — 输入 MITRE ATT&CK 战术名称(例如 Defense Evasion)或技术编号(例如 TA0005)以显示所有关联的规则。
注意

索引模式以及 MITRE ATT&CK 战术和技术的搜索必须完全匹配,区分大小写,并且不支持通配符。例如,要查找使用 filebeat-* 索引模式的规则,搜索词 filebeat-* 有效,但 filebeatfile* 无效,因为它们与索引模式不完全匹配。同样,MITRE ATT&CK 战术 Defense Evasion 有效,但 Defensedefense evasionDefense* 无效。

您还可以通过选择搜索栏旁边的 TagsLast responseElastic rulesCustom rulesEnabled rulesDisabled rules 过滤器来筛选规则列表。

当您离开并返回页面时,规则列表会保留您的排序和筛选设置。当您复制页面的 URL 并粘贴到另一个浏览器中时,也会保留这些设置。选择表上方的 Clear filters 以恢复为默认视图。

上次响应”列根据最近一次运行规则的尝试来显示每个规则的当前状态

  • 成功:规则已完成其定义的搜索。这并不一定意味着它生成了警报,只是表示它在运行过程中没有出错。
  • 失败:规则遇到错误,阻止了其运行。例如,机器学习规则对应的机器学习作业未运行。
  • 警告:没有任何因素阻止规则运行,但它可能返回了意外结果。例如,自定义查询规则尝试搜索在 Elasticsearch 中找不到的索引模式。

对于机器学习规则,如果所需的机器学习作业未运行,则此列中还会显示指示器图标(规则表中的错误图标)。单击该图标以列出受影响的作业,然后单击 访问规则详细信息页面以进行调查 以打开规则的详细信息页面,您可以在其中启动机器学习作业。

要求
  • 您可以使用任何 Elastic Stack 订阅无服务器项目层编辑自定义规则并批量修改它们。
  • 您可以使用任何 Elastic Stack 订阅或无服务器项目层编辑预构建规则的规则通知(通知和响应操作)。
  • 您必须拥有 企业订阅 Elastic Stack 或 完整项目层 无服务器订阅才能编辑所有预构建规则设置(作者许可证字段除外)并批量修改它们。

  1. 在导航菜单中或使用全局搜索字段查找 检测规则 (SIEM)

  2. 执行以下操作之一

    • 编辑单个规则:选择规则上的 所有操作 菜单 (…​),然后选择 编辑规则设置。或者,打开规则的详细信息页面,然后单击 编辑规则设置。将打开 编辑规则设置 视图,您可以在其中修改规则的设置

    • 批量编辑多个规则:选择要编辑的规则,然后从 批量操作 菜单中选择一个操作

      注意

      如果无法通过批量编辑修改规则,则会跳过这些规则。例如,如果您尝试将标签应用于已具有该标签的规则,或将索引模式应用于使用数据视图的规则。

      • 索引模式:添加或删除所有选定规则使用的索引模式。
      • 标签:在所有选定规则上添加或删除标签。
      • 自定义突出显示字段:在所有选定规则上添加自定义突出显示字段。您可以选择 默认 Elastic Security 索引中可用的任何字段,或者输入其他索引中的字段名称。要覆盖规则当前的自定义突出显示字段集,请选择 覆盖所有选定规则的自定义突出显示字段 选项,然后单击 保存
      • 添加规则操作:在所有选定的规则上添加规则操作。如果您添加多个操作,您可以为每个操作指定一个操作频率。要覆盖现有操作的频率,请选择 覆盖所有选定规则的操作 选项。
      重要提示

      升级到 Elastic Stack 8.8 或更高版本后,在 8.7 或更早版本中创建的规则操作的频率设置将从规则级别移动到操作级别。操作计划保持不变,并将继续以其先前指定的频率(在每次规则执行时每小时每天每周)运行。

      注意

      维护窗口期间,规则操作将不会运行。它们将在维护窗口结束后恢复运行。

      • 更新规则计划:更新所有选定规则上的计划 和回溯时间。
      • 应用时间线模板:将指定时间线模板应用于选定的规则。您还可以选择 以从选定的规则中删除时间线模板。

  3. 在打开的页面或弹出窗口上,更新规则设置和操作。

    提示

    暂停规则操作,请转到 操作 选项卡并单击铃铛图标。

  4. 如果可用,选择 覆盖所有选定的x 以覆盖规则上的设置。例如,如果您要向多个规则添加标签,则选择 覆盖所有选定规则的标签 会删除所有规则的原始标签,并将其替换为您指定的标签。

  5. 单击 保存

您可以复制、启用、禁用、删除规则以及对规则执行更多操作

注意

复制包含异常的规则时,您可以选择复制规则及其异常(活动和已过期)、仅复制规则和活动异常或仅复制规则。如果您复制规则及其异常,则会创建异常的副本并将其添加到复制的规则的默认规则列表。如果原始规则使用了共享异常列表中的异常,则复制的规则将引用相同的共享异常列表。

  1. 在导航菜单中或使用全局搜索字段查找 检测规则 (SIEM)

  2. 在“规则”表中,执行以下操作之一

    • 选择规则上的 所有操作 菜单 (…​),然后选择一个操作。
    • 选择要修改的所有规则,然后从 批量操作 菜单中选择一个操作。
    • 要启用或禁用单个规则,请切换规则的 已启用 切换。
    • 暂停规则操作,请单击铃铛图标。

手动运行已启用的规则,在指定的时间段内进行有意的测试,提供额外的规则覆盖范围,或填补规则执行中的空白。

重要提示

在手动运行规则之前,请确保您正确理解并规划规则依赖关系。不正确的调度可能会导致不一致的规则结果。

  1. 在导航菜单中或使用全局搜索字段查找 检测规则 (SIEM)

  2. 规则表中,执行以下操作之一:

    • 选择规则上的所有操作菜单 (…​),然后选择手动运行
    • 选择所有要手动运行的规则,选择批量操作菜单,然后选择手动运行

  3. 指定手动运行的开始和结束时间。默认选择是当前日期,从过去三小时开始。规则将搜索所选时间范围内的事件。

  4. 单击运行以手动运行规则。

规则将在您选择的时间范围内运行。请注意,除了以自定义频率运行的警报摘要操作之外,所有规则操作也将被激活。

转到执行结果选项卡上的手动运行表,以跟踪手动规则执行情况。如果您手动运行规则以填补空白,您还可以从空白表中监控空白填充的进度。

注意

请注意以下事项:

  • 您对手动运行或规则设置所做的任何更改将在当前运行完成后显示在手动运行表中。
  • 除了阈值规则之外,如果您在计划运行已覆盖的时间范围内手动运行规则,则不会创建重复警报。
  • 手动运行具有抑制的自定义查询规则可能会错误地增加被抑制警报的数量。

您可以暂停规则操作一段指定的时间,而不是关闭规则以停止警报通知。当您暂停规则操作时,规则会继续按其定义的计划运行,但不会执行任何操作或发送警报通知。

您可以暂时或无限期地暂停通知。当操作被暂停时,您可以取消或更改暂停状态的持续时间。您还可以安排和管理操作的定期停机时间。

您可以从已安装规则选项卡、规则详细信息页面或编辑规则时的操作选项卡中暂停规则通知。

Rules snooze options
要求
  • 您可以使用任何Elastic Stack 订阅无服务器项目层导出和导入自定义规则和预构建规则(修改的和未修改的)。
  • 至少,您的角色需要对操作和连接器功能具有Read权限才能导入带有操作的规则。 要覆盖或添加新连接器,您需要All权限。 请参阅启用和访问检测,以了解有关管理规则所需权限的更多信息。

您可以将自定义检测规则导出到.ndjson文件,然后将其导入到另一个 Elastic Security 环境中。

.ndjson文件还包括与导出的规则相关的任何操作、连接器和例外列表。 但是,其他配置项在导出和导入规则时需要额外的处理。

  • 数据视图:对于使用 Kibana 数据视图作为数据源的规则,导出的文件包含关联的data_view_id,但包含任何其他数据视图配置。要在 Kibana 空间之间导出/导入,请首先使用已保存对象 UI 将数据视图与目标空间共享。

    要导入到不同的 Elastic Stack 部署中,目标集群必须包含具有匹配数据视图 ID 的数据视图(在数据视图的高级设置中配置)。或者,导入后,您可以手动重新配置规则以使用目标系统中适当的数据视图。

  • 操作和连接器:规则操作和连接器包含在导出的文件中,但有关连接器的敏感信息(例如身份验证凭据)包含。导入检测规则后,您必须重新添加缺少的连接器详细信息。

    提示

    您还可以使用已保存对象 UI 在导入检测规则之前导出和导入必要的连接器。

  • 值列表:用于规则例外的任何值列表都包含在规则导出或导入中。使用管理值列表 UI 分别导出和导入值列表。

  1. 在导航菜单中或使用全局搜索字段查找 检测规则 (SIEM)

  2. 执行以下操作之一

    • 导出单个规则:在“规则”表中找到该规则,然后选择所有操作导出。或者,从其详细信息页面导出该规则(单击规则名称以打开其详细信息,然后单击所有操作导出)。
    • 导出多个规则:在“规则”表中,选择要导出的规则,然后单击批量操作 → 导出

规则将导出到.ndjson文件。

  1. 在“规则”表上方,单击导入规则

  2. 在“导入规则”模式框中

    1. 拖放包含导出规则的.ndjson文件。

    2. (可选)选择适当的选项以覆盖现有数据

      • 覆盖具有冲突“rule_id”的现有检测规则:如果现有规则与导入文件中任何规则的rule_id值匹配,则更新现有规则。规则中包含的配置数据(例如操作)也会被覆盖。
      • 覆盖具有冲突“list_id”的现有例外列表:如果导入文件中的例外列表具有匹配的list_id值,则用导入文件中的例外列表替换现有例外列表。
      • 覆盖具有冲突操作“id”的现有连接器:如果现有连接器与导入文件中任何规则操作的action id值匹配,则更新现有连接器。操作中包含的配置数据也会被覆盖。

导入的规则将添加到“规则”表中。

许多检测规则都设计为与特定的Elastic 集成和数据字段一起使用。这些先决条件在规则详细信息页面上的相关集成必需字段中标识。相关集成还会显示每个集成的安装状态,并包含用于安装和配置所列集成的链接。

此外,设置指南部分还提供有关设置规则要求 的指导。

Rule details page with Related integrations

您还可以在已安装规则规则监控表中查看规则的相关集成。 单击 集成 徽章以在弹出窗口中显示相关集成。

Rules table with related integrations popup
提示

您可以通过关闭securitySolution:showRelatedIntegrations 高级设置来隐藏规则表中的集成徽章。

利用检测即代码 (DaC) 原则来外部管理您的检测规则。

Elastic Security Labs 团队使用detection-rules 存储库来开发、测试和发布 Elastic Security 的预构建规则。该存储库提供 DaC 功能,并允许您自定义设置,以简化使用 DaCe 管道管理用户规则的设置。

要开始使用,请参阅DaC 文档

© . All rights reserved.