更新已修改和未修改的 Elastic 预构建规则

Elastic Stack Serverless Security

本页提供有关更新已修改和未修改的预构建规则的说明。 您还可以找到有关更新规则时可能遇到的 状态或 冲突的信息。

更新规则的步骤

1. 在导航菜单中或使用全局搜索字段找到检测规则 (SIEM)。

2. 在规则表中，选择规则更新选项卡。

   注意

   如果所有已安装的预构建规则都是最新的，则不会显示规则更新选项卡。

   
   ×

3. (可选) 要在更新规则之前检查规则最新版本的详细信息，请选择规则名称。 这将打开规则更新浮出控件，您可以在其中

   • 预览传入的更新：选择Elastic 更新概览选项卡以按字段查看规则更改，或选择 JSON 视图选项卡以 JSON 格式查看整个规则的更改。

   • 比较规则字段的不同版本：使用差异视图下拉菜单来比较规则字段的不同版本。 例如，将您对字段当前版本所做的更改与将从传入的 Elastic 更新中应用的更改进行比较。

   注意

   如果您有一段时间没有更新规则，则可能无法进行原始版本的比较。 相反，您只能访问规则的当前版本和传入的 Elastic 更新。 您可以通过更频繁地更新预构建规则来避免这种情况。

   • 检查更新状态：查看整个规则更新的状态以及 正在更改的每个字段的状态。

   • 解决更新冲突：查找并解决 需要额外关注的冲突。

   • 编辑最终更新：更改将在您更新规则时应用于该字段的更新。 要更改更新，请转到最终更新部分，进行更改，然后保存它们。

   重要提示

   包含规则类型更改的 Elastic 更新无法编辑。 在更新规则之前，如果需要记录您对规则字段所做的更改，请复制该规则。

   
   ×

4. 从规则更新选项卡中，执行以下操作之一来更新预构建规则

   • 更新所有可用规则：单击全部更新。 如果任何规则存在冲突，系统将提示您采取其他操作。
   • 更新没有冲突的单个规则：单击该规则的更新规则。
   • 更新多个规则：选择规则，然后单击更新 x 个所选规则。 如果任何规则存在冲突，系统将提示您采取其他操作。
   提示

   查找要更新的特定规则

   • 使用已修改/未修改下拉菜单仅显示已修改或未修改的预构建规则。
   • 使用搜索栏和标签过滤器查找要更新的规则。 例如，如果您的环境仅包含 Windows 端点，则按 OS: Windows 进行筛选。 有关标签类别的更多信息，请参阅 预构建规则标签。

下表描述了可能为正在更新的规则字段显示的状态。

使预构建规则保持最新可能有助于您最大限度地减少规则更新期间发生的冲突频率和复杂性。

当发生冲突时，Elastic 会尝试解决它并建议一个修复方案供您审核。 这称为自动解决的冲突。 您仍然可以使用自动解决的冲突更新规则，但我们不建议批量更新多个规则，因为它具有风险，有时会导致规则修改丢失和其他问题。 相反，我们建议从规则更新浮出控件中仔细检查每个具有自动解决的冲突的规则。

如果 Elastic 无法解决冲突，则必须手动修复它，然后才能更新规则。 这称为未解决的冲突。 要修复规则中的未解决的冲突，请执行以下操作

1. 在规则更新选项卡中，单击规则名称或单击审核。 这将打开规则更新浮出控件，您可以在其中找到具有未解决的冲突的规则字段。

   提示

   具有未解决的冲突的字段具有 Action required 状态。

2. 转到最终更新部分，并执行以下任一操作

   • 保留当前值而不是接受 Elastic 更新。
   • 接受 Elastic 更新并覆盖当前值。
   • 通过将当前值与 Elastic 更新相结合或进行适当的更改来编辑最终字段值。

3. 单击保存并接受以应用您的更改。 字段的状态更改为 Ready for update。

在解决剩余冲突后，单击更新规则以接受更改并安装更新后的版本。