正在加载

抑制检测警报

Elastic Stack Serverless Security

要求和注意事项
  • 在 Elastic Stack 中,警报抑制需要 Platinum 或更高级别的订阅或相应的 Serverless 项目层级
  • 机器学习规则对警报抑制有额外要求
  • 此功能仅适用于事件关联规则的技术预览版,可能会在未来的版本中更改或删除。 Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。

警报抑制允许您减少由以下检测规则类型创建的重复或重复的检测警报的数量

通常,当规则重复满足其条件时,它会创建多个警报,每次规则的条件得到满足时都会创建一个警报。配置警报抑制后,重复的合格事件会被分组,并且每个组仅创建一个警报。根据规则类型,您可以配置警报抑制,以便每次规则运行时或在指定时间范围内创建一次警报。您还可以指定多个字段,以便按值的唯一组合对事件进行分组。

当启用警报抑制创建检测警报时,Elastic Security 应用程序会在“警报”表和警报详细信息弹出窗口中显示多个指标。您可以通过在时间轴中调查警报来查看与抑制的警报相关联的原始事件。

注意

警报抑制不适用于 Elastic 预构建规则。但是,如果您想抑制预构建规则的警报,您可以复制它,然后在复制的规则上配置警报抑制。

您可以在创建或编辑受支持的规则类型时配置警报抑制。有关创建 自定义查询阈值事件关联新术语ES|QL机器学习 规则的文档以获取详细说明。

  1. 配置规则类型时(新规则的定义规则步骤,或现有规则的定义选项卡),指定要如何对事件进行分组以进行警报抑制

    • 自定义查询、指标匹配、阈值、事件关联、新术语、机器学习和 ES|QL 规则:按以下项抑制警报中,输入 1-3 个字段名称,以便按字段的值对事件进行分组。
    • 阈值规则:分组依据中,最多输入 3 个字段名称,以便按字段的值对事件进行分组,或者将设置留空以将所有合格事件分组在一起。
    注意

    如果您指定具有多个值的字段,则具有该字段的警报的处理方式如下

    • 自定义查询或阈值规则:警报按每个唯一值进行分组。例如,如果您按 destination.ip(值为 [127.0.0.1, 127.0.0.2, 127.0.0.3])来抑制警报,则将分别针对 127.0.0.1127.0.0.2127.0.0.3 的每个值来抑制警报。
    • 指标匹配、事件关联(仅限非序列查询)、新术语、ES|QL 或机器学习规则:具有指定字段名称和相同数组值的警报会分组在一起。例如,如果您按 destination.ip(值为 [127.0.0.1, 127.0.0.2, 127.0.0.3])来抑制警报,则具有整个数组的警报会分组在一起,并且仅为该组创建一个警报。
    • 事件关联(仅限序列查询)规则:如果指定的字段包含一个值数组,则只有当字段的值完全匹配且顺序相同时,才会发生抑制。例如,如果您指定字段 myips 并且一个序列警报具有 [1.1.1.1, 0.0.0.0],而另一个序列警报具有 [1.1.1.1, 192.168.0.1],则即使它们共享一个数组元素,也不会抑制任何一个警报。

  2. 如果可用,请选择创建重复事件警报的频率

    注意

    自定义查询、指标匹配、事件关联、新术语、ES|QL 和机器学习规则都提供这两个选项。阈值规则仅具有按时间段选项。

    • 每次规则执行:每次规则运行且事件满足其条件时创建一个警报。

    • 按时间段:为在指定时间窗口内发生的所有合格事件创建一个警报,从事件首次满足规则条件并创建警报时开始。

      例如,如果规则每 5 分钟运行一次,但您不需要如此频繁的警报,您可以将抑制时间段设置为更长的时间,例如 1 小时。如果规则满足其条件,它会在该时间创建一个警报,并在接下来的一个小时内,它将抑制任何后续的合格事件。

      Alert suppression options

  3. 如果缺少抑制字段下,选择如何处理缺少抑制字段的事件(其中一个或多个按以下项抑制警报字段不存在的事件)

    注意

    阈值规则不提供这些选项。

    • 抑制并分组缺少字段的事件的警报:为每组缺少字段的事件创建一个警报。 缺少字段获得一个 null 值,该值用于分组和抑制警报。
    • 不抑制缺少字段的事件的警报:为每个匹配的事件创建一个单独的警报。 对于缺少抑制字段的事件,这基本上会回退到正常的警报创建。

  4. 配置其他规则设置,然后保存并启用该规则。

提示
  • 在保存规则之前使用规则预览,以可视化警报抑制将如何影响基于历史数据创建的警报。
  • 如果在启用抑制时规则超时,请尝试缩短规则的回溯时间或关闭抑制以提高规则的性能。

Elastic Security 应用程序显示了几个指示器,指示是否在启用警报抑制的情况下创建了检测警报,以及抑制了多少个重复警报。

重要事项

警报移至 Closed 状态后,它将不再抑制新警报。为避免中断或抑制方面出现意外更改,请避免在抑制间隔结束之前关闭警报。

  • 警报表 — 规则列中的图标。悬停以显示已抑制的警报数

    Suppressed alerts icon and tooltip in Alerts table

  • 警报表 — 已抑制警报计数列。 选择字段以打开字段浏览器,然后将 kibana.alert.suppression.docs_count 添加到表中。

    Suppressed alerts count field column in Alerts table

  • 警报详细信息弹出窗口 — 洞察关联部分

    Suppressed alerts in the Correlations section within the alert details flyout

使用警报抑制时,不会为分组的源事件创建检测警报,但您仍然可以检索事件以进行进一步分析或调查。 执行以下操作之一以使用与创建的警报和抑制的警报相关联的原始事件打开时间轴

  • 警报表 — 在操作列中选择在时间轴中调查

    Investigate in timeline button

  • 警报详细信息弹出窗口 — 选择采取措施在时间轴中调查

某些规则类型可以抑制的最大警报数有限制(自定义查询规则没有抑制限制)

  • 阈值、事件关联、ES|QL 和机器学习:最大警报数是您为规则的每次运行的最大警报数高级设置选择的值,默认值为 100
  • 指标匹配和新术语: 最大数量是您为规则的每次运行的最大警报数高级设置选择的值的五倍。 默认值为 100,这意味着指标匹配规则和新术语规则的默认最大限制为 500
© . All rights reserved.