调整检测规则

Elastic Stack Serverless Security

使用 Elastic Security 应用程序，您可以调整预构建和自定义的检测规则，以优化告警生成。为了减少噪音，您可以

• 向检测规则添加例外。

  提示

  建议使用例外，因为这可以确保即使在预构建规则更新后，排除的源事件值仍然存在。

• 禁用很少产生可操作告警的检测规则，因为它们与预期的本地行为、工作流程或策略例外相匹配。

• 克隆和修改检测规则查询，使其与本地策略例外保持一致。 这既可以减少噪音，又能保留可操作的告警。

• 克隆和修改检测规则风险评分，并使用分支逻辑将更高的风险评分映射到更高优先级的工作流程。

• 启用自定义查询规则的告警抑制，以减少重复或重复告警的数量。

有关调整特定类别规则的详细信息

• 调整检测授权进程的规则
• 调整 Windows 子进程和 PowerShell 规则
• 调整网络规则
• 调整指标匹配规则

组织经常使用不常见的内部应用程序。 有时，这些应用程序可能会触发不需要的告警。 要阻止规则匹配应用程序，请为所需的应用程序添加例外。

例如，要防止 不寻常的进程执行路径 - 备用数据流 规则为名为 myautomatedbuild 的内部应用程序生成告警

1. 在导航菜单中或使用全局搜索字段，找到 检测规则 (SIEM)。

2. 在“规则”表中，搜索并单击 不寻常的进程执行路径 - 备用数据流 规则。

   此时将显示不寻常的进程执行路径 - 备用数据流规则详细信息页面。

   
   ×

3. 选择规则例外选项卡，然后单击添加规则例外。

4. 填写这些选项

   • 字段：process.name

   • 运算符：is

   • 值：myautomatedbuild

     
     ×

5. 单击添加规则例外。

授权的安全测试、系统工具、管理框架和管理活动可能会触发检测规则。 这些合法活动包括

• 授权的安全研究。
• 运行脚本（包括启动子进程的脚本）的系统和软件管理进程。
• 创建用户、计划任务、建立 psexec 连接和运行 WMI 命令的管理和管理框架。
• 使用 whoami 命令的合法脚本。
• 使用文件共享（例如备份程序）并使用服务器消息块 (SMB) 协议的应用程序。

要减少授权活动的噪音，您可以执行以下任何操作

• 向规则添加例外，以排除特定服务器，例如相关的主机名、代理名称或其他常见标识符。 例如，host.name is <服务器名称>。
• 向规则添加排除特定进程的例外。 例如，process.name is <进程名称>。
• 向规则添加排除常见用户的例外。 例如，user.name is <安全测试员>。

另一种有用的技术是将较低的风险评分分配给由授权活动触发的规则。 这可以在检测的同时，将生成的告警排除在优先级高的工作流程之外。 按照以下步骤操作

1. 添加例外之前，复制预构建的规则。

2. 向原始预构建规则添加例外，以排除相关用户或进程名称 (user.name is <用户名> 或 process.name is "进程名称")。

3. 按如下所示编辑复制的规则

   • 降低 风险评分（编辑规则设置 → 关于选项卡）。

   • 添加例外，以便该规则仅匹配原始预构建规则中排除的用户或进程名称。 (user.name is not <用户名> 或 process.name is not <进程名称>)。

     
     ×

4. 单击添加规则例外。

正常用户活动有时可能会触发以下一个或多个规则

• 可疑的 MS Office 子进程
• 可疑的 MS Outlook 子进程
• 通过服务的系统外壳
• 不寻常的父子关系
• Windows 脚本执行 PowerShell

虽然可以根据需要调整所有规则，但在向这些规则添加例外时要小心。 例外可能会导致客户端执行未被检测到，或者持久化或恶意软件威胁未被注意到。

这些规则可能产生噪音的示例包括

• 从受信任的第三方来源接收并打开附加 Microsoft Office 文件的电子邮件，其中包括宏或脚本等活动内容。
• 授权的技术支持人员向远程工作人员提供脚本，以收集故障排除信息。

在这些情况下，可以使用相关的 process.name、user.name 和 host.name 条件将例外添加到规则中。 此外，您还可以创建具有较低风险评分的重复规则。

不同组织对正常网络行为的定义差异很大。 不同的网络遵循不同的安全策略、标准和法规。 当正常的网络活动触发告警时，可以禁用或修改网络规则。 例如

• 要排除特定来源，请添加具有相关 IP 地址的 source.ip 例外，以及具有相关端口号的 destination.port 例外 (source.ip is 196.1.0.12 和 destination.port is 445)。
• 要排除整个子网的源网络流量，请添加具有相关 CIDR 表示法的 source.ip 例外 (source.ip is 192.168.0.0/16)。
• 要排除特定目标端口的目标 IP，请添加具有 IP 地址的 destination.ip 例外，以及具有端口号的 destination.port 例外 (destination.ip is 38.160.150.31 和 destination.port is 445)
• 要排除特定目标端口的目标子网，请使用 CIDR 表示法添加 destination.ip 例外，以及具有端口号的 'destination.port' 例外 (destination.ip is 172.16.0.0/12 和 destination.port is 445)。

请按照以下步骤调整指标匹配规则

• 指定一个详细的查询作为指标索引查询的一部分。 检测引擎使用指标索引查询的结果来查询规则定义索引模式中指定的索引。 使用没有查询或通配符 *** 查询可能会导致您的规则执行非常大的查询。
• 将规则的附加回顾时间限制为尽可能短的持续时间，且不超过 24 小时。
• 通过安排您的规则以一小时或更长时间的间隔运行，避免群集性能问题。 例如，避免安排指标匹配规则每五分钟检查一次指标。

在基于云的组织中，远程工作人员有时会通过互联网访问服务。 家庭网络的安全性策略可能与托管公司网络的安全性策略不同，可能需要调整这些规则以减少来自合法管理活动的噪音

• 来自 Internet 的 RDP（远程桌面协议）