正在加载

事件过滤器

Elastic Stack Serverless Security

事件过滤器允许您过滤掉您不想存储在 Elasticsearch 中的端点事件,例如,高容量事件。 通过创建事件过滤器,您可以优化在 Elasticsearch 中的存储。

事件过滤器不会降低主机上的 CPU 使用率; Elastic Endpoint 仍然会监视事件,以检测和预防可能的威胁,但不会将事件数据写入 Elasticsearch。 要将事件过滤器与其他端点工件进行比较,请参阅优化 Elastic Defend

要求

您必须拥有事件过滤器 权限或相应的用户角色才能访问此功能。

重要提示

由于事件过滤器会阻止事件流式传输到 Elasticsearch,请注意您设置的事件过滤器条件和任何现有的规则条件。 如果重叠太多,规则的运行频率可能低于指定频率,因此,将不会触发该规则的相应警报。 这是事件过滤器的预期行为。

默认情况下,事件过滤器在运行 Elastic Defend 的所有主机上全局识别。 您还可以将事件过滤器分配给特定的 Elastic Defend 集成策略,这将过滤来自分配给该策略的主机的端点事件。

从“主机”页面或“事件过滤器”页面创建事件过滤器。

  1. 执行以下操作之一

    • 要从“主机”页面创建事件过滤器

      1. 选择“事件”选项卡以查看“事件”表。

      2. 找到要过滤的事件,单击“更多操作”菜单(),然后选择“添加端点事件过滤器”。

        提示

        由于您只能为端点事件创建过滤器,请务必过滤“事件”表以显示由 Elastic Endpoint 生成的事件。
        例如,在 KQL 搜索栏中,输入以下查询以查找端点网络事件:event.dataset : endpoint.events.network

    • 要从“事件过滤器”页面创建事件过滤器,请单击“添加事件过滤器”。

    Add event filter flyout

  2. 在“详细信息”部分中填写以下字段

    1. 名称:输入事件过滤器的名称。
    2. 描述:输入过滤器描述(可选)。

  3. 在“条件”部分中,根据您用于创建过滤器的页面,修改预先填充的条件或添加新条件,以定义 Elastic Security 将如何过滤事件。 使用以下设置

    1. 选择操作系统:选择相应的操作系统。

    2. 选择要创建的事件过滤器的种类

      • 事件:创建一个可以匹配任何事件类型的通用事件过滤器。 将排除所有匹配的事件。

      • 进程后代:指定一个进程,并禁止其后代进程的活动。 将提取来自匹配进程的事件,但将排除来自其后代进程的事件。

        此选项添加条件 event.category is process 以将过滤器缩小到进程类型事件。 您可以添加更多条件来标识您要排除其后代的进程。

    3. 字段:选择一个字段以标识要过滤的事件。

    4. 运算符:选择一个运算符以定义条件。 可用选项包括

      • 不是

      • 是其中之一

      • 不是其中之一

      • 匹配 | 不匹配:允许您在中使用通配符,例如C:\path\*\app.exe。 可用的通配符为?(匹配一个字符)和*(匹配零个或多个字符)。

        重要提示

        在文件路径中使用通配符会影响性能。 要创建使用通配符的更高效的事件过滤器,请使用多个条件,并使其尽可能具体。 例如,使用 process.namefile.name 添加条件可以帮助限制通配符匹配的范围。

    5. :输入与字段关联的值。 要输入多个值(当使用是其中之一不是其中之一时),输入每个值,然后按 Return

  4. 要定义多个条件,请单击 AND 按钮并配置一个新条件。 您还可以使用 添加嵌套条件 按钮添加嵌套条件。 例如,上图中的事件过滤器排除了 event.category 字段为 network 并且 process.executable 字段为指定值的事件。

  5. 在“分配”部分中选择一个选项,以将事件过滤器分配给特定的集成策略

    • 全局:将事件过滤器分配给 Elastic Defend 的所有集成策略。

    • 按策略:将事件过滤器分配给一个或多个特定的 Elastic Defend 集成策略。 选择您希望过滤事件的每个策略。

      注意

      您也可以选择“按策略”选项,而无需立即将策略分配给事件过滤器。 例如,您可以这样做来创建和审核您的事件过滤器配置,然后再通过策略将其付诸行动。

  6. 如果您想提供有关事件过滤器的更多信息,请添加评论(可选)。

  7. 单击“添加事件过滤器”。 新过滤器将添加到“事件过滤器”列表中。

事件过滤器”页面显示已添加到 Elastic Security 应用程序的所有事件过滤器。 要优化列表,请使用搜索栏按过滤器名称、描述、注释或字段值进行搜索。

event filters list

您可以单独修改每个事件过滤器。 您还可以更改事件过滤器分配到的策略。

要编辑事件过滤器

  1. 单击要编辑的事件过滤器的操作菜单(),然后选择“编辑事件过滤器”。
  2. 根据需要修改详细信息或条件。
  3. 单击“保存”。

您可以删除事件过滤器,这将从所有 Elastic Defend 集成策略中完全删除它。

要删除事件过滤器

  1. 单击要删除的事件过滤器上的操作菜单(),然后选择“删除事件过滤器”。
  2. 在打开的对话框中,验证您正在删除正确的事件过滤器,然后单击“删除”。 将显示确认消息。
© . All rights reserved.