加载中

事件过滤器

Elastic Stack Serverless Security

事件过滤器允许您过滤掉您不想存储在 Elasticsearch 中的端点事件,例如高流量事件。通过创建事件过滤器,您可以优化 Elasticsearch 中的存储。

事件过滤器不会降低主机上的 CPU 使用率;Elastic Endpoint 仍然会监控事件以检测和阻止可能的威胁,但不会将事件数据写入 Elasticsearch。要将事件过滤器与其他端点伪影进行比较,请参阅 优化 Elastic Defend

Requirements

您必须拥有 **事件过滤器** 特权 或相应的用户角色才能访问此功能。

重要提示

由于事件过滤器会阻止事件流式传输到 Elasticsearch,因此请注意您设置的事件过滤器条件和任何现有的规则条件。如果重叠过多,规则可能会比指定的运行频率低,因此不会触发该规则相应的警报。这是事件过滤器的预期行为。

默认情况下,事件过滤器在所有运行 Elastic Defend 的主机之间全局识别。您还可以将事件过滤器分配给特定的 Elastic Defend 集成策略,这将过滤分配给该策略的主机的端点事件。

从 **主机** 页面或 **事件过滤器** 页面创建事件过滤器。

  1. 执行以下任一操作

    • 从 **主机** 页面创建事件过滤器

      1. 选择 **事件** 选项卡以查看事件表。

      2. 找到要过滤的事件,单击 **更多操作** 菜单(**…​**),然后选择 **添加端点事件过滤器**。

        提示

        由于您只能为端点事件创建过滤器,请务必过滤事件表以显示由 Elastic Endpoint 生成的事件。
        例如,在 KQL 搜索栏中,输入以下查询以查找端点网络事件:event.dataset : endpoint.events.network

    • 要从 **事件过滤器** 页面创建事件过滤器,请单击 **添加事件过滤器**。

    Add event filter flyout

  2. 在 **详细信息** 部分填写这些字段

    1. 名称:为事件过滤器输入一个名称。
    2. 描述:输入过滤器描述(可选)。

  3. 在 **条件** 部分,根据您用于创建过滤器的页面,修改预填充的条件或添加新条件以定义 Elastic Security 如何过滤事件。使用这些设置

    1. 选择操作系统:选择合适的操作系统。

    2. 选择您想创建的事件过滤器类型

      • 事件:创建通用事件过滤器,可以匹配任何事件类型。所有匹配的事件都将被排除。

      • 进程后代:指定一个进程,并抑制其后代进程的活动。匹配进程的事件将被摄取,但其后代进程的事件将被排除。

        此选项会添加条件 event.category is process 以将过滤器缩小到进程类型事件。您可以添加更多条件来识别您想排除其后代的进程。

    3. 字段:选择一个字段来识别要过滤的事件。

    4. 运算符:选择一个运算符来定义条件。可用选项是

      • 不等于

      • 是其中之一

      • 不是其中之一

      • 匹配 | 不匹配:允许您在 中使用通配符,例如 C:\path\*\app.exe。可用的通配符是 ?(匹配单个字符)和 *(匹配零个或多个字符)。

        重要提示

        在文件路径中使用通配符会影响性能。要使用通配符创建更高效的事件过滤器,请使用多个条件,并尽可能具体。例如,使用 process.namefile.name 添加条件可以帮助限制通配符匹配的范围。

    5. :输入与 字段 关联的值。要输入多个值(在使用 是其中之一不是其中之一 时),请输入每个值,然后按 **回车键**。

  4. 要定义多个条件,请单击 AND 按钮并配置新条件。您还可以使用 添加嵌套条件 按钮添加嵌套条件。例如,上面显示的事件过滤器排除了 event.category 字段为 networkprocess.executable 字段为指定值的事件。

  5. 在 **分配** 部分选择一个选项,将事件过滤器分配给特定的集成策略

    • 全局:将事件过滤器分配给 Elastic Defend 的所有集成策略。

    • 每个策略:将事件过滤器分配给一个或多个特定的 Elastic Defend 集成策略。选择要在其中过滤事件的每个策略。

      注意

      您也可以选择 每个策略 选项而不立即将策略分配给事件过滤器。例如,您可以这样做是为了在策略实施之前创建和审查事件过滤器配置。

  6. 如果您想提供有关事件过滤器的更多信息,请添加注释(可选)。

  7. 单击 **添加事件过滤器**。新过滤器将添加到 **事件过滤器** 列表中。

**事件过滤器** 页面显示已添加到 Elastic Security 应用的所有事件过滤器。要细化列表,请使用搜索栏按过滤器名称、描述、注释或字段值进行搜索。

event filters list

您可以单独修改每个事件过滤器。您还可以更改事件过滤器分配到的策略。

编辑事件过滤器

  1. 单击要编辑的事件过滤器的操作菜单(**…​**),然后选择 **编辑事件过滤器**。
  2. 根据需要修改详细信息或条件。
  3. 点击 **Save**。

您可以删除事件过滤器,这将将其完全从所有 Elastic Defend 集成策略中移除。

删除事件过滤器

  1. 单击要删除的事件过滤器上的操作菜单(**…​**),然后选择 **删除事件过滤器**。
  2. 在打开的对话框中,验证您正在删除正确的事件过滤器,然后单击 **删除**。将显示一条确认消息。
© . This site is unofficial and not affiliated with Elasticsearch BV.