« 将检测警报添加到案例 减少通知和警报 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 管理检测警报

抑制检测警报

编辑

抑制检测警报编辑

要求和注意事项

警报抑制需要 白金版或更高订阅

警报抑制处于阈值、指标匹配、事件关联和新术语规则的技术预览阶段。该功能可能会在将来的版本中更改或删除。Elastic 会努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。

警报抑制允许您减少这些检测规则类型创建的重复或重复检测警报的数量

通常,当规则重复满足其条件时,它会创建多个警报,每次满足规则条件时创建一个警报。当配置了警报抑制时,重复的合格事件将被分组,并且每个组只创建一个警报。根据规则类型,您可以配置警报抑制,以便每次规则运行时创建警报,或者在指定的时间窗口内创建一次。您还可以指定多个字段,以根据值的唯一组合对事件进行分组。

当启用警报抑制创建检测警报时,Elastic 安全应用程序会在“警报”表和警报详细信息弹出窗口中显示几个指标。您可以通过在时间线上调查警报来查看与抑制的警报关联的原始事件。

警报抑制不适用于 Elastic 预构建规则。但是,如果您想抑制预构建规则的警报,您可以将其复制,然后在复制的规则上配置警报抑制。

配置警报抑制编辑

您可以在创建或编辑支持的规则类型时配置警报抑制。请参考创建 自定义查询阈值事件关联新术语 规则的文档,以获取详细说明。

  1. 配置规则类型(对于新规则的 定义规则 步骤,或对于现有规则的 定义 选项卡)时,指定您想要如何对事件进行分组以进行警报抑制

    • 自定义查询规则:在 通过以下抑制警报 中,输入 1-3 个字段名称,以根据这些字段的值对事件进行分组。
    • 阈值规则:在 按以下分组 中,输入最多 3 个字段名称,以根据这些字段的值对事件进行分组,或将设置留空以将所有合格事件一起分组。
    • 指标匹配规则:在 通过以下抑制警报 中,输入 1-3 个字段名称,以根据这些字段的值对事件进行分组。
    • 事件关联规则(仅非序列查询):在 通过以下抑制警报 中,输入 1-3 个字段名称,以根据这些字段的值对事件进行分组。
    • 新术语规则:在 通过以下抑制警报 中,输入 1-3 个字段名称,以根据这些字段的值对事件进行分组。

    如果您指定一个具有多个值的字段,则具有该字段的警报将按以下方式处理

    • 自定义查询或阈值规则 - 每个值都会创建一个警报组。例如,如果您通过 destination.ip[127.0.0.1, 127.0.0.2, 127.0.0.3] 来抑制警报,则会分别对 127.0.0.1127.0.0.2127.0.0.3 的每个值抑制警报。
    • 指标匹配规则、事件关联(仅非序列查询)或新术语规则 - 具有指定字段名称和相同数组值的警报将被分组在一起。例如,如果您通过 destination.ip[127.0.0.1, 127.0.0.2, 127.0.0.3] 来抑制警报,则具有整个数组的警报将被分组,并且只为该组创建一个警报。

  2. 如果可用,请选择对重复事件创建警报的频率

    自定义查询、指标匹配、事件关联和新术语规则都提供这两个选项。阈值规则只提供 每个时间段 选项。

    • 每次规则执行:每次规则运行并满足其条件时,都会创建一个警报。

    • 每个时间段:为所有在指定时间窗口内发生的合格事件创建一个警报,从事件首次满足规则条件并创建警报开始。

      例如,如果规则每 5 分钟运行一次,但您不需要那么频繁的警报,则可以将抑制时间段设置为更长的时间,例如 1 小时。如果规则满足其条件,它会在那个时间创建警报,并且在接下来的 1 小时内,它会抑制任何后续的合格事件。

      Alert suppression options

  3. 如果抑制字段丢失 下,选择如何处理缺少抑制字段的事件(缺少一个或多个 通过以下抑制警报 字段的事件)

    这些选项不适用于阈值规则。

    • 抑制并为具有丢失字段的事件分组警报:为每个具有丢失字段的事件组创建一个警报。丢失的字段将获得 null 值,该值用于分组和抑制警报。
    • 不要抑制具有丢失字段的事件的警报:为每个匹配的事件创建一个单独的警报。这基本上会将缺少抑制字段的事件的警报创建恢复到正常状态。
  4. 配置其他规则设置,然后保存并启用规则。
  • 在保存规则之前使用 规则预览,以根据历史数据可视化警报抑制将如何影响创建的警报。
  • 如果规则在抑制打开的情况下超时,请尝试缩短规则的 回溯 时间,或关闭抑制以提高规则的性能。

确认抑制的警报编辑

Elastic 安全应用程序显示了检测警报是否使用启用警报抑制创建以及抑制了多少个重复警报的几个指标。

警报被移动到 Closed 状态后,它将不再抑制新的警报。为了防止中断或抑制发生意外变化,请避免在抑制间隔结束之前关闭警报。

  • 警报 表 - 规则 列中的图标。悬停以显示被抑制警报的数量

    Suppressed alerts icon and tooltip in Alerts table

  • 警报 表 - 被抑制警报计数的列。选择 字段 以打开字段浏览器,然后将 kibana.alert.suppression.docs_count 添加到表中。

    Suppressed alerts count field column in Alerts table

  • 警报详细信息弹出窗口 - 见解关联 部分

    Suppressed alerts in the Correlations section within the alert details flyout

调查抑制的警报的事件编辑

使用警报抑制,不会为分组的源事件创建检测警报,但您仍然可以检索这些事件以进行进一步的分析或调查。执行以下操作之一以打开包含与已创建警报和被抑制警报关联的原始事件的时间线

  • 警报 表 - 在 操作 列中选择 在时间线上调查

    Investigate in timeline button
  • 警报详细信息弹出窗口 - 选择 采取行动在时间线上调查

按规则类型划分警报抑制限制编辑

某些规则类型对可以抑制的警报数量有最大限制(自定义查询规则没有抑制限制)

  • 阈值和事件关联(仅非序列查询) - 警报的最大数量是您为 max_signals 设置选择的数值,默认值为 100
  • 指标匹配和新术语 - 最大数量是您为 max_signals 设置选择的数值的 5 倍。默认的 max_signals 值为 100,这意味着指标匹配规则和新术语规则的默认最大限制为 500
« 将检测警报添加到案例 减少通知和警报 »