关于检测规则
编辑关于检测规则
编辑规则定期运行,搜索满足其条件的源事件、匹配项、序列或机器学习作业异常结果。当规则的条件满足时,将创建一个检测警报。
规则类型
编辑您可以创建以下类型的规则:
- 自定义查询:基于查询的规则,它搜索已定义的索引,并在一个或多个文档与规则的查询匹配时创建警报。
-
机器学习:机器学习规则,当机器学习作业发现高于定义阈值的异常时创建警报(参见 异常检测)。
对于机器学习规则,关联的机器学习作业必须正在运行。如果机器学习作业未运行,则规则将:
- 运行并创建警报,如果发现现有异常结果的分数高于定义的阈值。
- 发出错误消息,指出规则执行时机器学习作业未运行。
-
阈值:搜索已定义的索引,并在指定字段的值出现次数满足阈值(在单次执行期间)时创建检测警报。当多个值满足阈值时,将为每个值生成一个警报。
例如,如果阈值
field是source.ip,其value是10,则将为在规则搜索结果中至少出现 10 次的每个源 IP 地址生成一个警报。 - 事件关联:搜索已定义的索引,并在结果与 事件查询语言 (EQL) 查询匹配时创建警报。
-
指标匹配:当 Elastic Security 索引字段值与指定指标索引模式中定义的字段值匹配时创建警报。例如,您可以为 IP 地址创建指标索引,并在事件的
destination.ip等于索引中的值时使用此索引创建警报。指标索引字段映射应符合 ECS 规范。有关创建 Elasticsearch 索引和字段类型的更多信息,请参见 索引一些文档、创建索引 API 和 字段数据类型。如果您以标准文件格式(例如 CSV 或 JSON)拥有指标,您还可以使用机器学习数据可视化工具将指标导入指标索引。请参见 在 Kibana 中浏览数据 并使用 导入数据 选项导入您的指标。您还可以使用值列表作为指标匹配索引。有关更多信息,请参见本主题末尾的 将值列表与指标匹配规则一起使用。
-
新术语:在指定的时间范围内,针对源文档中检测到的每个新术语生成警报。您还可以检测最多三个新术语的组合(例如,以前从未一起观察到的
host.ip和host.id)。 -
ES|QL:搜索已定义的索引,并在结果与 Elasticsearch 查询语言 (ES|QL) 查询匹配时创建警报。
ES|QL 在 Kibana 中默认启用。可以使用 高级设置 中的
enableESQL设置禁用它。这将从各种应用程序中隐藏 ES|QL 用户界面。但是,用户将能够访问现有的 ES|QL 工件,如保存的搜索和可视化。
数据视图和索引模式
编辑创建规则时,您必须指定要为其运行规则的 Elasticsearch 索引模式,或者选择 数据视图字段 作为数据源。如果您选择数据视图,您可以选择与该数据视图关联的 运行时字段 来为规则创建查询(机器学习规则除外,机器学习规则不使用查询)。
要访问数据视图,请确保您拥有 所需的权限。
通知
编辑对于预构建规则和自定义规则,您都可以在创建警报时发送通知。通知可以通过 Jira、Microsoft Teams、PagerDuty、Slack 等发送,您可以在创建或编辑规则时进行配置。
授权
编辑规则(包括所有后台检测及其生成的 tindakan)使用与最后编辑规则的用户关联的 API 密钥 进行授权。创建或修改规则后,将为该用户生成一个 API 密钥,捕获其权限的快照。然后,该 API 密钥用于运行与规则关联的所有后台任务,包括检测检查和执行操作。
如果规则需要某些权限才能运行(例如索引权限),请记住,如果无权访问这些权限的用户更新了规则,则规则将不再起作用。
异常
编辑修改规则或管理检测警报时,您可以 添加异常 以防止规则即使在满足其条件时也生成警报。这对于减少噪音很有用,例如防止来自受信任进程和内部 IP 地址的警报。
您可以将异常添加到自定义查询、机器学习、事件关联和指标匹配规则类型。