« 创建和管理值列表 创建和管理共享异常列表 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 规则异常

添加和管理异常

编辑

添加和管理异常

编辑

您可以从规则详情页面、告警表格、告警详情浮层或共享异常列表页面向规则添加异常。添加异常时,您还可以关闭符合异常条件的所有告警。

  • 为了确保异常成功应用,请确保为其查询定义的字段在其各自的索引中正确且一致地映射。请参阅 ECS 了解有关支持的映射的更多信息。

  • 在向 事件关联 规则添加异常时,请谨慎操作。异常会针对序列中的每个事件进行评估,如果异常与完成序列所需的任何事件匹配,则不会创建告警。

    要从序列中的特定事件中排除值,请更新规则的 EQL 语句。例如

    `sequence
  [file where file.extension == "exe"
  and file.name != "app-name.exe"]
  [process where true
  and process.name != "process-name.exe"]`
  • 在向 指标匹配 规则添加异常时,请谨慎操作。异常会针对源索引和指标索引进行评估,因此,如果异常匹配任一索引中的事件,则不会生成告警。

向规则添加异常

编辑

  1. 执行以下操作之一

    • 要从规则详情页面添加异常

      1. 在导航菜单中查找 检测规则 (SIEM) 或使用 全局搜索字段
      2. 在规则表格中,搜索要向其添加异常的规则,然后单击其名称以打开规则详情。

      3. 向下滚动规则详情页面,选择 规则异常 选项卡,然后单击 添加规则异常

        Detail of rule exceptions tab

    • 要从告警表格添加异常

      1. 在导航菜单中查找 告警 或使用 全局搜索字段
      2. 向下滚动到告警表格,转到要为其创建异常的告警,单击 更多操作 菜单 (…​),然后选择 添加规则异常

    • 要从告警详情浮层添加异常

      1. 在导航菜单中查找 告警 或使用 全局搜索字段
      2. 从告警表格中单击 查看详情 按钮。
      3. 在告警详情浮层中,单击 采取操作 → 添加规则异常

    • 要从共享异常列表页面添加异常

      1. 在导航菜单中查找 共享异常列表 页面或使用 全局搜索字段
      2. 单击 创建共享异常列表创建异常项
  2. 添加规则异常 浮层中,命名异常。

  3. 添加定义异常的条件。当异常的查询评估结果为 true 时,即使规则的条件得到满足,也不会生成告警。

    规则异常区分大小写,这意味着任何以大写或小写字母输入的字符都将被视为相应的大小写。如果您希望字段区分大小写,则某些 ECS 字段具有可使用的 .caseless 版本。

    当您从告警创建新的异常时,异常条件会自动填充相关告警数据。自定义突出显示字段的数据将首先列出。还会在 添加注释 部分添加描述自动生成的异常条件的注释。

    1. 字段:选择一个字段来识别正在过滤的事件。

      对于存在冲突的字段,会显示警告。使用这些字段可能会导致意外的异常行为。请参阅 排查类型冲突和未映射字段 以获取更多信息。

    2. 运算符:选择一个运算符来定义条件

      • is | is not — 必须与定义的值完全匹配。
      • is one of | is not one of — 匹配任何定义的值。
      • exists | does not exist — 字段存在。

      • is in list | is not in list — 匹配值列表中的值。

        • 由值列表定义的异常必须在所有条件中使用 is in listis not in list
        • 值列表不支持通配符。
        • 如果由于 大小或数据类型 无法使用值列表,则它将在 菜单中不可用。

      • matches | does not match — 允许您在 中使用通配符,例如 C:\\path\\*\\app.exe。可用的通配符为 ?(匹配一个字符)和 *(匹配零个或多个字符)。所选 字段 数据类型必须为 关键字文本通配符

        某些字符必须使用反斜杠转义,例如 \\ 用于表示字面反斜杠、\* 用于表示星号,以及 \? 用于表示问号。Windows 路径必须使用双反斜杠分隔(例如,C:\\Windows\\explorer.exe),并且已经包含双反斜杠的路径可能需要每个分隔符使用四个反斜杠。

        使用通配符可能会影响性能。要使用通配符创建更有效的异常,请使用多个条件并使其尽可能具体。例如,添加使用 process.namefile.name 的条件可以帮助限制通配符匹配的范围。

    3. :输入与 字段 关联的值。要输入多个值(当使用 is one ofis not one of 时),请输入每个值,然后按 回车

      is one ofis not one of 运算符支持相同且区分大小写的值。例如,如果要匹配值 Windowswindows,请将这两个值都添加到 字段中。

      在以下示例中,异常是从规则页面创建的,并且防止规则在主机名 siem-kibana 上运行 svchost.exe 进程时生成告警。

      add exception ui
  4. 单击 ANDOR 以创建多个条件并定义它们之间的关系。
  5. 单击 添加嵌套条件 以使用嵌套字段创建条件。这仅适用于 这些嵌套字段。对于所有其他字段,不应使用嵌套条件。

  6. 选择将异常添加到规则还是共享异常列表。

    如果您是从共享异常列表页面创建异常,则可以将异常添加到多个规则中。

    如果共享异常列表不存在,则可以从共享异常列表页面 创建一个

  7. (可选)输入描述异常的注释。
  8. (可选)输入异常的未来过期日期和时间。

  9. 选择以下告警操作之一

    • 关闭此告警:在添加异常时关闭告警。此选项仅在从告警表格添加异常时可用。
    • 关闭与该异常匹配且由该规则生成的全部告警:关闭与异常条件匹配且仅由当前规则生成的全部告警。
  10. 单击 添加规则异常

添加 Elastic Endpoint 异常

编辑

与检测规则异常一样,您可以通过编辑 Endpoint Security 规则或将其作为 Endpoint Security 规则生成的告警上的操作来添加 Endpoint 代理异常。Elastic Endpoint 告警具有以下字段

  • kibana.alert.original_event.module determined:endpoint
  • kibana.alert.original_event.kind:alert

您还可以将 Endpoint 异常添加到与 Elastic Endpoint 规则异常关联的规则中。在创建或编辑规则时关联规则,请选择 Elastic Endpoint 异常 选项。

Endpoint 异常将添加到 Endpoint Security 规则主机上的 Elastic Endpoint 中。

添加到 Endpoint Security 规则的异常会影响从 Endpoint 代理发送的所有告警。请谨慎操作,避免意外阻止有用的 Endpoint 告警。

此外,要向 Endpoint Security 规则添加 Endpoint 异常,系统中必须至少生成一个 Endpoint Security 告警。对于非生产环境,如果不存在告警,您可以使用恶意软件模拟技术或 欧洲计算机反病毒研究协会 (EICAR) 的反恶意软件测试文件等工具触发测试告警。

二进制字段 在检测规则异常中不受支持。

  1. 执行以下操作之一

    • 要从规则详情页面添加 Endpoint 异常

      1. 在导航菜单中查找 检测规则 (SIEM) 或使用 全局搜索字段
      2. 在规则表格中,搜索并选择 Elastic Endpoint Security 规则。
      3. 向下滚动规则详情页面,选择 Endpoint 异常 选项卡,然后单击 添加 Endpoint 异常

    • 要从告警表格添加 Endpoint 异常

      1. 在导航菜单中查找 告警 或使用 全局搜索字段
      2. 向下滚动到告警表格,然后从 Elastic Endpoint 告警中单击 更多操作 菜单 (…​),然后选择 添加 Endpoint 异常

    • 要从共享异常列表页面添加 Endpoint 异常

      1. 在导航菜单中查找 共享异常列表 页面或使用 全局搜索字段

      2. 展开 Endpoint Security 异常列表或单击列表名称以打开列表的详细信息页面。接下来,单击 添加 Endpoint 异常

        端点安全异常列表会自动创建。默认情况下,它与端点安全规则以及任何选择Elastic Endpoint 异常选项的规则关联。

    添加端点异常弹出窗口打开。

    endpoint add exp

  2. 如果需要,修改条件。

    规则异常区分大小写,这意味着任何以大写或小写字母输入的字符都将被视为相应的大小写。如果您希望字段区分大小写,则某些 ECS 字段具有可使用的 .caseless 版本。

    • 存在冲突的字段会用警告图标标记(字段冲突警告图标)。使用这些字段可能会导致意外的异常行为。有关更多信息,请参阅排查类型冲突和未映射字段
    • is one ofis not one of 运算符支持相同且区分大小写的值。例如,如果要匹配值 Windowswindows,请将这两个值都添加到 字段中。
  3. (可选)向异常添加注释。

  4. 您可以选择以下任何一项

    • 关闭此告警:在添加异常时关闭告警。此选项仅在从告警表格添加异常时可用。
    • 关闭与该异常匹配且由该规则生成的全部警报:关闭与异常条件匹配的所有警报。

  5. 点击添加端点异常。将为检测规则和 Elastic Endpoint 创建一个异常。

    在较大的部署中,异常应用于主机可能需要更长时间。

包含嵌套条件的异常

编辑

某些端点对象包含嵌套字段,确保排除正确字段的唯一方法是使用嵌套条件。一个例子是process.Ext对象

{
  "ancestry": [],
  "code_signature": {
    "trusted": true,
    "subject_name": "LFC",
    "exists": true,
    "status": "trusted"
  },
  "user": "WDAGUtilityAccount",
  "token": {
    "elevation": true,
    "integrity_level_name": "high",
    "domain": "27FB305D-3838-4",
    "user": "WDAGUtilityAccount",
    "elevation_type": "default",
    "sid": "S-1-5-21-2047949552-857980807-821054962-504"
  }
}

只有这些对象需要嵌套条件才能确保异常正常运行

  • Endpoint.policy.applied.artifacts.global.identifiers
  • Endpoint.policy.applied.artifacts.user.identifiers
  • Target.dll.Ext.code_signature
  • Target.process.Ext.code_signature
  • Target.process.Ext.token.privileges
  • Target.process.parent.Ext.code_signature
  • Target.process.thread.Ext.token.privileges
  • dll.Ext.code_signature
  • file.Ext.code_signature
  • file.Ext.macro.errors
  • file.Ext.macro.stream
  • process.Ext.code_signature
  • process.Ext.token.privileges
  • process.parent.Ext.code_signature
  • process.thread.Ext.token.privileges
嵌套条件示例
编辑

创建一个异常,排除所有 LFC 签名的受信任进程

nested exp

查看和管理异常

编辑

要查看规则的异常

  1. 打开规则的详细信息页面。为此,请在导航菜单中找到检测规则(SIEM)或使用全局搜索字段搜索“检测规则(SIEM)”,搜索您要检查的规则,然后点击规则名称打开其详细信息。

  2. 向下滚动并选择规则异常端点异常选项卡。属于该规则的所有异常都将显示在列表中。

    从列表中,您可以筛选、编辑和删除异常。您还可以切换活动异常已过期异常

    A default rule list

查找使用相同异常的规则

编辑

要了解异常是否被其他规则使用,请选择规则异常端点异常选项卡,导航到异常列表项,然后点击影响 X 条规则

您对异常所做的更改也将应用于使用该异常的其他规则。

Exception that affects multiple rules
« 创建和管理值列表 创建和管理共享异常列表 »