抑制检测警报
编辑抑制检测警报
编辑警报抑制允许您减少由这些检测规则类型创建的重复或重复检测警报的数量。
通常,当规则反复满足其条件时,它会为规则条件满足的每次创建多个警报。配置警报抑制后,重复的合格事件将被分组,并且每个组只创建一个警报。根据规则类型,您可以配置警报抑制以在每次规则运行时创建警报,或在指定的时间窗口内创建一次警报。您还可以指定多个字段,以按值的唯一组合对事件进行分组。
启用警报抑制创建检测警报时,Elastic Security 应用程序会在“警报”表和警报详细信息弹出窗口中显示多个指标。您可以通过在时间线中调查警报来查看与被抑制警报相关的原始事件。
Elastic 预构建规则不支持警报抑制。但是,如果您想抑制预构建规则的警报,可以复制它,然后在复制的规则上配置警报抑制。
配置警报抑制
编辑创建或编辑受支持的规则类型时,您可以配置警报抑制。请参阅有关创建 自定义查询、阈值、事件关联、新术语、ES|QL 或 机器学习 规则的文档,以获取详细说明。
-
配置规则类型(新规则的 定义规则 步骤,或现有规则的 定义 选项卡)时,请指定您希望如何对事件进行分组以进行警报抑制。
- 自定义查询、指标匹配、阈值、事件关联(仅非序列查询)、新术语、机器学习和 ES|QL 规则: 在 按以下方式抑制警报 中,输入 1-3 个字段名称,以按字段的值对事件进行分组。
- 阈值规则: 在 分组依据 中,输入最多 3 个字段名称以按字段的值对事件进行分组,或保留设置为空以将所有合格事件组合在一起。
如果您指定具有多个值的字段,则处理具有该字段的警报的方式如下:
-
自定义查询或阈值规则: 将为每个值创建一个警报组。例如,如果您按
destination.ip的[127.0.0.1, 127.0.0.2, 127.0.0.3]抑制警报,则将分别为127.0.0.1、127.0.0.2和127.0.0.3的每个值抑制警报。 -
指标匹配、事件关联(仅非序列查询)、新术语、ES|QL 或机器学习规则: 具有指定字段名称和相同数组值的警报将组合在一起。例如,如果您按
destination.ip的[127.0.0.1, 127.0.0.2, 127.0.0.3]抑制警报,则具有整个数组的警报将被分组,并且该组只创建一个警报。
-
如果可用,请选择多久为重复事件创建一次警报。
自定义查询、指标匹配、事件关联、新术语、ES|QL 和机器学习规则都提供这两个选项。阈值规则只有 每段时间 选项。
- 每次规则执行: 每次规则运行并满足其条件时创建警报。
-
每段时间: 为在指定时间窗口内发生的合格事件创建单个警报,从事件首次满足规则条件并创建警报时开始。
例如,如果规则每 5 分钟运行一次,但您不需要这么频繁的警报,则可以将抑制时间段设置为更长的时间,例如 1 小时。如果规则满足其条件,它会在那时创建一个警报,并且在接下来的 1 小时内,它将抑制任何后续的合格事件。
-
在 如果抑制字段缺失 下,选择如何处理缺少抑制字段的事件(其中一个或多个 按以下方式抑制警报 字段不存在的事件)。
阈值规则不提供这些选项。
-
抑制并组合缺少字段的事件的警报: 为每组缺少字段的事件创建一个警报。缺少的字段将获得
null值,该值用于组合和抑制警报。 - 不要抑制缺少字段的事件的警报: 为每个匹配事件创建一个单独的警报。这基本上会恢复为对缺少抑制字段的事件的常规警报创建。
-
抑制并组合缺少字段的事件的警报: 为每组缺少字段的事件创建一个警报。缺少的字段将获得
- 配置其他规则设置,然后保存并启用规则。
- 保存规则之前,请使用 规则预览 来可视化警报抑制将如何影响基于历史数据的创建的警报。
- 如果规则在抑制开启时超时,请尝试缩短规则的 回溯 时间或关闭抑制以提高规则的性能。
确认被抑制的警报
编辑Elastic Security 应用程序显示了检测警报是否已启用警报抑制以及抑制了多少个重复警报的几个指标。
警报移至 Closed 状态后,将不再抑制新警报。为了防止中断或抑制的意外更改,请避免在抑制间隔结束之前关闭警报。
-
警报 表 — 规则 列中的图标。悬停以显示被抑制警报的数量。
-
警报 表 — 被抑制警报计数列。选择 字段 以打开字段浏览器,然后将
kibana.alert.suppression.docs_count添加到表中。
-
警报详细信息弹出窗口 — 见解 → 关联 部分
调查被抑制警报的事件
编辑使用警报抑制,不会为分组的源事件创建检测警报,但您仍然可以检索这些事件以进行进一步分析或调查。执行以下任一操作以打开包含与已创建警报和被抑制警报相关的原始事件的时间线:
-
警报 表 — 选择 在时间线中调查(在 操作 列中)。
- 警报详细信息弹出窗口 — 选择 采取行动 → 在时间线中调查。