检测和告警

使用检测引擎创建和管理规则，并查看这些规则生成的告警。规则会定期搜索索引（例如 logs-* 和 filebeat-*）中可疑的源事件，并在满足规则条件时创建告警。创建告警后，其状态为 Open（打开）。为了帮助跟踪调查，可以将告警的状态设置为 Open（打开）、Acknowledged（已确认）或 Closed（已关闭）。

除了创建自己的规则外，还可以启用Elastic 预置规则，立即开始检测可疑活动。有关所有预置规则的详细信息，请参阅预置规则参考部分。加载并运行预置规则后，调整检测规则和添加和管理异常解释了如何修改规则以减少误报并获得更好的可操作告警集。创建或修改自己的规则时，也可以使用异常和值列表。

有两条特殊的预置规则需要注意：

如果希望在创建告警时通过外部系统（例如 Slack 或电子邮件）接收通知，请使用 Kibana 告警和操作框架。

规则开始运行后，您可以监控其执行情况以验证其是否正常运行，以及查看、管理和排除告警故障（请参阅管理检测告警和监控和排除规则执行故障）。

您可以通过 UI 或检测 API创建和管理规则和告警。

冷层和冻结层数据层保存仅偶尔访问的时间序列数据。在 Elastic Stack 版本 >=7.11.0 中，Elastic Security 支持冷层数据，但不支持以下 Elasticsearch 索引的冻结层数据：

Elastic Security不支持以下 Elasticsearch 索引的冷层或冻结层数据：

对不受支持的索引使用冷层或冻结层数据可能会导致检测规则超时和整体性能下降。

指标匹配规则提供了一种强大的功能来搜索您的安全数据；但是，它们的查询可能会消耗大量的部署资源。创建指标匹配规则时，建议将指标索引查询的时间范围限制为所需规则覆盖范围的最小周期。例如，默认指标索引查询 @timestamp > "now-30d/d" 搜索指定指标索引中过去 30 天内摄取的指标，并将查询开始时间四舍五入到最近的一天（解析为 UTC 00:00:00）。如果没有此限制，规则将包含指标索引中的所有指标，这可能会延长指标索引查询完成所需的时间。

此外，还存在以下支持限制：

检测要求提供了启动和使用“检测”功能所需的所有权限的详细信息。

恶意软件（简称恶意软件）是任何旨在损坏或在计算机系统上执行未经授权操作的软件程序。恶意软件的示例包括病毒、蠕虫、特洛伊木马、广告软件、恐吓软件和间谍软件。某些恶意软件（如病毒）可以通过删除文件或目录信息来严重损坏计算机的硬盘驱动器。其他恶意软件（如间谍软件）可以在用户不知情的情况下获取用户数据。

恶意软件可能很隐蔽，并可能显示为合法的可执行代码、脚本、活动内容和其他软件。它也经常嵌入非恶意文件、非可疑网站和标准程序中——有时很难识别根本原因。如果感染未及时解决，恶意软件可能会对计算机网络造成无法修复的损坏。

有关如何在主机上启用恶意软件防护的信息，请参阅恶意软件防护。

为了确定文件是恶意文件还是良性文件，机器学习模型会查找文件的静态属性（无需执行文件），这些属性包括文件结构、布局和内容。这包括文件头数据、导入、导出、节名称和文件大小等信息。这些属性是从数百万个良性和恶意文件样本中提取的，然后将其传递给能够区分良性文件和恶意文件的机器学习算法。随着新数据的获取和分析，机器学习模型会得到更新。

恶意软件阈值决定了如果检测到恶意软件，代理应采取的操作。Elastic Agent 使用推荐的阈值级别，该级别生成的告警数量均衡，且未检测到恶意软件的概率低。此阈值还最大限度地减少了误报的数量。

勒索软件是一种计算机恶意软件，它会秘密安装在用户的计算机上，并加密数据，直到支付指定金额的赎金。勒索软件在其交付和执行方面通常与其他恶意软件类似，通过鱼叉式网络钓鱼或驱动程序下载来感染系统。如果不立即解决，勒索软件可能会对整个计算机网络造成无法修复的损坏。

Elastic Endpoint 上的行为型勒索软件防护通过分析来自低级别系统进程的数据来检测和阻止 Windows 系统上的勒索软件攻击，并且对各种广泛传播的勒索软件家族（包括针对系统主引导记录的勒索软件）有效。

有关如何在主机上启用勒索软件防护的信息，请参阅勒索软件防护。

根据您的权限以及是否已为 Kibana 空间创建检测系统索引，您在打开告警或规则页面时可能会收到以下错误消息之一：