› ›

事件过滤器

事件过滤器允许您过滤掉不想存储在 Elasticsearch 中的端点事件，例如高频事件。通过创建事件过滤器，您可以优化 Elasticsearch 中的存储。

事件过滤器不会降低主机的 CPU 使用率；Elastic Endpoint 仍然会监控事件以检测和防止可能的威胁，但不会将事件数据写入 Elasticsearch。要将事件过滤器与其他端点工件进行比较，请参阅 优化 Elastic Defend。

由于事件过滤器阻止事件流向 Elasticsearch，因此请注意您设置的事件过滤器条件和任何现有的规则条件。如果重叠过多，则规则的运行频率可能低于指定的频率，因此不会触发该规则的相应警报。这是事件过滤器的预期行为。

默认情况下，事件过滤器会在运行 Elastic Defend 的所有主机上全局识别。如果您拥有白金版或企业版订阅，您还可以将事件过滤器分配给特定的 Elastic Defend 集成策略，这将过滤分配给该策略的主机的端点事件。

从主机页面或 事件过滤器 页面创建事件过滤器。

执行以下操作之一
- 要从主机页面创建事件过滤器
  1. 选择事件选项卡以查看事件表。
  2. 找到要过滤的事件，单击 更多操作 菜单 (…)，然后选择 添加端点事件过滤器。
    
    由于您只能为端点事件创建过滤器，因此请确保过滤事件表以显示由 Elastic Endpoint 生成的事件。
    例如，在 KQL 搜索栏中，输入以下查询以查找端点网络事件：event.dataset : endpoint.events.network。
- 要从 事件过滤器 页面创建事件过滤器
  1. 单击 添加事件过滤器，这将打开一个浮出层。
在 详细信息 部分中填写这些字段
1. 名称：输入事件过滤器的名称。
2. 描述：输入过滤器描述（可选）。
在条件部分中，根据您用于创建过滤器的页面，修改预填充的条件或添加新条件以定义 Elastic Security 将如何过滤事件。使用这些设置
1. 选择操作系统：选择相应操作系统。
2. 选择要创建的事件过滤器的类型： [8.15.0] 在 8.15.0 中添加。
  - 事件：创建一个可以匹配任何事件类型的通用事件过滤器。所有匹配的事件都将被排除。
  - 进程后代：指定一个进程，并抑制其后代进程的活动。将摄取来自匹配进程的事件，但将排除来自其后代进程的事件。
    
    此选项添加条件 event.category is process 以将过滤器缩小到进程类型事件。您可以添加更多条件来识别要排除其后代的进程。
3. 字段：选择一个字段来识别被过滤的事件。
4. 运算符：选择一个运算符来定义条件。可用选项包括
  - 是
  - 不是
  - 是其中之一
  - 不是其中之一
  - 匹配 | 不匹配：允许您在 值 中使用通配符，例如 C:\path\*\app.exe。可用的通配符是 ?（匹配一个字符）和 *（匹配零个或多个字符）。
    
    在文件路径中使用通配符可能会影响性能。要使用通配符创建更高效的事件过滤器，请使用多个条件并使其尽可能具体。例如，使用 process.name 或 file.name 添加条件可以帮助限制通配符匹配的范围。
5. 值：输入与 字段 关联的值。要输入多个值（当使用 是其中之一 或 不是其中之一 时），请输入每个值，然后按回车。
要定义多个条件，请单击 AND 按钮并配置新条件。您还可以使用 添加嵌套条件 按钮添加嵌套条件。例如，上图所示的事件过滤器排除了 event.category 字段为 network 且 process.executable 字段如指定的那样的事件。
在分配部分中选择一个选项，将事件过滤器分配给特定的集成策略
- 全局：将事件过滤器分配给 Elastic Defend 的所有集成策略。
- 按策略（仅限白金版或企业版订阅）：将事件过滤器分配给一个或多个特定的 Elastic Defend 集成策略。选择要在其中过滤事件的每个策略。
  
  您也可以选择 按策略 选项，而无需立即将策略分配给事件过滤器。例如，您可以这样做，以便在将事件过滤器配置付诸实践之前创建和查看事件过滤器配置。
如果要提供有关事件过滤器的更多信息，请添加注释（可选）。
单击 添加事件过滤器。新的过滤器将添加到 事件过滤器 列表中。