从调查指南启动时间线
编辑从调查指南启动时间线
编辑检测规则调查指南建议用于分类、分析和响应潜在安全问题的步骤。对于自定义规则,您可以创建一个交互式调查指南,其中包含在时间线中启动运行时查询的按钮,使用警报数据和硬编码字面值。这允许您使用相关数据直接从警报启动详细的时间线调查。
交互式调查指南与 Elastic Stack 8.7.0 及更高版本兼容。在 8.6.x 中创建的查询按钮使用不同的语法,在更高版本中无法正确渲染,反之亦然。
在“调查”部分下,单击显示调查指南以在警报详细信息弹出窗口的左侧面板中打开调查选项卡。
调查选项卡显示查询按钮,每个查询按钮显示找到的事件文档数量。单击查询按钮可根据调查指南中的配置设置自动在时间线中加载查询。
向规则添加调查指南操作
编辑您只能使用自定义规则创建交互式调查指南,因为无法编辑 Elastic 预构建规则。但是,您可以复制预构建规则,然后为复制的规则配置调查指南。
-
在配置规则设置时(对于新规则为关于规则步骤,对于现有规则为关于选项卡),展开高级设置,然后向下滚动到调查指南 Markdown 编辑器。
-
将编辑器光标放置在要在调查指南中添加查询按钮的位置,然后选择工具栏中的调查图标(
)。将出现添加调查查询构建器表单。
-
完成查询构建器表单以创建调查查询。
- 标签:输入要显示在查询按钮上的文本。
- 描述:(可选)输入要与按钮一起包含的其他文本。
-
过滤器:选择字段、运算符和值来构建查询。单击OR或AND以创建多个过滤器并定义它们之间的关系。
要使用来自警报的字段值作为查询参数,请将用双大括号括起来的字段名称(例如
{{kibana.alert.example}})作为过滤器的自定义选项输入。
- 相对时间范围:(可选)选择一个时间范围来限制查询,相对于警报的创建时间。
-
单击保存更改。语法将添加到调查指南编辑器。
如果需要更改查询按钮的配置,您可以直接在编辑器中编辑语法(请参考下面的语法参考),或者删除语法并使用查询构建器表单重新创建查询。
- 保存并启用规则。
查询按钮语法
编辑以下语法定义交互式调查指南中的查询按钮。
| 字段 | 描述 |
|---|---|
|
包含所有查询按钮配置属性的容器对象。 |
|
按钮上的标识文本。 |
|
与按钮一起包含的其他文本。 |
|
一个两层嵌套数组,用于定义在时间线中运行的查询。类似于时间线中查询的结构,外层中的项目由
|
|
(可选)查询的相对时间范围的开始和结束时间。时间相对于警报的创建时间,在日期数学格式中表示为 |
某些字符必须使用反斜杠转义,例如\"用于引号,\\用于文字反斜杠。用双反斜杠分隔 Windows 路径(例如,C:\\Windows\\explorer.exe),并且已经包含双反斜杠的路径可能需要每个分隔符使用四个反斜杠。如果存在任何语法错误,则 Markdown 编辑器下方会显示一个可单击的错误图标(
)。
示例语法
编辑!{investigate{
"label": "Test action",
"description": "Click to investigate.",
"providers": [
[
{"field": "event.id", "excluded": false, "queryType": "phrase", "value": "{{event.id}}", "valueType": "string"}
],
[
{"field": "event.action", "excluded": false, "queryType": "phrase", "value": "rename", "valueType": "string"},
{"field": "process.pid", "excluded": false, "queryType": "phrase", "value": "{{process.pid}}", "valueType": "string"}
]
],
"relativeFrom": "now-15m",
"relativeTo": "now"
}}
此示例创建以下时间线查询,如下所示
(event.id : <警报值>)
OR (event.action : "rename" AND process.pid : <警报值>)
时间线模板字段
编辑在与特定警报无关的上下文中(例如规则的详细信息页面)查看交互式调查指南时,查询将作为时间线模板打开,并且parameter字段将被视为时间线模板字段。
