› ›

安装和管理 Elastic 预置规则

遵循以下指南开始使用 Elastic Security 应用程序的预置规则，保持其更新，并确保它们拥有成功运行所需的数据。

大多数预置规则默认情况下不会开始运行。您可以使用安装并启用选项在安装规则时开始运行它们，或者先安装规则，然后手动启用它们。安装后，只有少数预置规则会默认启用，例如 Endpoint Security 规则。
您无法修改大多数 Elastic 预置规则的设置。您只能编辑规则操作和添加例外。如果您想修改预置规则上的其他设置，必须先复制它，然后对复制的规则进行更改。但是，您的自定义规则与原始预置规则完全分开，如果预置规则更新，则不会从 Elastic 获取更新。
Elastic 预置规则的自动更新支持当前 Elastic Security 版本和之前的三个次要版本。例如，如果您使用的是 Elastic Security 8.10，则在发布 Elastic Security 8.14 之前，您可以使用规则 UI 更新您的预置规则。在那之后，您仍然可以手动下载和安装更新的预置规则，但必须升级到最新的 Elastic Security 版本才能接收自动更新。

在导航菜单中查找检测规则 (SIEM)，或使用全局搜索字段，然后转到规则表。

添加 Elastic 规则旁边的徽章显示可用于安装的预置规则数量。
点击添加 Elastic 规则。

要在安装规则之前检查其详细信息，请选择规则名称。这将打开规则详细信息浮层。
执行以下操作之一
- 安装所有可用规则：点击页面顶部的安装全部。（这不会启用规则；您仍然需要手动执行此操作。）
- 安装单个规则：在规则表中，单击安装以安装规则而不启用它，或者单击 → 安装并启用以在规则安装后立即开始运行它。
- 安装多个规则：选择规则，然后在页面顶部单击安装已选择的 x 个规则以进行安装而不启用规则，或者单击 → 安装并启用以安装并开始运行规则。
使用搜索栏和标签过滤器查找要安装的规则。例如，如果您的环境仅包含 Windows 端点，则按OS: Windows进行筛选。有关标签类别的更多信息，请参阅预置规则标签。
对于尚未启用的任何规则，请返回规则页面，搜索或筛选要运行的规则，然后执行以下任一操作
- 启用单个规则：打开规则的已启用开关。
- 启用多个规则：选择规则，然后单击批量操作 → 启用。

启用规则后，它将按照其配置的计划开始运行。要确认它是否成功运行，请检查规则表中的上次响应状态，或打开规则的详细信息页面并检查执行结果选项卡。

每个预置规则都包含多个标签，用于标识规则的目的、检测方法、关联资源和其他信息，以帮助对规则进行分类。这些标签是类别-值对；例如，OS: Windows表示为 Windows 端点设计的规则。类别包括

然后，您可以修改复制的规则，并在需要时删除预置规则。但是，您的自定义规则与原始预置规则完全分开，如果预置规则更新，则不会从 Elastic 获取更新。

Elastic 定期更新预置规则以优化其性能，并确保它们检测最新的威胁和技术。当您的已安装预置规则有更新版本可用时，规则更新选项卡将出现在规则页面上，允许您使用最新版本更新已安装的规则。

在导航菜单中查找检测规则 (SIEM)，或使用全局搜索字段。
在规则表中，选择规则更新选项卡。

如果所有已安装的预置规则都是最新的，则不会显示规则更新选项卡。
（可选）要在更新规则之前检查规则最新版本的详细信息，请选择规则名称。这将打开规则详细信息浮层。

选择更新选项卡以逐字段查看规则更改，或选择JSON 视图选项卡以 JSON 格式查看整个规则的更改。这两个选项卡都并排显示当前规则（您当前已安装的内容）和Elastic 更新版本（您可以选择安装的内容）的比较。删除的字符以红色突出显示；添加的字符以绿色突出显示。

要接受更改并安装更新版本，请选择更新。
在规则页面上执行以下操作之一以更新预置规则
- 更新所有可用规则：点击更新全部。
- 更新单个规则：点击该规则的更新规则。
- 更新多个规则：选择规则并点击更新已选择的 x 个规则。
  
  使用搜索栏和标签过滤器查找要更新的规则。例如，如果您的环境仅包含 Windows 端点，则按OS: Windows进行筛选。有关标签类别的更多信息，请参阅预置规则标签。