减少通知和告警
编辑减少通知和告警
编辑Elastic Security 提供多种功能来帮助减少检测规则生成的通知和告警数量。下表对这些功能进行了总体比较,并提供了更多详细信息的链接。
|
停止特定规则的通知操作运行。. 用于避免特定规则的无用通知。在暂停期间,规则继续运行并生成告警,但其通知操作不会运行。 |
|
|
阻止所有规则的通知操作运行。. 用于在计划停机期间避免误报和不必要的通知。在维护窗口期间,所有规则继续运行并生成告警,但其通知操作不会运行。 维护窗口是 Kibana 的一项功能,在 Elastic Security 应用外部的堆栈管理中配置。 |
|
|
减少重复或冗余告警。. 用于减少当规则反复满足其条件时创建的告警数量。重复的符合条件的事件将被分组,每个组只创建一个告警。 |
|
|
阻止规则在特定条件下创建告警。. 通过阻止受信任的进程和网络活动生成不必要的告警来减少误报。您可以配置一个例外供单个规则使用,或在多个规则之间共享,但它们通常不会影响所有规则。 |