« 安装和管理 Elastic 预设规则 监控和排查规则执行 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警

管理检测规则

编辑

管理检测规则

编辑

规则页面允许您查看和管理所有预设和自定义检测规则。

The Rules page

在规则页面上,您可以

对规则列表进行排序和过滤

编辑

要对规则列表进行排序,请单击任意列标题。要按降序排序,请再次单击列标题。

要过滤规则列表,请在搜索栏中输入搜索词并按 回车

  • 规则名称 — 输入规则名称中的单词或短语。
  • 索引模式 — 输入索引模式(例如 filebeat-*)以显示使用它的所有规则。
  • MITRE ATT&CK 战术或技术 — 输入 MITRE ATT&CK 战术名称(例如 防御规避)或技术编号(例如 TA0005)以显示所有关联规则。

对索引模式和 MITRE ATT&CK 战术和技术的搜索必须完全匹配,区分大小写,并且不支持通配符。例如,要查找使用 filebeat-* 索引模式的规则,搜索词 filebeat-* 是有效的,但 filebeatfile* 无效,因为它们与索引模式不完全匹配。同样,MITRE ATT&CK 战术 防御规避 是有效的,但 防御defense evasionDefense* 无效。

您还可以通过选择搜索栏旁边的 标签上次响应Elastic 规则自定义规则已启用规则已禁用规则 过滤器来过滤规则列表。

当您离开页面并返回时,规则列表会保留您的排序和过滤设置。当您复制页面的 URL 并粘贴到另一个浏览器中时,也会保留这些设置。选择表格上方的 清除过滤器 以恢复默认视图。

检查规则的当前状态

编辑

上次响应 列根据最近一次运行规则的尝试显示每个规则的当前状态

  • 成功:规则已完成其定义的搜索。这并不一定意味着它生成了告警,只是它运行没有错误。
  • 失败:规则遇到错误,阻止其运行。例如,对应的机器学习作业未运行的机器学习规则。
  • 警告:没有任何因素阻止规则运行,但它可能返回了意外的结果。例如,自定义查询规则尝试搜索在 Elasticsearch 中找不到的索引模式。

对于机器学习规则,如果必需的机器学习作业未运行,此列中还会出现指示器图标 (规则表格中的错误图标)。单击该图标列出受影响的作业,然后单击 访问规则详细信息页面进行调查 以打开规则的详细信息页面,您可以在其中启动机器学习作业。

修改现有规则设置

编辑

您可以编辑现有规则的设置,并且可以一次批量编辑多个规则的设置。

对于预设的 Elastic 规则,您无法修改大多数设置。您只能编辑 规则操作添加例外。如果您尝试批量编辑同时选择了预设规则和自定义规则,则该操作只会影响可以修改的规则。

同样,如果规则无法通过批量编辑进行修改,则会跳过这些规则。例如,如果您尝试将标签应用于已经具有该标签的规则,或者将索引模式应用于使用数据视图的规则。

  1. 在导航菜单中查找 检测规则 (SIEM),或使用 全局搜索字段

  2. 执行以下操作之一

    • 编辑单个规则:选择规则上的 所有操作 菜单 (…​),然后选择 编辑规则设置编辑规则设置 视图将打开,您可以在其中修改 规则的设置

    • 批量编辑多个规则:选择要编辑的规则,然后从 批量操作 菜单中选择一个操作

      • 索引模式:添加或删除所有选定规则使用的索引模式。
      • 标签:添加或删除所有选定规则上的标签。
      • 自定义高亮字段:在所有选定规则上添加自定义高亮字段。您可以选择 默认 Elastic Security 索引 中可用的任何字段,或输入其他索引中的字段名称。要覆盖规则当前的自定义高亮字段集,请选择 覆盖所有选定规则的自定义高亮字段 选项,然后单击 保存
      • 添加规则操作:在所有选定规则上添加 规则操作。如果您添加多个操作,则可以为每个操作指定操作频率。要覆盖现有操作的频率,请选择 覆盖所有选定规则操作 选项。

      升级到 8.8 或更高版本后,在 8.7 或更早版本中创建的规则操作的频率设置将从规则级别移动到操作级别。操作计划保持不变,并将继续按先前指定的频率运行 (每次规则执行每小时每天每周)。

    维护窗口期间,规则操作不会运行。它们将在维护窗口结束后恢复运行。

    • 更新规则计划:更新所有选定规则的 计划 和回溯时间。
    • 应用时间线模板:将指定的 时间线模板 应用于选定的规则。您也可以选择 以从选定的规则中删除时间线模板。

  3. 在打开的弹出窗口中,更新规则设置和操作。

    暂停 规则操作,请转到 操作 选项卡并单击铃铛图标。

  4. 如果可用,请选择 覆盖所有选定的 x 以覆盖规则上的设置。例如,如果您要向多个规则添加标签,请选择 覆盖所有选定规则的标签 将删除所有规则的原始标签并将其替换为您指定的标签。
  5. 单击 保存

管理规则

编辑

您可以复制、启用、禁用、删除和暂停规则的操作

复制包含例外的规则时,您可以选择复制规则及其例外情况(活动和已过期)、仅复制规则和活动例外情况,或仅复制规则。如果您复制规则及其例外情况,则会创建例外的副本并将其添加到复制规则的 默认规则列表。如果原始规则使用共享例外列表中的例外情况,则复制的规则将引用相同的共享例外列表。

  1. 在导航菜单中查找 检测规则 (SIEM),或使用 全局搜索字段

  2. 在“规则”表中,执行以下操作之一

    • 选择规则上的 所有操作 菜单 (…​),然后选择一个操作。
    • 选择要修改的所有规则,然后从 批量操作 菜单中选择一个操作。
    • 要启用或禁用单个规则,请切换规则的 已启用 开关。
    • 暂停 规则的操作,请单击铃铛图标。

手动运行规则

编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何担保。测试版功能不受正式 GA 功能的支持 SLA 的约束。

出于测试目的或额外规则覆盖范围,手动运行已启用的规则,指定一段时间。

在手动运行规则之前,请确保您正确理解并规划规则依赖项。计划不当会导致规则结果不一致。

  1. 在导航菜单中查找 检测规则 (SIEM),或使用 全局搜索字段

  2. 规则 表中,执行以下操作之一

    • 选择规则上的 所有操作 菜单 (…​),然后选择 手动运行
    • 选择要手动运行的所有规则,选择 批量操作 菜单,然后选择 手动运行
  3. 指定手动运行的开始和结束时间。默认选择是当前日期,从三小时前开始。规则将在选定时间范围内搜索事件。

  4. 点击运行手动运行规则。

    手动运行可能会产生多个规则执行结果。这取决于手动运行的时间范围和规则的执行计划。

手动运行的详细信息显示在手动运行表中,该表位于执行结果选项卡上。您对手动运行或规则设置所做的更改将在当前运行完成后显示在“手动运行”表中。

请注意以下几点:

  • 在手动运行期间,不会激活规则操作。
  • 除阈值规则外,如果您在已由计划运行涵盖的时间范围内手动运行规则,则不会创建重复警报。
  • 手动运行的优先级较低,并发性有限,这意味着完成时间可能更长。对于需要多次执行的规则,这一点尤其明显。

暂停规则操作

编辑

您可以暂停规则操作一段时间,而不是关闭规则以停止警报通知。当您暂停规则操作时,规则将继续按照其定义的计划运行,但不会执行任何操作或发送警报通知。

您可以暂时或无限期地暂停通知。暂停操作后,您可以取消或更改暂停状态的持续时间。您还可以计划和管理操作的定期停机时间。

您可以从已安装规则选项卡、规则详细信息页面或编辑规则时的操作选项卡暂停规则通知。

Rules snooze options

导出和导入规则

编辑

您可以将自定义检测规则导出到.ndjson文件,然后将其导入另一个Elastic Security环境。

您无法导出Elastic预构建规则,但可以复制预构建规则,然后导出复制的规则。

如果您尝试导出同时选择了预构建规则和自定义规则,则只会导出自定义规则。

.ndjson文件还包含与导出规则相关的任何操作、连接器和异常列表。但是,导出和导入规则时,其他配置项需要额外处理。

  • 数据视图:对于使用Kibana数据视图作为数据源的规则,导出的文件包含关联的data_view_id,但不包含任何其他数据视图配置。要在Kibana空间之间导出/导入,请首先使用已保存对象 UI将数据视图共享到目标空间。

    要导入到不同的Elastic Stack部署中,目标集群必须包含具有匹配数据视图 ID(在数据视图的高级设置中配置)的数据视图。或者,导入后,您可以手动重新配置规则以在目标系统中使用适当的数据视图。

  • 操作和连接器:规则操作和连接器包含在导出的文件中,但连接器的敏感信息(例如身份验证凭据)包含在内。导入检测规则后,必须重新添加缺少的连接器详细信息。

    您还可以使用Kibana的已保存对象 UI在导入检测规则之前导出和导入必要的连接器。

  • 值列表:用于规则异常的任何值列表包含在规则导出或导入中。使用管理值列表 UI分别导出和导入值列表。

导出和导入检测规则

  1. 在导航菜单中查找 检测规则 (SIEM),或使用 全局搜索字段

  2. 导出规则

    1. 在“规则”表中,选择要导出的规则。
    2. 选择批量操作导出,然后保存导出的文件。

  3. 导入规则

    要导入包含操作的规则,您至少需要Action and Connectors功能的读取权限。要覆盖或添加新的连接器,您需要Action and Connectors功能的全部权限。要导入不包含操作的规则,您不需要Actions and Connectors权限。有关详细信息,请参阅启用和访问检测

    1. 点击导入规则

    2. 拖放包含检测规则的文件。

      导入的规则必须为.ndjson文件。

    3. (可选) 选择使用冲突的“rule_id”覆盖现有检测规则,如果现有规则与导入文件中的任何规则的rule_id值匹配,则更新现有规则。与规则一起包含的配置数据(例如操作)也会被覆盖。
    4. (可选) 选择使用冲突的“list_id”覆盖现有异常列表,如果现有异常列表与导入文件的异常列表具有匹配的list_id值,则替换现有异常列表。
    5. (可选) 选择使用冲突的操作“id”覆盖现有连接器,如果现有连接器与导入文件中的任何规则操作的action id值匹配,则更新现有连接器。与操作一起包含的配置数据也会被覆盖。
    6. 点击导入规则
    7. (可选) 如果导入后连接器缺少敏感信息,则会显示警告,并提示您修复连接器。在警告中,点击转到连接器。在“连接器”页面上,找到需要更新的连接器,点击修复,然后添加必要的详细信息。

确认规则先决条件

编辑

许多检测规则都设计用于与特定的Elastic 集成和数据字段一起使用。这些先决条件在规则详细信息页面的相关集成必需字段中进行了标识。相关集成还显示每个集成的安装状态,并包含用于安装和配置列出集成的链接。

此外,“设置指南”部分提供了有关设置规则要求的指导。

Rule details page with Related integrations

您还可以在已安装规则规则监控表中检查规则的相关集成。点击集成徽章可在弹出窗口中显示相关集成。

Rules table with related integrations popup

您可以隐藏规则表中的集成徽章。为此,请关闭securitySolution:showRelatedIntegrations 高级设置

« 安装和管理 Elastic 预设规则 监控和排查规则执行 »