« 添加和管理异常 关于构建块规则 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和警报 规则异常

创建和管理共享异常列表

编辑

创建和管理共享异常列表

编辑

共享异常列表允许您将异常分组,然后将其应用于多个规则。使用“共享异常列表”页面设置共享异常列表。

在 8.5 及更早版本中创建的异常列表在 8.6 或更高版本中变为共享异常列表。您可以从“共享异常列表”页面访问所有共享异常列表。

Shared Exception Lists page

创建共享异常列表

编辑

设置共享异常列表以包含异常项

  1. 在导航菜单中或使用全局搜索字段找到共享异常列表页面。
  2. 点击创建共享异常列表创建共享列表
  3. 为共享异常列表命名。
  4. (可选) 提供描述。
  5. 点击创建共享异常列表

向共享异常列表添加异常项

编辑

添加异常项

  1. 在导航菜单中或使用全局搜索字段找到共享异常列表页面。

  2. 点击创建共享异常列表创建异常项

    您可以通过展开列表或查看其详细信息页面并点击创建规则异常来向空共享异常列表添加异常。创建异常后,您可以将共享异常列表与规则关联。请参阅将共享异常列表与规则关联以了解更多信息。

  3. 添加规则异常浮层中,为异常项命名并添加定义异常何时阻止警报的条件。当异常的查询条件满足时(查询计算结果为true),即使满足其他规则条件,规则也不会生成警报。

    1. 字段:选择一个字段来识别正在过滤的事件。

    2. 运算符:选择一个运算符来定义条件

      • is | is not — 必须与定义的值完全匹配。
      • is one of | is not one of — 匹配任何定义的值。
      • exists | does not exist — 字段存在。

      • is in list | is not in list — 匹配值列表中的值。

        • 由值列表定义的异常必须在所有条件中使用is in listis not in list
        • 值列表不支持通配符。
        • 如果由于大小或数据类型而无法使用值列表,则它在菜单中不可用。

      • matches | does not match — 允许您在中使用通配符,例如C:\path\*\app.exe。可用的通配符是?(匹配一个字符)和*(匹配零个或多个字符)。所选字段数据类型必须是关键字文本通配符

        使用通配符可能会影响性能。要使用通配符创建更有效的异常,请使用多个条件并使其尽可能具体。例如,添加使用process.namefile.name的条件可以帮助限制通配符匹配的范围。

    3. :输入与字段关联的值。要输入多个值(在使用is one ofis not one of时),输入每个值,然后按Return
  4. 点击ANDOR以创建多个条件并定义它们之间的关系。
  5. 点击添加嵌套条件以使用嵌套字段创建条件。这仅在这些嵌套字段的情况下才需要。对于所有其他字段,不应使用嵌套条件。

  6. 选择将异常添加到共享异常列表。

    如果共享异常列表不存在,则此选项不可用。此外,您无法从此 UI 将端点异常项添加到端点安全异常列表。请参阅添加 Elastic Endpoint 异常以获取有关创建端点异常的说明。

  7. (可选) 输入描述异常的注释。
  8. (可选) 为异常输入未来的到期日期和时间。
  9. (可选)关闭与此异常匹配且由此规则生成的全部警报:关闭与异常条件匹配且仅由当前规则生成的全部警报。
  10. 点击添加规则异常

将共享异常列表与规则关联

编辑

将共享异常列表应用于规则

  1. 在导航菜单中或使用全局搜索字段找到共享异常列表页面。

  2. 执行以下操作之一

    • 选择共享异常列表的名称以打开其详细信息页面,然后点击链接规则
    • 找到要分配给规则的共享异常列表,然后从更多操作菜单(…​)中选择链接规则

  3. 点击链接列中的切换按钮以选择要链接到异常列表的规则。

    如果您知道规则的名称,则可以将其输入搜索栏。

  4. 点击保存

  5. (可选) 要验证共享异常列表是否已添加到您选择的规则中

    1. 打开规则的详细信息页面(规则 → 检测规则 (SIEM) → 规则名称)。
    2. 向下滚动页面,然后选择规则异常选项卡。

    3. 导航到包含在共享异常列表中的异常项。点击影响共享列表链接以查看关联的共享异常列表。

      Associated shared exceptions

查看和过滤异常列表

编辑

“共享异常列表”页面在单个行上显示每个共享异常列表,最近创建的列表位于顶部。每行包含有关共享异常列表的以下详细信息

  • 共享异常列表名称
  • 列表创建日期
  • 创建列表的用户的用户名
  • 共享异常列表中的异常项数
  • 共享异常列表影响的规则数

要查看共享异常列表中异常项的详细信息,请展开一行。

Associated shared exceptions

要按特定值过滤异常列表,请在搜索栏中输入一个值。您可以搜索以下属性

  • 名称
  • list_id
  • created_by

如果未选择任何属性,则应用程序默认搜索列表名称。

管理共享异常列表

编辑

您可以从“共享异常列表”页面编辑、导出、导入、复制和删除共享异常列表。

在 8.5 及更早版本中创建的异常列表在 8.6 或更高版本中变为共享异常列表。您可以从“共享异常列表”页面访问所有共享异常列表。

要导出或删除异常列表,请选择相应列表上的所需操作按钮。请注意以下事项

  • 异常列表导出为.ndjson文件。
  • 异常列表也作为任何已导出且配置了异常的检测规则的一部分导出。请参阅导出和导入规则
  • 如果异常列表链接到任何规则,您将收到一条警告,要求您确认删除。
  • 如果异常列表包含已过期的异常,您可以选择是否将其包含在导出的文件中。
Detail of Exception lists table with export and delete buttons highlighted
« 添加和管理异常 关于构建块规则 »