创建和管理值列表
编辑创建和管理值列表
编辑值列表包含相同 Elasticsearch 数据类型(例如 IP 地址)的多个值,用于确定异常何时阻止生成警报。您可以使用值列表为检测规则定义异常;但是,您不能使用值列表来定义端点规则异常。
值列表是具有相同 Elasticsearch 数据类型 的项目的列表。您可以使用以下类型创建值列表
-
Keywords(许多 ECS 字段 都是关键字) -
IP 地址 -
IP 范围 -
文本
创建值列表后,您可以使用 is in list 和 is not in list 运算符来 定义异常。
您还可以将值列表用作创建指标匹配规则时的 指标匹配索引。
创建值列表
编辑为规则异常创建值列表时,请注意列表的大小和数据类型。所有规则类型都支持值列表异常,但极其庞大的列表或某些数据类型存在限制。
自定义查询、机器学习和指标匹配规则支持以下值列表类型和大小
- 关键字 或 IP 地址 列表类型,包含超过 65,536 个值
-
IP 范围 列表类型,包含超过 200 个短划线表示法值(例如,
127.0.0.1-127.0.0.4是一个值)或超过 65,536 个 CIDR 表示法值
要创建值列表,请执行以下操作
-
准备一个包含所有要用于从单个列表确定异常的值的
txt或csv文件。如果使用txt文件,则换行符用作分隔符。- 文件中的所有值必须为相同 Elasticsearch 类型。
- 值列表不支持通配符。值必须是字面值。
- 最大接受的文件大小为 900 万字节。
- 在导航菜单中找到 检测规则 (SIEM) 或使用 全局搜索字段。
-
点击 管理值列表。将打开 管理值列表 窗口。
- 从 值列表类型 下拉菜单中选择列表类型(关键字、IP 地址、IP 范围 或 文本)。
- 拖动或选择包含值的
csv或txt文件。 - 点击 导入值列表。
如果导入的文件名已存在,则不会创建新列表。而是将导入的值添加到现有列表中。
管理值列表
编辑您可以编辑、删除或导出现有值列表。
编辑值列表
编辑- 在导航菜单中找到 检测规则 (SIEM) 或使用 全局搜索字段。
- 点击 管理值列表。将打开 管理值列表 窗口。
- 在 值列表 表格中,点击要编辑的值列表。
-
执行以下任一操作
-
筛选列表中的项目:使用 KQL 搜索栏查找列表中的值。根据列表的类型,您可以按
keyword、ip_range、ip或text字段进行筛选。例如,要筛选值列表(keyword类型)中的 Gmail 地址,请在搜索栏中输入keyword:*gmail.com。您还可以按
updated_by字段(例如,updated_by:testuser)或updated at字段(例如,updated_at < now)进行筛选。 - 向列表中添加单个项目:点击 创建列表项,输入值,然后点击 添加列表项。
-
批量上传列表项:拖动或选择包含要添加的值的
csv或txt文件,然后点击 上传。 -
编辑值:在“值”列中,转到要编辑的值并点击 编辑 按钮 (
)。编辑完成后,点击 保存 按钮 (
) 保存更改。点击 取消 按钮 (
) 撤消更改。 -
删除值:点击 删除值 按钮 (
) 从列表中删除值。
-
您还可以在创建和管理使用值列表的异常时编辑值列表。
导出或删除值列表
编辑- 在导航菜单中找到 检测规则 (SIEM) 或使用 全局搜索字段。
- 点击 管理值列表。将打开 管理值列表 窗口。
-
在 值列表 表格中,您可以
- 点击 导出值列表 按钮 (
) 导出值列表。 -
点击 删除值列表 按钮 (
) 删除值列表。
- 点击 导出值列表 按钮 (