› ›

事件过滤器

事件过滤器允许您过滤掉您不想存储在 Elasticsearch 中的端点事件，例如高容量事件。通过创建事件过滤器，您可以优化 Elasticsearch 中的存储。

事件过滤器不会降低主机上的 CPU 使用率；Elastic Endpoint 仍会监控事件以检测和预防可能的威胁，但不会将事件数据写入 Elasticsearch。要比较事件过滤器与其他端点工件，请参阅优化 Elastic Defend。

由于事件过滤器会阻止事件流式传输到 Elasticsearch，请注意您设置的事件过滤条件以及任何现有的规则条件。如果重叠过多，规则的运行频率可能会低于指定频率，因此不会触发该规则的相应警报。这是事件过滤器的预期行为。

默认情况下，事件过滤器在运行 Elastic Defend 的所有主机上全局识别。如果您拥有 Platinum 或 Enterprise 订阅，您还可以将事件过滤器分配给特定的 Elastic Defend 集成策略，这将过滤分配给该策略的主机的端点事件。

从主机页面或 事件过滤器 页面创建事件过滤器。

执行以下操作之一
- 要从主机页面创建事件过滤器
  1. 选择事件选项卡以查看事件表。
  2. 找到要过滤的事件，单击 更多操作 菜单 (…)，然后选择 添加端点事件过滤器。
    
    由于您只能为端点事件创建过滤器，请务必过滤事件表以显示 Elastic Endpoint 生成的事件。
    例如，在 KQL 搜索栏中，输入以下查询以查找端点网络事件： event.dataset : endpoint.events.network。
- 要从 事件过滤器 页面创建事件过滤器
  1. 单击 添加事件过滤器，这将打开一个弹出窗口。
在 详细信息 部分填写以下字段
1. 名称：输入事件过滤器的名称。
2. 描述：输入过滤器描述（可选）。
在条件部分中，根据您用于创建过滤器的页面，修改预填充的条件或添加新条件，以定义 Elastic Security 如何过滤事件。使用以下设置
1. 选择操作系统：选择适当的操作系统。
2. 选择您要创建的事件过滤器类型： [8.15.0] 在 8.15.0 中添加。
  - 事件：创建一个可以匹配任何事件类型的通用事件过滤器。所有匹配的事件都将被排除。
  - 进程后代：指定一个进程，并抑制其后代进程的活动。将摄取来自匹配进程的事件，但将排除来自其后代进程的事件。
    
    此选项添加条件 event.category is process，以将过滤器缩小到进程类型事件。您可以添加更多条件来标识您想要排除其后代的进程。
3. 字段：选择一个字段来标识要过滤的事件。
4. 运算符：选择一个运算符来定义条件。可用选项为
  - 是
  - 不是
  - 是其中之一
  - 不是其中之一
  - 匹配 | 不匹配：允许您在 值 中使用通配符，例如 C:\path\*\app.exe。可用的通配符为 ?（匹配一个字符）和 *（匹配零个或多个字符）。
    
    在文件路径中使用通配符可能会影响性能。要使用通配符创建更高效的事件过滤器，请使用多个条件并使其尽可能具体。例如，使用 process.name 或 file.name 添加条件可以帮助限制通配符匹配的范围。
5. 值：输入与 字段 关联的值。要输入多个值（当使用 是其中之一 或 不是其中之一 时），输入每个值，然后按返回。
要定义多个条件，请单击 与 按钮并配置新条件。您还可以使用 添加嵌套条件 按钮添加嵌套条件。例如，上面图示的事件过滤器排除其 event.category 字段为 network 且其 process.executable 字段按指定值的事件。
在分配部分中选择一个选项，将事件过滤器分配给特定的集成策略
- 全局：将事件过滤器分配给 Elastic Defend 的所有集成策略。
- 按策略（仅限 Platinum 或 Enterprise 订阅）：将事件过滤器分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望过滤事件的每个策略。
  
  您也可以选择 按策略 选项，而不立即将策略分配给事件过滤器。例如，您可以这样做来创建和审查事件过滤器配置，然后再使用策略将它们投入使用。
如果您想提供有关事件过滤器的更多信息，请添加注释（可选）。
单击 添加事件过滤器。新过滤器将添加到 事件过滤器 列表中。