› ›

异常 API

异常与检测和端点规则相关联，用于防止规则在满足其他条件的情况下，根据传入事件生成警报。它们可以用于减少误报的数量，并防止受信任的进程和网络活动生成不必要的警报。

异常由以下部分组成：

异常容器：相关异常的容器。通常，单个异常容器包含与规则子集相关的所有异常项。例如，可以使用容器将与大量网络规则相关的网络异常分组在一起。然后，可以将该容器与所有相关规则关联。
异常项：用于防止规则生成警报的查询（字段、值和逻辑）。当异常项的查询评估为 true 时，该规则不会生成警报。

对于检测规则，您还可以使用列表来定义规则异常。列表包含相同 Elasticsearch 数据类型的多个值，例如 IP 地址，这些值用于确定何时异常阻止生成警报。

您不能将列表与端点规则异常一起使用。

只有异常容器可以与规则关联。您不能将异常项或列表容器直接与规则关联。要使用列表异常，请创建一个引用相关列表容器的异常项（请参阅此示例请求）。

下图表示规则、检测和列表之间的逻辑关系，并显示了同级实体之间使用的布尔运算符。

在开始使用使用值列表的异常之前，您必须为相关的 Kibana 空间创建 .lists 和 .items 数据流。要了解如何执行此操作，请转到列表索引端点。

创建这些数据流后，您的角色需要管理规则的权限。有关完整的要求列表，请参阅启用和访问检测。