« 安装和管理 Elastic 预构建规则 监控和排查规则执行问题 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和告警

管理检测规则

编辑

管理检测规则

编辑

“规则”页面允许您查看和管理所有预构建和自定义检测规则。

The Rules page

在“规则”页面上,您可以:

对规则列表进行排序和筛选

编辑

要对规则列表进行排序,请单击任何列标题。要按降序排序,请再次单击列标题。

要筛选规则列表,请在搜索栏中输入搜索词,然后按 Return

  • 规则名称 - 输入规则名称中的一个词或短语。
  • 索引模式 - 输入索引模式(例如 filebeat-*)以显示使用该模式的所有规则。
  • MITRE ATT&CK 战术或技术 - 输入 MITRE ATT&CK 战术名称(例如 Defense Evasion)或技术编号(例如 TA0005)以显示所有相关的规则。

索引模式和 MITRE ATT&CK 战术与技术的搜索必须完全匹配,区分大小写,并且支持通配符。例如,要查找使用 filebeat-* 索引模式的规则,搜索词 filebeat-* 是有效的,但 filebeatfile* 是无效的,因为它们与索引模式不完全匹配。同样,MITRE ATT&CK 战术 Defense Evasion 是有效的,但 Defensedefense evasionDefense* 是无效的。

您还可以通过选择搜索栏旁边的 标签上次响应Elastic 规则自定义规则已启用规则已禁用规则筛选器来筛选规则列表。

当您离开并返回页面时,规则列表会保留您的排序和筛选设置。当您复制页面的 URL 并粘贴到另一个浏览器中时,这些设置也会被保留。选择表格上方的 清除筛选器 以恢复到默认视图。

检查规则的当前状态

编辑

上次响应列显示每个规则的当前状态,基于最近一次尝试运行该规则的情况。

  • 成功:规则完成了其定义的搜索。这并不一定意味着它生成了告警,只是意味着它在没有错误的情况下运行了。
  • 失败:规则遇到阻止其运行的错误。例如,机器学习规则,其对应的机器学习作业没有运行。
  • 警告:没有任何阻止规则运行,但它可能返回了意外的结果。例如,自定义查询规则尝试搜索在 Elasticsearch 中找不到的索引模式。

对于机器学习规则,如果所需的机器学习作业未运行,则此列中还会出现指示器图标 (规则表格中的错误图标)。单击该图标以列出受影响的作业,然后单击 访问规则详情页面进行调查 以打开规则的详细信息页面,您可以在其中启动机器学习作业。

修改现有规则设置

编辑

您可以编辑现有规则的设置,并且可以同时批量编辑多个规则的设置。

对于预构建的 Elastic 规则,您无法修改大多数设置。您只能编辑 规则操作添加例外。如果您尝试批量编辑同时选择了预构建规则和自定义规则,则该操作将仅影响可以修改的规则。

类似地,如果规则无法通过批量编辑进行修改,则会跳过这些规则。例如,如果您尝试将标签应用于已具有该标签的规则,或者将索引模式应用于使用数据视图的规则。

  1. 在导航菜单中查找 检测规则 (SIEM) 或使用全局搜索字段

  2. 执行以下操作之一:

    • 编辑单个规则:选择规则上的 所有操作 菜单 (…​),然后选择 编辑规则设置。将打开 编辑规则设置 视图,您可以在其中修改 规则的设置

    • 批量编辑多个规则:选择要编辑的规则,然后从 批量操作 菜单中选择一个操作。

      • 索引模式:添加或删除所有选定规则使用的索引模式。
      • 标签:在所有选定规则上添加或删除标签。
      • 自定义突出显示字段:在所有选定规则上添加自定义突出显示字段。您可以选择 默认 Elastic 安全索引中可用的任何字段,或者从其他索引输入字段名称。要覆盖规则的当前自定义突出显示字段集,请选择 覆盖所有选定规则的自定义突出显示字段 选项,然后单击 保存
      • 添加规则操作:在所有选定规则上添加 规则操作。如果您添加多个操作,则可以为每个操作指定操作频率。要覆盖现有操作的频率,请选择 覆盖所有选定规则操作 的选项。

      升级到 8.8 或更高版本后,在 8.7 或更早版本中创建的规则操作的频率设置将从规则级别移动到操作级别。操作计划保持不变,并将继续按其先前指定的频率运行(每次规则执行时每小时每日每周)。

    规则操作不会在 维护窗口 期间运行。它们将在维护窗口结束后恢复运行。

    • 更新规则计划:更新所有选定规则的 计划 和回溯时间。
    • 应用时间线模板:将指定 时间线模板 应用于选定的规则。您还可以选择 以从选定的规则中删除时间线模板。

  3. 在打开的弹出窗口中,更新规则设置和操作。

    暂停 规则操作,请转到 操作 选项卡,然后单击铃铛图标。

  4. 如果可用,请选择 覆盖所有选定的 x 以覆盖规则上的设置。例如,如果您要向多个规则添加标签,则选择 覆盖所有选定规则的标签 将删除所有规则的原始标签,并将其替换为您指定的标签。
  5. 单击 保存

管理规则

编辑

您可以复制、启用、禁用、删除规则以及暂停规则的操作。

复制具有例外的规则时,您可以选择复制规则及其例外(活动和已过期)、仅复制规则和活动例外或仅复制规则。如果您复制规则及其例外,则会创建例外的副本并将其添加到复制规则的 默认规则列表。如果原始规则使用了共享例外列表中的例外,则复制的规则将引用相同的共享例外列表。

  1. 在导航菜单中查找 检测规则 (SIEM) 或使用全局搜索字段

  2. 在“规则”表中,执行以下操作之一:

    • 选择规则上的 所有操作 菜单 (…​),然后选择一个操作。
    • 选择所有要修改的规则,然后从 批量操作 菜单中选择一个操作。
    • 要启用或禁用单个规则,请打开规则的 已启用 开关。
    • 暂停 规则的操作,请单击铃铛图标。

手动运行规则

编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如官方 GA 功能成熟,并且按原样提供,不提供任何保证。测试版功能不受官方 GA 功能支持 SLA 的约束。

在指定的时间段内手动运行已启用的规则,以进行测试或增加规则覆盖率。

在手动运行规则之前,请确保您正确理解并计划了规则依赖项。不正确的计划可能会导致规则结果不一致。

  1. 在导航菜单中查找 检测规则 (SIEM) 或使用全局搜索字段

  2. 规则 表中,执行以下操作之一:

    • 选择规则上的 所有操作 菜单 (…​),然后选择 手动运行
    • 选择所有要手动运行的规则,选择 批量操作 菜单,然后选择 手动运行
  3. 指定手动运行的开始和结束时间。默认选择为从过去三个小时开始的当天。规则将在选定的时间范围内搜索事件。

  4. 单击 运行 以手动运行规则。

    手动运行可以产生多个规则执行。这取决于手动运行的时间范围和规则的执行计划。

手动运行的详细信息显示在 执行结果 选项卡上的 手动运行 表格中。您对手动运行或规则设置所做的更改将在当前运行完成后显示在“手动运行”表格中。

请注意以下事项:

  • 手动运行时不会激活规则操作。
  • 除了阈值规则外,如果您在计划运行已覆盖的时间范围内手动运行规则,则不会创建重复的警报。
  • 手动运行以低优先级和有限的并发执行,这意味着它们可能需要更长的时间才能完成。对于需要多次执行的规则,这一点尤其明显。

暂停规则操作

编辑

您可以使用暂停规则操作功能,而不是关闭规则以停止警报通知,可以在指定的时间段内暂停规则操作。当您暂停规则操作时,该规则将继续按其定义的计划运行,但不会执行任何操作或发送警报通知。

您可以临时或无限期地暂停通知。暂停操作后,您可以取消或更改暂停状态的持续时间。您还可以为操作计划和管理重复停机时间。

您可以从已安装规则标签页、规则详情页面或编辑规则时的操作标签页暂停规则通知。

Rules snooze options

导出和导入规则

编辑

您可以将自定义检测规则导出到 .ndjson 文件,然后将其导入到另一个 Elastic Security 环境中。

您无法导出 Elastic 预构建规则,但是您可以复制预构建规则,然后导出复制的规则。

如果您尝试同时导出预构建规则和自定义规则,则只会导出自定义规则。

.ndjson 文件还包括与导出的规则相关的任何操作、连接器和例外列表。但是,在导出和导入规则时,其他配置项需要额外的处理。

  • 数据视图:对于使用 Kibana 数据视图作为数据源的规则,导出的文件包含关联的 data_view_id,但不包含任何其他数据视图配置。要在 Kibana 空间之间导出/导入,请首先使用已保存对象 UI 将数据视图共享到目标空间。

    要导入到不同的 Elastic Stack 部署,目标集群必须包含具有匹配数据视图 ID 的数据视图(在数据视图的高级设置中配置)。或者,导入后,您可以手动重新配置规则以在目标系统中使用适当的数据视图。

  • 操作和连接器:导出的文件中包含规则操作和连接器,但不包含有关连接器的敏感信息(例如身份验证凭据)。导入检测规则后,您必须重新添加缺少的连接器详细信息。

    您还可以使用 Kibana 的 已保存对象 UI 在导入检测规则之前导出和导入必要的连接器。

  • 值列表:用于规则例外的任何值列表都包含在规则导出或导入中。使用管理值列表 UI 单独导出和导入值列表。

导出和导入检测规则

  1. 在导航菜单中查找 检测规则 (SIEM) 或使用全局搜索字段

  2. 导出规则

    1. 在“规则”表中,选择要导出的规则。
    2. 选择批量操作导出,然后保存导出的文件。

  3. 导入规则

    要导入带有操作的规则,您至少需要具有操作和连接器功能的读取权限。要覆盖或添加新的连接器,您需要具有操作和连接器功能的全部权限。要导入不带操作的规则,您不需要操作和连接器权限。有关更多信息,请参阅启用和访问检测

    1. 点击导入规则

    2. 拖放包含检测规则的文件。

      导入的规则必须在 .ndjson 文件中。

    3. (可选)选择覆盖具有冲突“rule_id”的现有检测规则,以在现有规则与导入文件中任何规则的rule_id值匹配时更新现有规则。规则中包含的配置数据(例如操作)也会被覆盖。
    4. (可选)选择覆盖具有冲突“list_id”的现有例外列表,以在现有例外列表具有匹配的 list_id 值时,使用导入文件中的例外列表替换现有例外列表。
    5. (可选)选择覆盖具有冲突操作“id”的现有连接器,以在现有连接器与导入文件中任何规则操作的 action id 值匹配时更新现有连接器。操作中包含的配置数据也会被覆盖。
    6. 点击导入规则
    7. (可选)如果导入后连接器缺少敏感信息,则会显示警告,并提示您修复连接器。在警告中,单击转到连接器。在“连接器”页面上,找到需要更新的连接器,单击修复,然后添加必要的详细信息。

确认规则先决条件

编辑

许多检测规则都设计为与特定的Elastic 集成和数据字段一起使用。这些先决条件在规则详情页面的相关集成必需字段中标识。相关集成还会显示每个集成的安装状态,并包含用于安装和配置列出的集成的链接。

此外,设置指南部分提供了有关设置规则要求的指导。

Rule details page with Related integrations

您还可以在已安装规则规则监控表中检查规则的相关集成。单击集成徽章以在弹出窗口中显示相关集成。

Rules table with related integrations popup

您可以隐藏规则表中的集成徽章。为此,请关闭 securitySolution:showRelatedIntegrations 高级设置

« 安装和管理 Elastic 预构建规则 监控和排查规则执行问题 »