优化异常结果
编辑优化异常结果
编辑为了更清晰地了解真正的威胁,您可以调整异常结果。以下步骤有助于减少误报的数量
过滤掉来自罕见应用程序和进程的异常
编辑当异常包括来自已知进程(仅偶尔运行)的结果时,您可以过滤掉不需要的结果。
例如,要过滤掉名为 maintenanceservice.exe 的维护进程(仅偶尔执行)的结果,您需要
创建过滤器列表
编辑- 在导航菜单中或使用全局搜索字段查找Machine Learning。
- 在异常检测下,选择设置。
-
单击过滤器列表,然后单击新建。
将显示创建新的过滤器列表窗格。
- 输入过滤器列表 ID。
- 输入过滤器列表的描述(可选)。
- 单击添加项目。
-
在项目文本框中,输入您要过滤掉异常结果的进程名称(在我们的示例中为
maintenanceservice.exe)。
-
单击添加,然后单击保存。
新过滤器将出现在过滤器列表中,并且可以添加到相关作业中。
将过滤器添加到相关作业
编辑- 在导航菜单中查找Machine Learning。
- 在异常检测下,选择异常浏览器。
- 导航到需要过滤器的作业结果。如果作业结果未列出,请单击编辑作业选择并选择相关作业。
-
在操作列中,单击齿轮图标,然后选择配置规则。
将显示创建规则窗口。
-
选择
- 添加过滤器列表以限制规则的应用范围.
- 相关检测器的 WHEN 语句(在我们的示例中为
process.name)。 - IS IN 语句。
-
您在创建过滤器列表过程中创建的过滤器。
有关更多信息,请参阅使用自定义规则自定义检测器。
- 单击保存。
对规则的更改仅影响新结果。在添加过滤器之前由作业发现的所有异常仍然会显示。
克隆并重新运行作业
编辑如果要删除先前检测到的所有进程结果,则必须克隆并运行克隆的作业。
运行克隆的作业可能需要一些时间。仅在完成所有作业规则更改后才运行作业。
- 在导航菜单中查找Machine Learning。
- 在异常检测下,选择作业。
- 导航到您为其配置规则的作业。
- (可选)展开作业行,然后单击JSON,以验证配置的过滤器是否出现在 JSON 代码中的
custom rules下。 -
在操作列中,单击更多(三个点)图标,然后选择克隆作业。
将显示配置数据馈送页面。
- 单击数据预览,并检查数据是否显示无误。
- 单击下一步,直到显示作业详情页面。
-
为克隆的作业输入一个作业 ID,以指示它是原始作业的迭代版本。例如,在原始作业名称后附加一个数字或用户名,例如
windows-rare-network-process-2。
- 单击下一步并检查作业是否验证无误。您可以忽略有关多个影响因素的警告。
-
单击下一步,然后单击创建作业。
将显示开始 <作业名称>窗口。
- 选择作业将从哪个时间点开始分析异常。
-
单击开始。
稍后,结果将开始出现在异常浏览器页面上。
为作业定义异常阈值
编辑某些作业使用高计数函数来查找进程事件中不寻常的峰值。对于某些进程,活动爆发是正常的,例如在服务器群上运行的自动化和维护作业。但是,有时高增量事件计数不太可能是例行行为的结果。在这种情况下,您可以定义将高事件计数视为异常时的最小阈值。
根据您的异常检测结果,您可能需要为 packetbeat_dns_tunneling 作业设置最小事件计数阈值
- 在导航菜单中查找Machine Learning。
- 在异常检测下,选择异常浏览器。
- 导航到
packetbeat_dns_tunneling作业的作业结果。如果作业结果未列出,请单击编辑作业选择,然后选择packetbeat_dns_tunneling。 -
在操作列中,单击齿轮图标,然后选择配置规则。
将显示创建规则窗口。
-
选择添加规则应用时的数值条件和以下
when语句WHEN 实际值大于 <X>
其中
<X>是检测到异常的阈值。 - 单击保存。
- 要应用新阈值,请在异常检测作业页面上选择操作→开始数据馈送来重新运行作业。