› ›

调整检测规则

使用 Elastic Security 应用程序，您可以调整预构建和自定义检测规则，以优化告警生成。为了减少噪音，您可以：

有关针对特定类别调整规则的详细信息：

组织经常使用不常见和内部应用程序。有时，这些应用程序可能会触发不需要的告警。要阻止规则匹配应用程序，请为所需的应用程序添加例外。

例如，要防止不寻常的进程执行路径 - 备用数据流规则为名为myautomatedbuild的内部应用程序生成告警：

授权安全测试、系统工具、管理框架和管理活动可能会触发检测规则。这些合法活动包括：

要减少授权活动的噪音，您可以执行以下任何操作：

另一种有用的技术是将较低的风险评分分配给由授权活动触发的规则。这可以在保留可操作的告警的同时，使生成的告警远离高优先级流程。请按照以下步骤操作：

在添加例外之前，复制预构建规则。
向原始预构建规则添加例外，以排除相关的用户或进程名称（user.name is <user-name> 或 process.name is "process-name"）。
编辑复制的规则，如下所示：
- 降低风险评分（编辑规则设置 → 关于选项卡）。
- 添加例外，使规则仅匹配原始预构建规则中排除的用户或进程名称。（user.name is not <user-name> 或 process.name is not <process-name>）。
单击添加规则例外。

正常用户活动有时可能会触发以下一个或多个规则：

虽然可以根据需要调整所有规则，但在向这些规则添加例外时要小心。例外可能会导致未检测到的客户端执行，或者持久性或恶意软件威胁被忽视。

这些规则可能产生噪音的情况包括：

在这些情况下，可以使用相关的 process.name、user.name 和 host.name 条件向规则添加例外。此外，您可以创建具有较低风险评分的重复规则。

正常网络行为的定义在不同的组织之间差异很大。不同的网络符合不同的安全策略、标准和法规。当正常网络活动触发告警时，可以禁用或修改网络规则。例如：

要排除特定源，请添加包含相关 IP 地址的 source.ip 例外，以及包含相关端口号的 destination.port 例外 (source.ip is 196.1.0.12 和 destination.port is 445)。
要排除整个子网的源网络流量，请添加包含相关 CIDR 表示法的 source.ip 例外 (source.ip is 192.168.0.0/16)。
要排除特定目标端口的目标 IP，请添加包含 IP 地址的 destination.ip 例外，以及包含端口号的 destination.port 例外 (destination.ip is 38.160.150.31 和 destination.port is 445)。
要排除特定目标端口的目标子网，请使用 CIDR 表示法添加 destination.ip 例外，以及添加包含端口号的 ‘destination.port’ 例外 (destination.ip is 172.16.0.0/12 和 destination.port is 445)。

请按照以下步骤调整指标匹配规则：

在指标索引查询中指定详细的查询。指标索引查询的结果由检测引擎用于查询规则定义索引模式中指定的索引。使用无查询或通配符 *** 查询可能会导致您的规则执行非常大的查询。
将规则的额外回溯时间限制为尽可能短的时间，并且不超过 24 小时。
通过将规则安排为以一小时或更长的间隔运行，避免集群性能问题。例如，避免将指标匹配规则安排为每五分钟检查一次指标。

Elastic Security 对指标匹配规则提供有限的支持。有关详细信息，请访问支持限制。

在基于云的组织中，远程工作人员有时通过互联网访问服务。家庭网络的安全策略可能与托管企业网络的安全策略不同，可能需要调整这些规则以减少来自合法管理活动的噪音。

如果您的组织分布广泛，并且员工经常出差，请使用 windows_anomalous_user_name_ecs、linux_anomalous_user_name_ecs 和 suspicious_login_activity_ecs 机器学习作业来检测可疑的身份验证活动。