关于检测规则
编辑关于检测规则
编辑规则会定期运行,并搜索满足其条件的源事件、匹配项、序列或机器学习作业异常结果。当满足规则的条件时,将创建检测警报。
规则类型
编辑您可以创建以下类型的规则:
- 自定义查询:基于查询的规则,它搜索定义的索引,并在一个或多个文档与规则的查询匹配时创建警报。
-
机器学习:机器学习规则,当机器学习作业发现高于定义的阈值的异常时,会创建警报(请参阅异常检测)。
对于机器学习规则,相关的机器学习作业必须正在运行。如果机器学习作业未运行,则该规则将:
- 如果发现现有异常结果的分数高于定义的阈值,则会运行并创建警报。
- 在规则执行时,会发出错误,说明机器学习作业未运行。
-
阈值:搜索定义的索引,并在单个执行期间,当指定字段的值出现的次数达到并满足阈值时,创建检测警报。当多个值满足阈值时,将为每个值生成警报。
例如,如果阈值
field是source.ip,并且其value是10,则对于规则搜索结果中至少出现 10 次的每个源 IP 地址,都会生成警报。 - 事件关联:搜索定义的索引,并在结果与 事件查询语言 (EQL) 查询匹配时创建警报。
-
指示器匹配:当 Elastic Security 索引字段值与指定的指示器索引模式中定义的字段值匹配时,创建警报。例如,您可以为 IP 地址创建一个指示器索引,并在事件的
destination.ip等于索引中的值时,使用此索引创建警报。指示器索引字段映射应符合 ECS 标准。有关创建 Elasticsearch 索引和字段类型的信息,请参阅索引一些文档、创建索引 API 和 字段数据类型。如果您的指示器采用标准文件格式(如 CSV 或 JSON),您还可以使用机器学习数据可视化工具将您的指示器导入到指示器索引中。请参阅在 Kibana 中探索数据并使用导入数据选项来导入您的指示器。您还可以将值列表用作指示器匹配索引。有关更多信息,请参阅本主题末尾的将值列表与指示器匹配规则结合使用。
-
新词条:为在指定时间范围内源文档中检测到的每个新词条生成警报。您还可以检测最多三个新词条的组合(例如,以前从未一起观察到的
host.ip和host.id)。 -
ES|QL:搜索定义的索引,并在结果与 Elasticsearch 查询语言 (ES|QL) 查询匹配时创建警报。
ES|QL 在 Kibana 中默认启用。可以使用高级设置中的
enableESQL设置将其禁用。这将隐藏各种应用程序中的 ES|QL 用户界面。但是,用户将能够访问现有的 ES|QL 项目,如已保存的搜索和可视化。
数据视图和索引模式
编辑创建规则时,您必须指定要运行该规则的 Elasticsearch 索引模式,或者选择一个数据视图字段作为数据源。如果选择数据视图,则可以选择与该数据视图关联的运行时字段来为规则创建查询(机器学习规则除外,它不使用查询)。
要访问数据视图,请确保您具有所需的权限。
通知
编辑对于预构建规则和自定义规则,您都可以在创建警报时发送通知。可以通过 Jira、Microsoft Teams、PagerDuty、Slack 等发送通知,并且可以在创建或编辑规则时配置通知。
授权
编辑规则,包括所有后台检测及其生成的操作,都使用与上次编辑规则的用户关联的 API 密钥进行授权。在创建或修改规则时,会为该用户生成一个 API 密钥,该密钥会捕获其权限的快照。然后,该 API 密钥用于运行与该规则关联的所有后台任务,包括检测检查和执行操作。
如果规则需要某些权限才能运行,例如索引权限,请记住,如果一个没有这些权限的用户更新了该规则,则该规则将不再起作用。
异常
编辑在修改规则或管理检测警报时,您可以添加异常,以防止规则即使在其条件得到满足时也生成警报。这对于减少噪音非常有用,例如防止来自受信任的进程和内部 IP 地址的警报。
您可以将异常添加到自定义查询、机器学习、事件关联和指示器匹配规则类型。