关于检测规则
编辑关于检测规则编辑
规则会定期运行,并搜索满足其条件的源事件、匹配项、序列或机器学习作业异常结果。当满足规则的条件时,就会创建检测警报。
规则类型编辑
您可以创建以下类型的规则
- 自定义查询:基于查询的规则,它会搜索定义的索引,并在一个或多个文档匹配规则的查询时创建警报。
-
机器学习:机器学习规则,当机器学习作业发现超过定义阈值的异常时,它会创建警报(请参阅异常检测)。
对于机器学习规则,必须运行关联的机器学习作业。如果机器学习作业未运行,则该规则将
- 如果发现得分高于定义阈值的现有异常结果,则运行并创建警报。
- 发出错误,说明在规则执行时机器学习作业未运行。
-
阈值:搜索定义的索引,并在单个执行期间指定字段的值出现次数符合阈值时创建检测警报。当多个值符合阈值时,将为每个值生成警报。
例如,如果阈值
字段为source.ip,并且其值为10,则会为出现在规则的搜索结果中至少 10 次的每个源 IP 地址生成警报。 - 事件关联:搜索定义的索引,并在结果匹配事件查询语言 (EQL)查询时创建警报。
-
指标匹配:当 Elastic 安全索引字段值与指定指标索引模式中定义的字段值匹配时创建警报。例如,您可以为 IP 地址创建一个指标索引,并使用此索引在事件的
destination.ip等于索引中的值时创建警报。指标索引字段映射应符合ECS 标准。有关创建 Elasticsearch 索引和字段类型的详细信息,请参阅为某些文档编制索引、创建索引 API和字段数据类型。如果您的指标采用标准文件格式(例如 CSV 或 JSON),您还可以使用机器学习数据可视化工具将您的指标导入指标索引。请参阅在 Kibana 中浏览数据并使用导入数据选项导入您的指标。您还可以使用值列表作为指标匹配索引。有关更多信息,请参阅本主题末尾的将值列表与指标匹配规则结合使用。
-
新术语:为在指定时间范围内源文档中检测到的每个新术语生成警报。您还可以检测最多三个新术语的组合(例如,之前从未一起观察到的
host.ip和host.id)。 -
ES|QL:搜索定义的索引,并在结果匹配Elasticsearch 查询语言 (ES|QL)查询时创建警报。
默认情况下,ES|QL 在 Kibana 中处于启用状态。可以使用高级设置中的
enableESQL设置将其禁用。这会从各种应用程序中隐藏 ES|QL 用户界面。但是,用户将能够访问现有的 ES|QL 项目,例如保存的搜索和可视化。
数据视图和索引模式编辑
创建规则时,您必须指定要为其运行规则的 Elasticsearch 索引模式,或选择数据视图字段作为数据源。如果选择数据视图,则可以选择与该数据视图关联的运行时字段来为规则创建查询(机器学习规则除外,它不使用查询)。
要访问数据视图,请确保您具有所需的权限。
通知编辑
对于预构建规则和自定义规则,您都可以在创建警报时发送通知。通知可以通过 Jira、Microsoft Teams、PagerDuty、Slack 等发送,并且可以在您创建或编辑规则时进行配置。
授权编辑
规则(包括所有后台检测及其生成的操作)都使用与最后编辑该规则的用户关联的API 密钥进行授权。创建或修改规则后,将为该用户生成一个 API 密钥,以捕获其权限的快照。然后,该 API 密钥用于运行与该规则关联的所有后台任务,包括检测检查和执行操作。
如果规则需要某些权限才能运行(例如索引权限),请记住,如果没有这些权限的用户更新了该规则,则该规则将不再起作用。
例外编辑
修改规则或管理检测警报时,您可以添加例外,以防止规则在满足其条件时生成警报。这对于减少噪音非常有用,例如防止来自受信任进程和内部 IP 地址的警报。
您可以将例外添加到自定义查询、机器学习、事件关联和指标匹配规则类型。