添加和管理例外
编辑添加和管理例外编辑
您可以从规则详细信息页面、警报表、警报详细信息弹出窗口或共享例外列表页面向规则添加例外。添加例外时,您还可以关闭符合例外条件的所有警报。
- 为确保成功应用例外,请确保为其查询定义的字段在其各自的索引中正确且一致地映射。有关支持的映射的更多信息,请参阅ECS。
-
向事件关联规则添加例外时要小心。例外将针对序列中的每个事件进行评估,如果例外与完成序列所需的任何事件匹配,则不会创建警报。
要从序列中的特定事件中排除值,请更新规则的 EQL 语句。例如
`sequence [file where file.extension == "exe" and file.name != "app-name.exe"] [process where true and process.name != "process-name.exe"]`
- 向指标匹配规则添加例外时要小心。例外将针对源索引和指标索引进行评估,因此如果例外与*任一*索引中的事件匹配,则不会生成警报。
向规则添加例外编辑
-
执行以下操作之一
-
要从规则详细信息页面添加例外,请执行以下操作
- 转到要向其添加例外的规则的规则详细信息页面(规则 → 检测规则 (SIEM) → *规则名称*)。
-
向下滚动规则详细信息页面,选择规则例外选项卡,然后单击添加规则例外。
-
要从警报表添加例外,请执行以下操作
- 转到警报。
- 向下滚动到警报表,转到要为其创建例外的警报,单击更多操作菜单(…),然后选择添加规则例外。
-
要从警报详细信息弹出窗口添加例外,请执行以下操作
- 转到警报。
- 单击警报表中的查看详细信息按钮。
- 在警报详细信息弹出窗口中,单击执行操作 → 添加规则例外。
-
要从共享例外列表页面添加例外,请执行以下操作
- 转到规则 → 共享例外列表。
- 单击创建共享例外列表 → 创建例外项。
-
- 在添加规则例外弹出窗口中,命名该例外。
-
添加定义例外的条件。当例外的查询评估为
true时,即使满足规则的条件,规则也不会生成警报。规则例外区分大小写,这意味着输入为大写字母或小写字母的任何字符都将被视为大小写敏感。如果您*不*希望将字段评估为区分大小写,则某些 ECS 字段具有
.caseless版本,您可以使用该版本。当您从警报创建新例外时,例外条件将自动填充相关的警报数据。来自自定义突出显示字段的数据将首先列出。描述自动生成的例外条件的注释也会添加到添加注释部分。
-
字段:选择一个字段以标识要过滤的事件。
对于存在冲突的字段,会显示警告。使用这些字段可能会导致意外的例外行为。有关更多信息,请参阅对类型冲突和未映射字段进行故障排除。
-
运算符:选择一个运算符来定义条件
-
is|is not- 必须与定义的值完全匹配。 -
is one of|is not one of- 匹配任何定义的值。 -
exists|does not exist- 该字段存在。 -
is in list|is not in list- 匹配值列表中的值。- 由值列表定义的例外必须在所有条件中使用
is in list或is not in list。 - 值列表不支持通配符。
- 如果由于大小或数据类型而无法使用值列表,则值菜单中将不提供该值列表。
- 由值列表定义的例外必须在所有条件中使用
-
matches|does not match- 允许您在值中使用通配符,例如C:\path\*\\app.exe。可用的通配符有?(匹配一个字符)和*(匹配零个或多个字符)。选择的字段数据类型必须是关键字、文本或通配符。某些字符必须使用反斜杠进行转义,例如
\\表示文字反斜杠,\*表示星号,\?表示问号。Windows 路径必须用双反斜杠分隔(例如,C:\\Windows\\explorer.exe),并且已经包含双反斜杠的路径可能需要为每个分隔符使用四个反斜杠。使用通配符可能会影响性能。要使用通配符创建更有效的例外,请使用多个条件并使它们尽可能具体。例如,使用
process.name或file.name添加条件可以帮助限制通配符匹配的范围。
-
-
值:输入与字段关联的值。要输入多个值(使用
is one of或is not one of时),请输入每个值,然后按回车键。is one of和is not one of运算符支持相同的区分大小写的。例如,如果要匹配值Windows和windows,请将两个值都添加到值字段中。在以下示例中,例外是从“规则”页面创建的,当
svchost.exe进程在主机名siem-kibana上运行时,该例外会阻止规则生成警报。
-
- 单击AND或OR以创建多个条件并定义它们之间的关系。
- 单击添加嵌套条件以使用嵌套字段创建条件。这仅适用于这些嵌套字段。对于所有其他字段,不应使用嵌套条件。
-
选择将例外添加到规则或共享例外列表。
如果您要从“共享例外列表”页面创建例外,则可以将该例外添加到多个规则。
如果共享例外列表不存在,则可以从“共享例外列表”页面创建一个。
- (可选)输入描述例外的注释。
- (可选)输入该例外的未来到期日期和时间。
-
选择以下警报操作之一
- 关闭此警报:添加例外时关闭警报。此选项仅在从警报表添加例外时可用。
- 关闭与此例外匹配且由此规则生成的所有警报:关闭与例外条件匹配且仅由当前规则生成的所有警报。
- 单击添加规则例外。
添加 Elastic Endpoint 例外编辑
与检测规则例外类似,您可以通过编辑 Endpoint Security 规则或通过将 Endpoint 代理例外添加为由 Endpoint Security 规则生成的警报的操作来添加它们。Elastic Endpoint 警报包含以下字段
-
kibana.alert.original_event.module determined:endpoint -
kibana.alert.original_event.kind:alert
您还可以将 Endpoint 例外添加到与 Elastic Endpoint 规则例外关联的规则。要在创建或编辑规则时关联规则,请选择Elastic Endpoint 例外选项。
Endpoint 例外将添加到 Endpoint Security 规则和主机上的 Elastic Endpoint。
添加到 Endpoint Security 规则的例外会影响从 Endpoint 代理发送的所有警报。请注意不要无意中阻止有用的 Endpoint 警报。
此外,要将 Endpoint 例外添加到 Endpoint Security 规则,必须在系统中生成至少一个 Endpoint Security 警报。对于非生产环境,如果不存在警报,则可以使用恶意软件仿真技术或工具(例如欧洲计算机防病毒研究所 (EICAR)提供的反恶意软件测试文件)来触发测试警报。
检测规则例外不支持二进制字段。
-
执行以下操作之一
-
要从规则详细信息页面添加 Endpoint 例外,请执行以下操作
- 转到规则详细信息页面(规则 → 检测规则 (SIEM)),然后搜索并选择 Elastic Endpoint Security规则。
- 向下滚动规则详细信息页面,选择Endpoint 例外选项卡,然后单击添加 Endpoint 例外。
-
要从警报表添加 Endpoint 例外,请执行以下操作
- 转到警报。
- 向下滚动到警报表,然后在 Elastic Endpoint 警报中,单击更多操作菜单(…),然后选择添加 Endpoint 例外。
-
要从“共享例外列表”页面添加 Endpoint 例外,请执行以下操作
- 转到规则 → 共享例外列表。
-
展开 Endpoint Security 例外列表或单击列表名称以打开列表的详细信息页面。接下来,单击添加 Endpoint 例外。
Endpoint Security 例外列表将自动创建。默认情况下,它与 Endpoint Security 规则和选择了Elastic Endpoint 例外选项的任何规则相关联。
此时将打开添加 Endpoint 例外弹出窗口。
-
-
如果需要,请修改条件。
规则例外区分大小写,这意味着输入为大写字母或小写字母的任何字符都将被视为大小写敏感。如果您*不*希望将字段评估为区分大小写,则某些 ECS 字段具有
.caseless版本,您可以使用该版本。- 冲突字段标有警告图标(
)。使用这些字段可能会导致意外的异常行为。有关更多信息,请参阅对类型冲突和未映射字段进行故障排除。 is one of和is not one of运算符支持相同的区分大小写的。例如,如果要匹配值Windows和windows,请将两个值都添加到值字段中。
- 冲突字段标有警告图标(
- (可选)为异常添加注释。
-
您可以选择以下任意一项
- 关闭此警报:添加例外时关闭警报。此选项仅在从警报表添加例外时可用。
- 关闭与此异常匹配且由此规则生成的所有警报:关闭与此异常条件匹配的所有警报。
-
点击添加端点异常。将为检测规则和 Elastic 端点创建异常。
对于大型部署中的主机,应用异常可能需要更长时间。
具有嵌套条件的异常编辑
某些端点对象包含嵌套字段,而确保排除正确字段的唯一方法是使用嵌套条件。例如 process.Ext 对象
{
"ancestry": [],
"code_signature": {
"trusted": true,
"subject_name": "LFC",
"exists": true,
"status": "trusted"
},
"user": "WDAGUtilityAccount",
"token": {
"elevation": true,
"integrity_level_name": "high",
"domain": "27FB305D-3838-4",
"user": "WDAGUtilityAccount",
"elevation_type": "default",
"sid": "S-1-5-21-2047949552-857980807-821054962-504"
}
}
-
Endpoint.policy.applied.artifacts.global.identifiers -
Endpoint.policy.applied.artifacts.user.identifiers -
Target.dll.Ext.code_signature -
Target.process.Ext.code_signature -
Target.process.Ext.token.privileges -
Target.process.parent.Ext.code_signature -
Target.process.thread.Ext.token.privileges -
dll.Ext.code_signature -
file.Ext.code_signature -
file.Ext.macro.errors -
file.Ext.macro.stream -
process.Ext.code_signature -
process.Ext.token.privileges -
process.parent.Ext.code_signature -
process.thread.Ext.token.privileges
嵌套条件示例编辑
创建一个排除所有 LFC 签名的可信任进程的异常
查看和管理异常编辑
要查看规则的异常,请打开规则的详细信息页面(规则 → 检测规则 (SIEM) → 规则名称),然后向下滚动并选择规则异常或端点异常选项卡。属于该规则的所有异常都将显示在一个列表中。您可以从列表中筛选、编辑和删除异常。您还可以在活动异常和已过期异常之间切换。
查找使用相同异常的规则编辑
要查找异常是否被其他规则使用,请选择规则异常或端点异常选项卡,导航到异常列表项,然后点击影响 X 条规则。
您对异常所做的更改也适用于使用该异常的其他规则。
