抑制检测告警
编辑抑制检测告警
编辑告警抑制允许您减少由以下检测规则类型创建的重复或重复的检测告警数量
通常,当规则重复满足其条件时,它会创建多个告警,每次满足规则条件时都会创建一个告警。配置告警抑制后,重复的合格事件将被分组,并且每个组仅创建一个告警。根据规则类型,您可以配置告警抑制,以便在每次规则运行时创建告警,或者在指定的时间窗口内创建一次告警。您还可以指定多个字段,以按值的唯一组合对事件进行分组。
当启用告警抑制创建检测告警时,Elastic Security 应用程序会在告警表和告警详细信息浮出层中显示多个指示器。您可以通过在时间线中调查告警来查看与被抑制的告警关联的原始事件。
告警抑制不适用于 Elastic 预构建规则。但是,如果您想抑制预构建规则的告警,您可以复制该规则,然后在复制的规则上配置告警抑制。
配置告警抑制
编辑您可以在创建或编辑支持的规则类型时配置告警抑制。有关创建自定义查询、阈值、事件关联、新术语、ES|QL 或机器学习规则的详细说明,请参阅文档。
-
当配置规则类型时(新规则的定义规则步骤,或现有规则的定义选项卡),请指定如何对告警抑制的事件进行分组
- 自定义查询、指标匹配、阈值、事件关联(仅限非序列查询)、新术语、机器学习和 ES|QL 规则:在按以下内容抑制告警中,输入 1-3 个字段名称,以按字段的值对事件进行分组。
- 阈值规则:在按以下内容分组中,最多输入 3 个字段名称,以按字段的值对事件进行分组,或将设置保留为空,以将所有符合条件的事件分组在一起。
如果您指定具有多个值的字段,则会按如下方式处理具有该字段的告警
-
自定义查询或阈值规则:将为每个值创建一组告警。例如,如果您按
destination.ip为[127.0.0.1, 127.0.0.2, 127.0.0.3]抑制告警,则将分别为127.0.0.1、127.0.0.2和127.0.0.3的每个值单独抑制告警。 -
指标匹配、事件关联(仅限非序列查询)、新术语、ES|QL 或机器学习规则:具有指定字段名称和相同数组值的告警将分组在一起。例如,如果您按
destination.ip为[127.0.0.1, 127.0.0.2, 127.0.0.3]抑制告警,则将具有整个数组的告警分组,并且仅为该组创建一个告警。
-
如果可用,请选择创建重复事件告警的频率
自定义查询、指标匹配、事件关联、新术语、ES|QL 和机器学习规则都可以使用这两个选项。阈值规则仅具有每个时间段选项。
- 每次规则执行:每次规则运行并满足其条件时都会创建一个告警。
-
每个时间段:对于在指定时间窗口内发生的所有符合条件的事件,创建一个告警,该时间窗口从事件首次满足规则条件并创建告警时开始。
例如,如果规则每 5 分钟运行一次,但您不需要如此频繁的告警,则可以将抑制时间段设置为更长的时间,例如 1 小时。如果规则满足其条件,则会在该时间创建告警,并且在接下来的一个小时内,它将抑制任何后续符合条件的事件。
-
在如果缺少抑制字段下,选择如何处理缺少抑制字段的事件(按以下内容抑制告警中的一个或多个字段不存在的事件)
这些选项不适用于阈值规则。
-
抑制和分组缺少字段的事件告警:为每个缺少字段的事件组创建一个告警。缺失的字段会获得一个
null值,该值用于分组和抑制告警。 - 不要抑制缺少字段的事件告警:为每个匹配的事件创建一个单独的告警。这基本上回退到为缺少抑制字段的事件创建正常告警。
-
抑制和分组缺少字段的事件告警:为每个缺少字段的事件组创建一个告警。缺失的字段会获得一个
- 配置其他规则设置,然后保存并启用该规则。
- 在保存规则之前,使用规则预览来可视化告警抑制如何根据历史数据影响创建的告警。
- 如果在启用抑制的情况下规则超时,请尝试缩短规则的回溯时间或关闭抑制以提高规则的性能。
确认被抑制的告警
编辑Elastic Security 应用程序会显示多个指示器,表明是否启用了告警抑制创建检测告警,以及抑制了多少个重复告警。
将告警移至已关闭状态后,它将不再抑制新的告警。为了防止中断或抑制的意外更改,请避免在抑制间隔结束之前关闭告警。
-
告警表 — 规则列中的图标。将鼠标悬停以显示被抑制的告警数量
-
告警表 — 被抑制的告警计数列。选择字段以打开字段浏览器,然后将
kibana.alert.suppression.docs_count添加到表中。
-
告警详细信息浮出层 — 见解 → 关联部分
调查被抑制告警的事件
编辑通过告警抑制,不会为分组的源事件创建检测告警,但您仍然可以检索事件以进行进一步分析或调查。执行以下操作之一以打开时间线,其中包含与创建的告警和被抑制的告警关联的原始事件
-
告警表 — 在操作列中选择在时间线中调查。
- 告警详细信息浮出层 — 选择采取操作 → 在时间线中调查。