« MITRE ATT&CK® 覆盖范围 可视化检测警报 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报

管理检测警报

编辑

管理检测警报编辑

警报页面显示所有检测警报。在警报页面,您可以筛选警报、查看警报趋势、更改警报状态、将警报添加到案例以及开始调查和分析警报。

Alerts page overview

查看和筛选检测警报编辑

警报页面提供了多种方法来组织和分类检测警报,以便您调查可疑事件。您可以

  • 查看警报的详细信息。从警报表中点击 查看详细信息 按钮以打开警报详细信息浮动窗口。在 查看检测警报详细信息 中了解更多信息。

    View details button
  • 查看创建警报的规则。点击 规则 列中的名称以打开规则的详细信息页面。
  • 查看与警报关联的主机和用户的详细信息。在警报表中,点击主机名称以打开 主机详细信息浮动窗口,或点击用户名以打开 用户详细信息浮动窗口
  • 在 KQL 栏中筛选特定规则(例如,kibana.alert.rule.name :"SSH (Secure Shell) from the Internet")。KQL 自动完成功能适用于 .alerts-security.alerts-* 索引。
  • 使用日期和时间过滤器定义特定时间范围。默认情况下,此过滤器设置为搜索过去 24 小时的数据。
  • 使用下拉过滤器控件最多按四个字段筛选警报。默认情况下,您可以按 状态严重性用户主机 筛选警报,您还可以 编辑控件 以使用其他字段。
  • 在可视化部分按特定字段可视化和分组警报。使用左侧的按钮选择视图类型(摘要趋势计数树形图),并使用右侧的菜单选择用于分组警报的 ECS 字段。有关每个视图类型的更多信息,请参阅 可视化检测警报

  • 将鼠标悬停在某个值上以显示可用的 内联操作,例如 筛选进筛选出添加到时间线。点击展开图标以查看更多选项,包括 显示前 x复制到剪贴板。可用的选项根据数据类型而有所不同。

    Inline additional actions menu

  • 筛选警报结果以包括构建块警报或仅显示来自指标匹配规则的警报,方法是选择 附加过滤器 下拉菜单。默认情况下,构建块警报 会从概述和警报页面中排除。您可以在警报页面上选择包含构建块警报,这将扩展警报数量。

    当更新警报结果以包括构建块警报时,安全应用程序将在 .alerts-security.alerts-<Kibana space> 索引中搜索 kibana.alert.building_block_type 字段。当查找来自指标匹配规则的警报时,应用程序将在同一个索引中搜索 kibana.alert.rule.type:'threat_match'

    Alerts table with Additional filters menu highlighted
  • 查看由特定规则生成的检测警报。转到 规则检测规则 (SIEM),然后在表中选择规则名称。规则详细信息页面将显示规则设置的综合视图,趋势直方图下的警报表将显示与规则关联的警报,包括来自该规则的任何先前或已删除修订版的警报。

编辑下拉过滤器控件编辑

默认情况下,警报页面上的下拉控件按 状态严重性用户主机 筛选警报。您可以编辑它们以按不同的字段筛选警报,以及删除、添加和重新排序它们,如果您希望使用不同的顺序。

Alerts page with drop-down controls highlighted
  • 警报页面上最多可以有四个控件。
  • 您不能删除 状态 控件。
  • 如果您对控件进行了任何更改,则必须保存待处理的更改,以便它们持久化。
  • 保存的更改将存储在浏览器的本地存储中,而不是您的 用户配置文件 中。如果您清除浏览器的存储或从不同的浏览器登录您的用户配置文件,您将丢失自定义设置。
  1. 点击控件旁边的三个点图标 (三个点图标),然后选择 编辑控件

  2. 执行以下任一操作

    • 要重新排序控件,点击并拖动控件的句柄 (控件句柄).
    • 要删除控件,将鼠标悬停在该控件上,然后选择 删除控件 (红色 X 图标).
    • 要编辑控件,将鼠标悬停在该控件上,然后选择 编辑控件 (编辑图标).
    • 要添加新控件,点击 添加控件 (添加图标). 如果您已经有四个控件,则必须先删除一个,才能为新控件腾出空间。

  3. 如果您正在编辑或添加控件,请在打开的配置浮动窗口中执行以下操作

    1. 字段 列表中,选择过滤器的字段。控件类型 会自动应用于您选择的字段。
    2. 输入 标签 以标识控件。
    3. 点击 保存并关闭
  4. 点击 保存待处理的更改 (保存图标).

分组警报编辑

您可以按规则名称、用户名、主机名称、源 IP 地址或任何其他字段分组警报。选择 按以下方式分组警报,然后选择选项或 自定义字段 以指定其他字段。

最多选择三个字段来分组警报。这些组将按您选择的顺序嵌套,并且嵌套顺序将显示在表上方的 按以下方式分组警报 旁边。

Alerts table with Group alerts by drop-down

每个组将显示信息,例如警报的严重性以及组中包含多少用户、主机和警报。显示的信息将根据所选字段而有所不同。

要与分组警报交互,请执行以下操作

  • 选择 执行操作 菜单,对组中的所有警报执行批量操作,例如 更改它们的狀態

  • 点击组的名称或展开图标 (分组警报展开图标) 以显示该组中的警报。您可以像其他任何警报表一样,筛选和自定义此视图。

    Expanded alert group with alerts table

自定义警报表编辑

使用警报表左上角的工具栏按钮来自定义要显示的列

  • : 重新排序列。
  • x 个字段排序: 按一个或多个列对表进行排序。
  • 字段: 选择要显示在表中的字段。您还可以添加 运行时字段 到检测警报,并在警报表中显示它们。

点击右上角的 全屏 按钮以全屏模式查看表。

Alerts table with toolbar buttons highlighted

使用警报表右上角的视图选项下拉菜单来控制警报的显示方式

  • 网格视图: 以传统表格视图显示警报,每个字段都有一个列
  • 事件渲染视图: 以描述性事件流显示警报,其中包含有关事件的相关详细信息和上下文。
Alerts table with the Event rendered view enabled

使用网格视图时,您可以通过点击 原因 列中的展开图标来查看特定警报的警报渲染原因语句和事件渲染。某些事件没有事件渲染。

对警报执行操作编辑

从警报表或警报详细信息浮动窗口,您可以

更改警报状态编辑

您可以设置警报状态,以指示是否需要对其进行调查 (打开)、正在积极调查 (已确认) 或已解决 (关闭)。默认情况下,警报页面将显示打开的警报。要筛选 已确认关闭 的警报,请使用警报页面顶部的 状态 下拉过滤器。

要更改警报状态,请执行以下操作之一

  • 在警报表中,点击警报行的 更多操作 (…​),然后选择状态。

  • 在警报表中,选择要更改的警报,点击表左上角的 已选择 x 个警报,然后选择状态。

    Bulk action menu with multiple alerts selected
  • [beta] 此功能处于测试阶段,可能会发生变化。其设计和代码尚未成熟,与正式 GA 功能相比尚不完善,按原样提供,不提供任何担保。测试版功能不受正式 GA 功能的支持 SLA 的约束。 要批量更改 分组警报 的状态,请为该组选择 执行操作 菜单,然后选择一个状态。
  • 在警报的详细信息弹出窗口中,单击 执行操作 并选择一个状态。

应用和过滤警报标签edit

使用警报标签将相关警报整理到您可以过滤和分组的类别中。例如,使用 False Positive 警报标签将一组警报标记为误报。然后,通过在 KQL 栏中输入 kibana.alert.workflow_tags : "False Positive" 查询来搜索它们。或者,使用警报表的 下拉过滤器 来过滤标记的警报。

您可以通过更新 securitySolution:alertTags 高级设置来管理警报标签选项。有关更多信息,请参阅 管理警报标签选项

要在警报表中显示警报标签,请单击 字段 并添加 kibana.alert.workflow_tags 字段。

要在单个警报上应用或删除警报标签,请执行以下操作之一

  • 在警报表中,单击警报行的 更多操作 (…​),然后单击 应用警报标签。选择或取消选择标签,然后单击 应用标签
  • 在警报的详细信息弹出窗口中,单击 执行操作 → 应用警报标签。选择或取消选择标签,然后单击 应用标签

要在多个警报上应用或删除警报标签,请选择要更改的警报,然后单击表格左上角的 已选 x 个警报。单击 应用警报标签,选择或取消选择标签,然后单击 应用标签

Bulk action menu with multiple alerts selected

将用户分配给警报edit

将用户分配给您希望他们调查的警报,并在警报的整个生命周期中管理警报分配者。

用户在被分配或取消分配警报时不会收到通知。

操作 说明

将用户分配给警报

选择以下选项之一

  • 警报表 - 单击警报行的 更多操作 (…​),然后单击 分配警报。选择用户,然后单击 应用
  • 警报详细信息弹出窗口 - 单击 执行操作 → 分配警报。或者,单击警报详细信息弹出窗口顶部的 分配警报 图标,选择用户,然后单击 应用

取消分配警报的所有用户

选择以下选项之一

  • 警报表 - 单击警报行的 更多操作 (…​),然后单击 取消分配警报
  • 警报详细信息弹出窗口 - 单击 执行操作 → 取消分配警报

将用户分配给多个警报

从警报表中,选择要更改的警报。单击表格左上角的 已选 x 个警报,然后单击 分配警报。选择用户,然后单击 应用

分配给部分选定警报的用户将在选择列表中显示为未分配。选择这些用户会将他们分配到他们尚未分配的所有警报。

取消分配多个警报的用户

从警报表中,选择要更改的警报,然后单击表格左上角的 已选 x 个警报。单击 取消分配警报 以从警报中删除用户。

通过将 分配者 列添加到警报表 (字段kibana.alert.workflow_assignee_ids) 来显示已分配给警报的用户。最多四个分配的用户会出现在 分配者 列中。如果警报分配给五个或更多用户,则会显示一个数字。

Alert assignees in the Alerts table

分配的用户会自动显示在警报详细信息弹出窗口中。弹出窗口中最多可以显示两个分配的用户。如果警报分配给三个或更多用户,则会显示一个带编号的徽章。

Alert assignees in the alert details flyout

过滤分配的警报edit

单击警报表上方的 分配者 过滤器,然后选择要过滤的用户。

Filtering assigned alerts

从警报添加规则异常edit

您可以直接从警报表中向生成警报的规则添加异常。异常阻止规则生成警报,即使其标准得到满足。

要添加异常,请单击警报表中的 更多操作 菜单 (…​),然后选择 添加异常。或者,在警报详细信息弹出窗口中选择 执行操作添加规则异常

有关异常及其使用方法的信息,请参阅 添加和管理异常

在时间线中查看警报edit

  • 要在时间线中查看单个警报,请单击警报表中的 在时间线中调查 按钮。或者,在警报详细信息弹出窗口中选择 执行操作在时间线中调查

    Investigate in timeline button

  • 要在时间线中查看多个警报(最多 2,000 个),请选中警报旁边的复选框,然后单击 已选 x 个警报在时间线中调查

    Bulk add alerts to timeline button

当您将由 阈值规则 生成的警报发送到时间线时,时间线中会列出所有匹配的事件,即使是未达到阈值的事件。例如,如果您有一个由检测 10 次登录失败尝试的阈值规则生成的警报,当您将该警报发送到时间线时,该规则检测到的所有登录失败尝试都会列出。

假设生成警报的规则使用时间线模板。在这种情况下,当您在时间线中调查警报时,模板中定义的放置区查询值将替换为其对应的警报值。

示例

此时间线模板在规则中使用 host.name: "{host.name}" 放置区过滤器。当由该规则生成的警报在时间线中进行调查时,{host.name} 值将替换为警报的 host.name 值。如果警报的 host.name 值为 Windows-ArsenalFC,则时间线放置区查询为 host.name: "Windows-ArsenalFC"

有关创建时间线和时间线模板的信息,请参阅 在时间线中调查事件。有关如何将时间线模板添加到规则的信息,请参阅 创建检测规则

« MITRE ATT&CK® 覆盖范围 可视化检测警报 »