关于构建块规则
编辑关于构建块规则编辑
当您不想在 UI 中看到它们的生成警报时,请创建构建块规则。这在您想要时很有用
- 低风险警报的记录,不会在警报表中产生噪音。
- 在警报索引(
.alerts-security.alerts-<kibana space>)上执行的规则。然后,您可以使用构建块规则创建隐藏警报,作为普通规则生成可见警报的基础。
设置在警报索引上运行的规则编辑
要创建搜索警报索引的规则,请选择 索引模式 作为规则的 来源 并输入警报索引的索引模式 (.alerts-security.alerts-*)
在 UI 中查看构建块警报编辑
默认情况下,构建块警报从概述和警报页面中排除。您可以选择在警报页面上包含构建块警报,这将扩展警报数量。
- 转到 警报.
- 在警报表中,选择 附加过滤器 → 包含构建块警报,位于最右边。
在构建块规则详细信息页面上,将显示规则的警报(默认情况下,包含构建块警报 已选中)。