检测和警报

使用检测引擎创建和管理规则，并查看这些规则创建的警报。规则会定期搜索索引（如 logs-* 和 filebeat-*），查找可疑源事件，并在满足规则条件时创建警报。创建警报后，其状态为 Open。为了帮助跟踪调查，警报的 状态 可以设置为 Open、Acknowledged 或 Closed。

除了创建 您自己的规则 之外，还可以启用 Elastic 预构建规则 以立即开始检测可疑活动。有关所有预构建规则的详细信息，请参阅 预构建规则参考 部分。预构建规则加载并运行后，调整检测规则 和 添加和管理异常 说明了如何修改规则以减少误报并获得更有效的警报集。您还可以在创建或修改自己的规则时使用异常和值列表。

有两个特殊的预构建规则需要您了解

如果希望在创建警报时通过外部系统（如 Slack 或电子邮件）接收通知，请使用 Kibana 警报和操作 框架。

规则开始运行后，您可以监控其执行情况以验证其是否正常运行，还可以查看、管理和排查警报（请参阅 管理检测警报 和 监控和排查规则执行）。

您可以通过 UI 或 检测 API 创建和管理规则和警报。

与冷层节点的兼容性编辑

冷层是 数据层，用于保存仅偶尔访问的时间序列数据。在 Elastic Stack 版本 >=7.11.0 中，Elastic Security 支持以下 Elasticsearch 索引的冷层数据

Elastic Security 不支持以下 Elasticsearch 索引的冷层数据

将冷层数据用于不支持的索引可能会导致检测规则超时，并降低整体性能。

对指标匹配规则的支持有限编辑

指标匹配规则提供了一种强大的功能来搜索安全数据；但是，它们的查询可能会消耗大量的部署资源。在创建 指标匹配规则 时，建议将指标索引查询的时间范围限制在实现所需规则覆盖率的最小时间段内。例如，默认指标索引查询 @timestamp > "now-30d/d" 搜索指定的指标索引，以查找过去 30 天内摄取的指标，并将查询开始时间向下舍入到最近的一天（解析为 UTC 00:00:00）。如果没有此限制，规则将包括指标索引中的所有指标，这可能会延长指标索引查询完成所需的时间。

此外，还存在以下支持限制

检测配置和索引特权先决条件编辑

检测先决条件和要求 提供了有关启动和使用检测功能所需的所有权限的详细信息。

恶意软件防御编辑

恶意软件（简称恶意软件）是指任何旨在损坏或在计算机系统上执行未经授权操作的软件程序。恶意软件的示例包括病毒、蠕虫、特洛伊木马、广告软件、恐吓软件和间谍软件。一些恶意软件，如病毒，可以通过删除文件或目录信息严重损坏计算机的硬盘驱动器。其他恶意软件，如间谍软件，可以在不知情的情况下获取用户数据。

恶意软件可能是隐秘的，并可能表现为合法的可执行代码、脚本、活动内容和其他软件。它也经常嵌入在非恶意文件、非可疑网站和标准程序中，有时很难确定根源。如果感染未及时解决，恶意软件会导致计算机网络无法修复的损坏。

有关如何在主机上启用恶意软件保护的信息，请参阅 恶意软件保护。

机器学习模型编辑

为了确定文件是恶意还是良性，机器学习模型会寻找文件的静态属性（无需执行文件），这些属性包括文件结构、布局和内容。这包括文件头数据、导入、导出、节名称和文件大小等信息。这些属性是从数百万个良性和恶意文件样本中提取的，然后传递给机器学习算法，该算法可以区分良性和恶意文件。机器学习模型会随着新数据的获取和分析而更新。

阈值编辑

恶意软件阈值决定了检测到恶意软件时代理应采取的操作。Elastic Agent 使用推荐的阈值级别，该级别会生成数量均衡的警报，同时降低未检测到恶意软件的可能性。此阈值还会最大限度地减少误报警报的数量。

勒索软件防御编辑

勒索软件是一种计算机恶意软件，它会秘密安装在用户的计算机上，并加密数据，直到支付指定金额的钱（赎金）。勒索软件在交付和执行方面通常与其他恶意软件类似，通过网络钓鱼或驱动式下载感染系统。如果不立即解决，勒索软件会导致整个计算机网络无法修复的损坏。

Elastic Endpoint 上的行为勒索软件防御通过分析来自底层系统进程的数据来检测和阻止针对 Windows 系统的勒索软件攻击，并且对各种广泛的勒索软件家族有效，包括针对系统主引导记录的那些。

有关如何在主机上启用勒索软件保护的信息，请参阅 勒索软件保护。

解决 UI 错误消息编辑

根据您的权限以及是否已为 Kibana 空间创建检测系统索引，您可能会在打开 警报 或 规则 页面时收到以下错误消息之一