检测和告警

使用检测引擎创建和管理规则，并查看这些规则创建的告警。规则会定期搜索索引（例如 logs-* 和 filebeat-*）中可疑的源事件，并在满足规则条件时创建告警。创建告警后，其状态为 打开。为了帮助跟踪调查，可以将告警的状态设置为 打开、已确认或 已关闭。

除了创建您自己的规则之外，还可以启用 Elastic 预构建规则，以便立即开始检测可疑活动。有关所有预构建规则的详细信息，请参阅预构建规则参考部分。预构建规则加载并运行后，调整检测规则和添加和管理异常将说明如何修改规则以减少误报，并获得一组更可操作的告警。您还可以在创建或修改自己的规则时使用异常和值列表。

您需要了解两个特殊的预构建规则

如果您希望在创建告警时通过外部系统（例如 Slack 或电子邮件）接收通知，请使用 Kibana 告警和操作框架。

规则开始运行后，您可以监控其执行情况以验证它们是否正常运行，以及查看、管理和排除告警故障（请参阅管理检测告警和监控和排除规则执行故障）。

您可以通过 UI 或 检测 API 创建和管理规则和告警。

冷层和冻结数据层保存仅偶尔访问的时间序列数据。在 Elastic Stack 版本 >=7.11.0 中，Elastic Security 支持冷层数据，但不适用于以下 Elasticsearch 索引的冻结层数据

Elastic Security 不支持以下 Elasticsearch 索引的冷层或冻结层数据

对不支持的索引使用冷层或冻结层数据可能会导致检测规则超时和整体性能下降。

指标匹配规则提供了一种强大的功能来搜索您的安全数据；但是，它们的查询可能会消耗大量的部署资源。在创建指标匹配规则时，我们建议将指标索引查询的时间范围限制为所需规则覆盖范围所需的最小时间段。例如，默认指标索引查询 @timestamp > "now-30d/d" 搜索指定的指标索引，以查找在过去 30 天内摄取的指标，并将查询开始时间向下舍入到最近的一天（解析为 UTC 00:00:00）。如果没有此限制，该规则将包含指标索引中的所有指标，这可能会延长指标索引查询完成的时间。

此外，还存在以下支持限制

检测要求提供了有关启动和使用检测功能所需的所有权限的详细信息。

恶意软件是恶意软件的简称，是指任何旨在损坏计算机系统或在计算机系统上执行未经授权操作的软件程序。恶意软件的示例包括病毒、蠕虫、特洛伊木马、广告软件、恐吓软件和间谍软件。某些恶意软件（例如病毒）可以通过删除文件或目录信息严重损坏计算机的硬盘驱动器。其他恶意软件（例如间谍软件）可以在用户不知情的情况下获取用户数据。

恶意软件可能是隐秘的，并以合法的可执行代码、脚本、活动内容和其他软件的形式出现。它通常也嵌入在非恶意文件、无嫌疑的网站和标准程序中，有时会使根源难以识别。如果被感染且未及时解决，恶意软件可能会对计算机网络造成无法弥补的损害。

有关如何在主机上启用恶意软件防护的信息，请参阅恶意软件防护。

为了确定文件是恶意的还是良性的，机器学习模型会查找文件的静态属性（无需执行文件），其中包括文件结构、布局和内容。这包括文件头数据、导入、导出、节名称和文件大小等信息。这些属性是从数百万个良性和恶意文件样本中提取的，然后传递给机器学习算法，该算法可以将良性文件与恶意文件区分开来。机器学习模型会随着新数据的获取和分析而更新。

恶意软件阈值确定如果检测到恶意软件，代理应采取的操作。Elastic Agent 使用建议的阈值级别，该级别会生成数量均衡的告警，并且未检测到恶意软件的概率较低。此阈值还可以最大程度地减少误报告警的数量。

勒索软件是一种计算机恶意软件，它会在用户的计算机上秘密安装并加密数据，直到支付指定金额的资金（赎金）为止。勒索软件通常与其他恶意软件的交付和执行方式相似，通过鱼叉式网络钓鱼或强制下载来感染系统。如果未立即解决，勒索软件可能会对整个计算机网络造成无法弥补的损害。

Elastic Endpoint 上的行为勒索软件防护通过分析来自底层系统进程的数据来检测和阻止 Windows 系统上的勒索软件攻击，并且在各种广泛传播的勒索软件系列（包括那些针对系统主引导记录的勒索软件系列）中有效。

有关如何在主机上启用勒索软件防护的信息，请参阅勒索软件防护。

根据您的权限以及是否已为 Kibana 空间创建检测系统索引，当您打开告警或规则页面时，可能会收到以下错误消息之一

要了解您的规则和告警在使用logsdb 索引模式时的影响，请参阅将 logsdb 索引模式与 Elastic Security 结合使用。