› ›

异常 API

异常 API编辑

异常与检测和端点规则相关联，用于阻止规则在满足其他条件时从传入事件中生成警报。它们可以用于减少误报数量，并防止受信任的进程和网络活动生成不必要的警报。

异常由以下部分组成：

异常容器: 相关异常的容器。通常，单个异常容器包含与规则子集相关的异常项。例如，可以使用容器将与大量网络规则相关的网络异常分组在一起。然后，可以将容器与所有相关规则关联。
异常项: 用于阻止规则生成警报的查询（字段、值和逻辑）。当异常项的查询计算结果为 true 时，规则不会生成警报。

对于检测规则，您还可以使用列表来定义规则异常。列表保存相同 Elasticsearch 数据类型的多个值，例如 IP 地址，用于确定异常何时阻止生成警报。

您不能将列表与端点规则异常一起使用。

只有异常容器可以与规则关联。您不能直接将异常项或列表容器与规则关联。要使用列表异常，请创建一个引用相关列表容器的异常项（请参阅此示例请求）。

下图显示了规则、检测和列表之间的逻辑关系，并显示了兄弟实体之间使用的布尔运算符。

在开始使用使用值列表的异常之前，您必须为相关 Kibana 空间创建 .lists 和 .items 数据流。要了解如何执行此操作，请转到列表索引端点.

创建这些数据流后，您的角色需要管理规则的权限。有关要求的完整列表，请参阅启用和访问检测。