› ›

安装和管理 Elastic 预构建规则

按照这些指南开始使用 Elastic Security 应用程序的预构建规则，保持规则更新，并确保规则具有成功运行所需的数据。

大多数预构建规则默认情况下不会开始运行。您可以使用安装并启用选项在安装规则时开始运行规则，或者先安装规则，然后手动启用它们。安装后，默认只会启用少数预构建规则，例如端点安全规则。
您无法修改 Elastic 预构建规则上的大多数设置。您只能编辑规则操作和添加例外。如果要修改预构建规则上的其他设置，必须首先复制该规则，然后对复制的规则进行更改。但是，您的自定义规则与原始预构建规则完全分离，并且如果预构建规则更新，则不会从 Elastic 获得更新。
当前 Elastic Security 版本和最新的三个先前次要版本支持自动更新 Elastic 预构建规则。例如，如果您使用的是 Elastic Security 8.10，则可以使用规则 UI 来更新您的预构建规则，直到发布 Elastic Security 8.14。在此之后，您仍然可以手动下载和安装更新的预构建规则，但必须升级到最新的 Elastic Security 版本才能接收自动更新。

在导航菜单中或使用全局搜索字段查找检测规则 (SIEM)，然后转到规则表。

添加 Elastic 规则旁边的徽章显示可供安装的预构建规则的数量。
单击添加 Elastic 规则。

要在安装规则之前检查规则的详细信息，请选择规则名称。这将打开规则详细信息弹出窗口。
执行以下操作之一：
- 安装所有可用规则：单击页面顶部的全部安装。（这不会启用规则；您仍然需要手动执行此操作。）
- 安装单个规则：在规则表中，单击安装以安装规则而不启用它，或者单击 → 安装并启用，以便在安装后开始运行规则。
- 安装多个规则：选择规则，然后单击页面顶部的安装 x 个选定规则以安装而不启用规则，或者单击 → 安装并启用以安装并开始运行规则。
使用搜索栏和标签过滤器查找要安装的规则。例如，如果您的环境仅包含 Windows 端点，则按 OS: Windows 进行筛选。有关标签类别的更多信息，请参阅预构建规则标签。
对于尚未启用的任何规则，请返回规则页面，搜索或筛选要运行的规则，然后执行以下任一操作：
- 启用单个规则：打开规则的已启用开关。
- 启用多个规则：选择规则，然后单击批量操作 → 启用。

启用规则后，它会按照配置的计划开始运行。要确认它是否成功运行，请检查规则表中上次响应状态，或打开规则的详细信息页面，并检查执行结果选项卡。

每个预构建规则都包含多个标签，用于标识规则的目的、检测方法、相关资源和其他信息，以帮助您对规则进行分类。这些标签是类别-值对；例如，OS: Windows 表示为 Windows 端点设计的规则。类别包括：

然后，您可以修改复制的规则，并在需要时删除预构建的规则。但是，您的自定义规则与原始预构建规则完全分离，并且如果预构建规则更新，则不会从 Elastic 获得更新。

Elastic 会定期更新预构建规则，以优化其性能并确保它们检测到最新的威胁和技术。当您的已安装预构建规则有更新版本可用时，规则更新选项卡会出现在规则页面上，允许您使用最新版本更新已安装的规则。

在导航菜单中或使用全局搜索字段查找检测规则 (SIEM)。
在规则表中，选择规则更新选项卡。

如果您的所有已安装预构建规则都是最新的，则不会显示规则更新选项卡。
（可选）要在更新规则之前检查规则最新版本的详细信息，请选择规则名称。这将打开规则详细信息弹出窗口。

选择更新选项卡以逐字段查看规则更改，或选择JSON 视图选项卡以 JSON 格式查看整个规则的更改。两个选项卡都并排显示当前规则（您当前安装的规则）和Elastic 更新版本（您可以选择安装的版本）的比较。删除的字符以红色突出显示；添加的字符以绿色突出显示。

要接受更改并安装更新的版本，请选择更新。
执行以下操作之一以更新规则页面上的预构建规则：
- 更新所有可用规则：单击全部更新。
- 更新单个规则：单击该规则的更新规则。
- 更新多个规则：选择规则，然后单击更新 x 个选定规则。
  
  使用搜索栏和标签过滤器查找要更新的规则。例如，如果您的环境仅包含 Windows 端点，则按 OS: Windows 进行筛选。有关标签类别的更多信息，请参阅预构建规则标签。