« 从调查指南启动时间线 管理检测规则 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报

安装和管理 Elastic 预置规则

编辑

安装和管理 Elastic 预置规则编辑

遵循以下指南开始使用 Elastic Security 应用程序的 预置规则,保持它们更新,并确保它们拥有成功运行所需的数据。

  • 预置规则默认情况下不会开始运行。您必须首先安装规则,然后启用它们。安装后,默认情况下只有少数预置规则会被启用,例如 Endpoint Security 规则。
  • 您无法修改 Elastic 预置规则的大多数设置。您只能编辑 规则操作添加例外。如果您想修改预置规则上的其他设置,则必须先复制它,然后对复制的规则进行更改。但是,您自定义的规则与原始预置规则完全分开,如果预置规则更新,将不会从 Elastic 获取更新。
  • Elastic 预置规则的自动更新支持当前 Elastic Security 版本以及最新的三个之前的次要版本。例如,如果您使用的是 Elastic Security 8.10,则在 Elastic Security 8.14 发布之前,您可以使用规则 UI 更新您的预置规则。在那之后,您仍然可以手动下载并安装更新的预置规则,但您必须升级到最新的 Elastic Security 版本才能接收自动更新。

安装和启用 Elastic 预置规则编辑

  1. 转到 规则检测规则 (SIEM)。位于 添加 Elastic 规则 旁边的徽章显示了可供安装的预置规则数量。

    The Add Elastic Rules page

  2. 点击 添加 Elastic 规则.

    在安装规则之前,您可以选择规则名称以查看规则详细信息。这将打开规则详细信息浮出窗口。

  3. 执行以下操作之一

    • 安装所有可用规则:点击 安装所有.
    • 安装单个规则:点击该规则的 安装规则

    • 安装多个规则:选择规则,然后点击 安装 x 个选定规则.

      使用搜索栏和 标签 筛选器查找您想要安装的规则。例如,如果您的环境仅包含 Windows 端点,请按 OS: Windows 筛选。有关标签类别的更多信息,请参阅 预置规则标签

      The Add Elastic Rules page

  4. 返回到 规则 页面,搜索或筛选您想要运行的任何规则,然后执行以下操作之一

    • 启用单个规则:打开规则的 启用 开关。
    • 启用多个规则:选择规则,然后点击 批量操作启用.

启用规则后,它将按照其配置的计划开始运行。若要确认它是否成功运行,请查看规则表中的 上次响应 状态,或打开规则的详细信息页面并检查 执行结果 选项卡。

预置规则标签编辑

每个预置规则都包含多个标签,用于标识规则的用途、检测方法、关联资源以及其他信息,以帮助对您的规则进行分类。这些标签是类别-值对;例如,OS: Windows 表示为 Windows 端点设计的规则。类别包括

  • 数据源:为规则提供数据的应用程序、云提供商、数据发送器或 Elastic 集成。
  • :数据源类型的一般类别(例如云、端点或网络)。
  • OS:主机操作系统,可以被认为是另一种数据源类型。
  • 资源:其他规则资源,例如调查指南。
  • 规则类型:标识规则是否依赖于专门的资源(例如机器学习作业或威胁情报指标),或者它是否是从其他规则的警报构建的更高阶规则。
  • 战术:规则解决的 MITRE ATT&CK 战术。
  • 威胁:规则检测的特定威胁(例如 Cobalt Strike 或 BPFDoor)。

  • 用例:规则检测的活动类型及其目的。用例包括

    • Active Directory 监控:检测与 Active Directory 相关的更改。
    • 资产可见性:检测对指定资产类型的更改。
    • 配置审核:检测不希望的配置更改。
    • 引导式入职:示例规则,用于 Elastic Security 的引导式入职游览。
    • 身份和访问审核:检测与身份和访问管理 (IAM) 相关的活动。
    • 日志审核:检测有关日志配置或存储的活动。
    • 网络安全监控:检测网络安全配置活动。
    • 威胁检测:检测威胁。
    • 漏洞:检测对特定漏洞的利用。

选择并复制所有预置规则编辑

  1. 转到 规则检测规则 (SIEM),然后选择 Elastic 规则 筛选器。
  2. 点击规则表上方的 选择所有 x 个规则
  3. 点击 批量操作复制.
  4. 选择是否复制规则的例外,然后点击 复制.

然后您可以修改复制的规则,并在需要时删除预置规则。但是,您自定义的规则与原始预置规则完全分开,如果预置规则更新,将不会从 Elastic 获取更新。

更新 Elastic 预置规则编辑

Elastic 定期更新预置规则,以优化其性能,并确保它们检测最新的威胁和技术。当更新版本可用于您安装的预置规则时,规则更新 选项卡将出现在 规则 页面上,允许您使用最新版本更新您安装的规则。

  1. 转到 规则检测规则 (SIEM),然后选择 规则更新 选项卡。

    如果所有安装的预置规则都是最新的,则不会出现 规则更新 选项卡。

    The Rule Updates tab on the Rules page

  2. (可选)在更新规则之前,您可以选择规则名称以查看规则最新版本的详细信息。这将打开规则详细信息浮出窗口。

    选择 更新 选项卡以逐个字段查看规则更改,或选择 JSON 视图 选项卡以查看整个规则的 JSON 格式的更改。这两个选项卡都显示 当前规则(您当前安装的规则)和 Elastic 更新 版本(您可以选择安装的版本)的并排比较。删除的字符以红色突出显示;添加的字符以绿色突出显示。

    若要接受更改并安装更新版本,请选择 更新

    Prebuilt rule comparison

  3. 规则 页面上,执行以下操作之一以更新预置规则

    • 更新所有可用规则:点击 更新所有.
    • 更新单个规则:点击该规则的 更新规则

    • 更新多个规则:选择规则,然后点击 更新 x 个选定规则.

      使用搜索栏和 标签 筛选器查找您想要更新的规则。例如,如果您的环境仅包含 Windows 端点,请按 OS: Windows 筛选。有关标签类别的更多信息,请参阅 预置规则标签

确认规则先决条件编辑

许多 Elastic 预置规则旨在与特定的 Elastic 集成和数据字段一起使用。这些先决条件在规则的详细信息页面上的 相关集成所需字段 字段中进行了标识(规则检测规则 (SIEM),然后点击规则的名称)。相关集成 还显示每个集成的安装状态,并包含用于安装和配置所列集成的链接。

此外,设置指南 部分提供了有关设置规则要求的指南。

Rule details page with Related integrations

您也可以在 已安装规则规则监控 表格中查看规则的相关集成。点击 集成 徽章以在弹出窗口中显示相关集成。

Rules table with related integrations popup

您可以在规则表中隐藏 集成 徽章。转到 Kibana堆栈管理高级设置,然后关闭 securitySolution:showRelatedIntegrations

« 从调查指南启动时间线 管理检测规则 »