减少通知和警报
编辑减少通知和警报
编辑Elastic Security 提供了多种功能来帮助减少检测规则生成的通知和警报数量。下表提供了这些功能的一般比较,并附有更多详细信息的链接
|
停止运行特定规则的通知操作. 用于避免来自特定规则的不必要通知。规则在暂停期间会继续运行并生成警报,但其通知操作不会运行。 |
|
|
阻止所有规则的通知操作运行. 用于避免在计划中断期间出现误报和不必要的通知。所有规则在维护窗口期间会继续运行并生成警报,但其通知操作不会运行。 维护窗口是 Kibana 的一项功能,在 堆栈管理 中的 Elastic Security 应用之外进行配置。 |
|
|
减少重复或重复的警报. 用于减少规则重复满足其条件时创建的警报数量。重复的合格事件将被分组,并且每个组仅创建一个警报。 |
|
|
防止规则在特定条件下创建警报. 用于通过防止受信任的进程和网络活动生成不必要的警报来减少误报。您可以配置一个例外供单个规则使用或在多个规则之间共享,但它们通常不会影响所有规则。 |