减少通知和警报
编辑减少通知和警报编辑
Elastic 安全解决方案提供了几项功能来帮助减少检测规则生成的通知和警报数量。下表对这些功能进行了总体比较,并提供了更多详细信息的链接
|
停止特定规则的通知操作运行. 用于避免来自特定规则的不必要的通知。规则在暂停期间继续运行并生成警报,但其通知操作不运行。 |
|
|
阻止所有规则的通知操作运行. 用于在计划停机期间避免误报和不必要的通知。所有规则在维护窗口期间继续运行并生成警报,但其通知操作不运行。 维护窗口是 Kibana 的一项功能,在 Elastic 安全应用程序之外的堆栈管理中配置。 |
|
|
减少重复或重复的警报. 用于在规则重复满足其条件时减少创建的警报数量。重复的符合条件的事件会被分组,并且每个组只创建一个警报。 |
|
|
防止规则在特定条件下创建警报. 用于通过防止受信任的进程和网络活动生成不必要的警报来减少误报。您可以配置一个例外,供单个规则使用或在多个规则之间共享,但它们通常不会影响所有规则。 |