管理检测规则
编辑管理检测规则编辑
规则页面允许您查看和管理所有预置和自定义检测规则。
在规则页面上,您可以
对规则列表进行排序和筛选编辑
要对规则列表进行排序,请点击任意列标题。要以降序排序,请再次点击该列标题。
要筛选规则列表,请在搜索栏中输入搜索词,然后按下 Return
- 规则名称 - 输入规则名称中的一个单词或短语。
- 索引模式 - 输入索引模式(如
filebeat-*),以显示使用该模式的所有规则。 - MITRE ATT&CK 策略或技术 - 输入 MITRE ATT&CK 策略名称(如
Defense Evasion)或技术编号(如TA0005),以显示所有关联的规则。
对索引模式和 MITRE ATT&CK 策略以及技术的搜索必须完全匹配,区分大小写,并且 *不* 支持通配符。例如,要查找使用 filebeat-* 索引模式的规则,搜索词 filebeat-* 是有效的,但 filebeat 和 file* 无效,因为它们与索引模式不完全匹配。同样,MITRE ATT&CK 策略 Defense Evasion 是有效的,但 Defense、defense evasion 和 Defense* 无效。
您还可以通过选择搜索栏旁边的 标签、最后响应、Elastic 规则、自定义规则、启用规则 和 禁用规则 筛选器来筛选规则列表。
当您离开页面并返回时,规则列表会保留您的排序和筛选设置。当您复制页面的 URL 并粘贴到另一个浏览器时,这些设置也会保留。选择表格上方的 清除筛选器 以恢复默认视图。
查看规则的当前状态编辑
根据最近一次尝试运行规则的结果,最后响应 列显示每个规则的当前状态
- 成功:规则已完成其定义的搜索。这并不一定意味着它生成了告警,只是它在没有错误的情况下运行。
- 失败:规则遇到了错误,阻止它运行。例如,其对应的机器学习作业未运行的机器学习规则。
- 警告:没有任何因素阻止规则运行,但它可能返回了意外结果。例如,自定义查询规则试图搜索在 Elasticsearch 中找不到的索引模式。
对于机器学习规则,如果所需的机器学习作业未运行,此列中还会出现一个指示器图标 (
)。点击该图标以列出受影响的作业,然后点击 访问规则详细信息页面以调查 以打开规则的详细信息页面,您可以在该页面上启动机器学习作业。
修改现有规则设置编辑
您可以编辑现有规则的设置,并可以批量编辑多个规则的设置。
- 转到 规则 → 检测规则 (SIEM).
-
执行以下操作之一
- 编辑单个规则:选择规则上的 所有操作 菜单 (…),然后选择 编辑规则设置。编辑规则设置 视图将打开,您可以在其中修改 规则的设置.
-
批量编辑多个规则:选择要编辑的规则,然后从 批量操作 菜单中选择一个操作
- 索引模式:添加或删除所有选定规则使用的索引模式。
- 标签:添加或删除所有选定规则上的标签。
- 添加规则操作:向所有选定规则添加 规则操作。如果您添加多个操作,则可以为每个操作指定操作频率。要覆盖现有操作的频率,请选择 覆盖所有选定规则的操作 选项。
在升级到 8.8 或更高版本后,在 8.7 或更早版本中创建的规则操作的频率设置将从规则级别移至操作级别。操作计划保持不变,并将继续以先前指定的频率运行 (
On each rule execution、Hourly、Daily或Weekly)。
在 维护窗口 期间,规则操作不会运行。它们将在维护窗口结束后恢复运行。
-
在打开的弹出窗口中,更新规则设置和操作。
要 暂时禁用 规则操作,请转到 操作 选项卡,然后点击铃铛图标。
- 如果可用,请选择 覆盖所有选定的 *x* 以覆盖规则上的设置。例如,如果您要向多个规则添加标签,请选择 覆盖所有选定规则的标签 将删除所有规则的原始标签,并用您指定的标签替换它们。
- 点击 保存.
管理规则编辑
您可以复制、启用、禁用、删除和暂时禁用规则的操作
复制具有异常的规则时,您可以选择复制规则及其异常(活动和已过期)、仅复制规则和活动异常,或仅复制规则。如果您复制规则及其异常,则会创建异常的副本并将其添加到复制规则的 默认规则列表 中。如果原始规则使用来自共享异常列表的异常,则复制的规则将引用同一个共享异常列表。
- 转到 规则 → 检测规则 (SIEM).
-
执行以下操作之一
- 选择规则上的 所有操作 菜单 (…),然后选择一个操作。
- 选择要修改的所有规则,然后从 批量操作 菜单中选择一个操作。
- 要启用或禁用单个规则,请打开规则的 启用 切换开关。
- 要 暂时禁用 规则的操作,请点击铃铛图标。
暂时禁用规则操作编辑
您无需关闭规则以停止告警通知,而是可以暂时禁用规则操作一段时间。当您暂时禁用规则操作时,规则将继续按其定义的计划运行,但不会执行任何操作或发送告警通知。
您可以暂时或无限期地暂时禁用通知。当操作被暂时禁用时,您可以取消或更改暂时禁用状态的持续时间。您还可以计划和管理操作的定期停机时间。
您可以在 已安装规则 选项卡、规则详细信息页面或编辑规则时的 操作 选项卡中暂时禁用规则通知。
导出和导入规则编辑
您可以将自定义检测规则导出到一个 .ndjson 文件中,然后将其导入到另一个 Elastic 安全环境中。
您无法导出 Elastic 预置规则,但您可以复制预置规则,然后导出复制的规则。
如果您尝试在选定的预置规则和自定义规则中进行导出,则只导出自定义规则。
.ndjson 文件还包括与导出的规则相关的任何操作、连接器和异常列表。但是,在导出和导入规则时,其他配置项需要额外的处理
-
数据视图:对于使用 Kibana 数据视图作为数据源的规则,导出的文件包含关联的
data_view_id,但 *不* 包含任何其他数据视图配置。要在 Kibana 空间之间导出/导入,请首先使用 已保存对象 UI (堆栈管理 → Kibana → 已保存对象) 将数据视图共享到目标空间。要导入到不同的 Elastic Stack 部署中,目标集群必须包含具有匹配数据视图 ID 的数据视图(在 数据视图的高级设置 中配置)。或者,在导入后,您可以手动重新配置规则以在目标系统中使用适当的数据视图。
-
操作和连接器:规则操作和连接器包含在导出的文件中,但连接器的敏感信息(如身份验证凭据)*不* 包含在内。在导入检测规则后,您必须重新添加缺失的连接器详细信息。
您还可以使用 Kibana 的 已保存对象 UI (堆栈管理 → Kibana → 已保存对象) 在导入检测规则之前导出和导入必要的连接器。
- 值列表: 用于规则异常的任何值列表都不会包含在规则导出或导入中。 使用管理值列表 UI(规则 → 检测规则 (SIEM) → 管理值列表)分别导出和导入值列表。
要导出和导入检测规则
- 转到 规则 → 检测规则 (SIEM).
-
要导出规则
- 在规则表中,选择要导出的规则。
- 选择 批量操作 → 导出,然后保存导出的文件。
-
要导入规则
要导入带有操作的规则,您至少需要
Read权限才能使用Action and Connectors功能。 要覆盖或添加新的连接器,您需要All权限才能使用Actions and Connectors功能。 要导入没有操作的规则,您不需要Actions and Connectors权限。 有关更多信息,请参阅启用并访问检测。- 点击 导入规则。
-
将包含检测规则的文件拖放到此处。
导入的规则必须是
.ndjson文件。 - (可选)选择 使用冲突的“rule_id”覆盖现有检测规则,如果导入文件中的任何规则的
rule_id值与现有规则匹配,则更新现有规则。 与规则一起包含的配置数据(如操作)也将被覆盖。 - (可选)选择 使用冲突的“list_id”覆盖现有异常列表,如果导入文件中的异常列表具有与现有异常列表匹配的
list_id值,则用导入文件中的异常列表替换现有异常列表。 - (可选)选择 使用冲突的操作“id”覆盖现有连接器,如果导入文件中的任何规则操作的
action id值与现有连接器匹配,则更新现有连接器。 与操作一起包含的配置数据也将被覆盖。 - 点击 导入规则。
- (可选)如果在导入后连接器缺少敏感信息,则会显示警告,并提示您修复连接器。 在警告中,点击 转到连接器。 在连接器页面上,找到需要更新的连接器,点击 修复,然后添加必要的详细信息。