› › ›

创建和管理共享异常列表

编辑

创建和管理共享异常列表编辑

共享异常列表允许您将异常分组在一起，然后将其应用于多个规则。使用“共享异常列表”页面设置共享异常列表。

在 8.5 及更早版本中创建的异常列表在 8.6 或更高版本中成为共享异常列表。您可以从“共享异常列表”页面访问所有共享异常列表。

创建共享异常列表编辑

设置包含异常项目的共享异常列表

转到规则 → 共享异常列表.
点击 创建共享异常列表 → 创建共享列表.
为共享异常列表命名。
(可选) 提供描述。
点击 创建共享异常列表.

向共享异常列表添加异常项目编辑

添加异常项目

转到规则 → 共享异常列表.
点击 创建共享异常列表 → 创建异常项目.

您可以通过展开列表或查看其详细信息页面并点击 创建规则异常 将异常添加到空的共享异常列表中。创建异常后，您可以将共享异常列表与规则关联。请参考将共享异常列表与规则关联了解更多信息。
在 添加规则异常 浮动窗口中，命名异常项目并添加定义异常何时阻止告警的条件。当异常的查询条件满足时（查询结果为 true），即使满足其他规则条件，规则也不会生成告警。
1. 字段: 选择一个字段来识别要过滤的事件。
2. 运算符: 选择一个运算符来定义条件
  - is | is not — 必须与定义的值完全匹配。
  - is one of | is not one of — 匹配任何定义的值。
  - exists | does not exist — 字段存在。
  - is in list | is not in list — 匹配值列表中的值。
    
    由值列表定义的异常必须在所有条件中使用 is in list 或 is not in list。
    
    值列表中不支持通配符。
    
    如果由于大小或数据类型无法使用值列表，则它在值菜单中不可用。
  - matches | does not match — 允许您在值中使用通配符，例如 C:\path\*\app.exe。可用的通配符是 ?（匹配一个字符）和 *（匹配零个或多个字符）。所选字段数据类型必须是关键字、文本或通配符。
    
    使用通配符可能会影响性能。要使用通配符创建更有效的异常，请使用多个条件并使其尽可能具体。例如，添加使用 process.name 或 file.name 的条件可以帮助限制通配符匹配的范围。
3. 值: 输入与字段关联的值。要输入多个值（使用 is one of 或 is not one of），输入每个值，然后按回车。
点击 AND 或 OR 来创建多个条件并定义它们的关系。
点击 添加嵌套条件 来使用嵌套字段创建条件。这仅适用于这些嵌套字段。对于所有其他字段，不应使用嵌套条件。
选择是否将异常添加到共享异常列表中。

如果不存在共享异常列表，此选项将不可用。此外，您无法从该 UI 将端点异常项目添加到端点安全异常列表中。请参考添加 Elastic 端点异常，了解有关创建端点异常的说明。
(可选) 输入描述异常的注释。
(可选) 为异常输入将来的过期日期和时间。
(可选) 关闭与此异常匹配并由此规则生成的全部告警: 关闭与异常条件匹配并且仅由当前规则生成的全部告警。
点击 添加规则异常.

将共享异常列表与规则关联编辑

将共享异常列表应用于规则

转到规则 → 共享异常列表.
执行以下操作之一
- 选择共享异常列表的名称以打开其详细信息页面，然后点击 链接规则.
- 找到要分配给规则的共享异常列表，然后从 更多操作 菜单 (…) 中选择 链接规则.
点击链接列中的切换按钮以选择要链接到异常列表的规则。

如果您知道规则的名称，可以在搜索栏中输入它。
点击保存.
(可选) 要验证共享异常列表是否已添加到您选择的规则中
1. 打开规则的详细信息页面 (规则 → 检测规则 (SIEM) → 规则名称).
2. 向下滚动页面，然后选择 规则异常 选项卡。
3. 导航到包含在共享异常列表中的异常项目。点击 影响共享列表 链接以查看关联的共享异常列表。