« 添加和管理异常 关于构建块规则 »
Elastic 文档 Elastic Security Solution [8.17] 检测和告警 规则异常

创建和管理共享异常列表

编辑

创建和管理共享异常列表

编辑

共享异常列表允许您将异常分组在一起,然后将其应用于多个规则。使用“共享异常列表”页面设置共享异常列表。

在 8.5 及更早版本中创建的异常列表在 8.6 或更高版本中将变为共享异常列表。您可以从“共享异常列表”页面访问所有共享异常列表。

Shared Exception Lists page

创建共享异常列表

编辑

设置包含异常项的共享异常列表

  1. 在导航菜单中或使用全局搜索字段找到共享异常列表页面。
  2. 单击创建共享异常列表创建共享列表
  3. 为共享异常列表命名。
  4. (可选)提供描述。
  5. 单击创建共享异常列表

将异常项添加到共享异常列表

编辑

添加异常项

  1. 在导航菜单中或使用全局搜索字段找到共享异常列表页面。

  2. 单击创建共享异常列表创建异常项

    您可以通过展开列表或查看其详细信息页面并单击创建规则异常,将异常添加到空的共享异常列表中。创建异常后,您可以将共享异常列表与规则关联。请参阅将共享异常列表与规则关联以了解更多信息。

  3. 添加规则异常浮出框中,为异常项命名并添加定义何时异常阻止告警的条件。当满足异常的查询条件时(查询结果评估为 true),即使满足其他规则条件,规则也不会生成告警。

    1. 字段:选择一个字段来标识要筛选的事件。

    2. 运算符:选择一个运算符来定义条件

      • is | is not — 必须与定义的值完全匹配。
      • is one of | is not one of — 匹配任何定义的值。
      • exists | does not exist — 该字段存在。

      • is in list | is not in list — 匹配值列表中的值。

        • 由值列表定义的异常必须在所有条件中使用 is in listis not in list
        • 值列表不支持通配符。
        • 如果由于大小或数据类型而无法使用值列表,则它在菜单中将不可用。

      • matches | does not match — 允许您在中使用通配符,例如 C:\path\*\app.exe。可用的通配符为 ? (匹配一个字符)和 * (匹配零个或多个字符)。所选的字段数据类型必须是 keywordtextwildcard

        使用通配符可能会影响性能。要使用通配符创建更高效的异常,请使用多个条件并使其尽可能具体。例如,使用 process.namefile.name 添加条件可以帮助限制通配符匹配的范围。

    3. :输入与字段关联的值。要输入多个值(当使用 is one ofis not one of 时),请输入每个值,然后按回车键
  4. 单击ANDOR创建多个条件并定义它们的关系。
  5. 单击添加嵌套条件以使用嵌套字段创建条件。这仅对于这些嵌套字段是必需的。对于所有其他字段,不应使用嵌套条件。

  6. 选择将异常添加到共享异常列表。

    如果共享异常列表不存在,则此选项将不可用。此外,您无法从此 UI 将端点异常项添加到端点安全异常列表。有关创建端点异常的说明,请参阅添加 Elastic Endpoint 异常

  7. (可选)输入描述异常的注释。
  8. (可选)输入异常的未来过期日期和时间。
  9. (可选)关闭所有匹配此异常且由此规则生成的告警:关闭所有与异常条件匹配且仅由当前规则生成的告警。
  10. 单击添加规则异常

将共享异常列表与规则关联

编辑

将共享异常列表应用于规则

  1. 在导航菜单中或使用全局搜索字段找到共享异常列表页面。

  2. 执行以下操作之一

    • 选择共享异常列表的名称以打开其详细信息页面,然后单击链接规则
    • 找到要分配给规则的共享异常列表,然后从更多操作菜单(…​)中,选择链接规则

  3. 单击链接列中的切换按钮,以选择要链接到异常列表的规则。

    如果您知道规则的名称,则可以将其输入到搜索栏中。

  4. 单击保存

  5. (可选)要验证共享异常列表是否已添加到您选择的规则中

    1. 打开规则的详细信息页面(规则 → 检测规则 (SIEM) → 规则名称)。
    2. 向下滚动页面,然后选择规则异常选项卡。

    3. 导航到共享异常列表中包含的异常项。单击影响共享列表链接以查看关联的共享异常列表。

      Associated shared exceptions

查看和筛选异常列表

编辑

“共享异常列表”页面在单独的行上显示每个共享异常列表,最近创建的列表位于顶部。每一行都包含有关共享异常列表的这些详细信息

  • 共享异常列表名称
  • 列表的创建日期
  • 创建列表的用户的用户名
  • 共享异常列表中异常项的数量
  • 共享异常列表影响的规则的数量

要查看共享异常列表中异常项的详细信息,请展开行。

Associated shared exceptions

要按特定值筛选异常列表,请在搜索栏中输入一个值。您可以搜索以下属性

  • name
  • list_id
  • created_by

如果未选择任何属性,则应用程序默认搜索列表名称。

管理共享异常列表

编辑

您可以从“共享异常列表”页面编辑、导出、导入、复制和删除共享异常列表。

在 8.5 及更早版本中创建的异常列表在 8.6 或更高版本中将变为共享异常列表。您可以从“共享异常列表”页面访问所有共享异常列表。

要导出或删除异常列表,请在相应的列表上选择所需的操作按钮。请注意以下事项

  • 异常列表将导出到 .ndjson 文件。
  • 异常列表也会作为任何配置了异常的已导出检测规则的一部分导出。请参阅导出和导入规则
  • 如果异常列表链接到任何规则,您将收到一个警告,要求您确认删除。
  • 如果异常列表包含过期的异常,您可以选择是否将其包含在导出的文件中。
Detail of Exception lists table with export and delete buttons highlighted
« 添加和管理异常 关于构建块规则 »