优化异常结果
编辑优化异常结果编辑
为了更清晰地了解真实威胁,您可以调整异常结果。以下步骤有助于减少误报。
过滤掉来自罕见使用的应用程序和进程的异常编辑
当异常包含来自已知进程的结果时,该进程仅偶尔运行,您可以过滤掉不需要的结果。
例如,要过滤掉来自名为 maintenanceservice.exe 的维护进程的结果,该进程仅偶尔执行,您需要
创建过滤器列表编辑
- 转到 机器学习 → 异常检测 → 设置。
-
点击 过滤器列表,然后点击 新建。
将显示 创建新的过滤器列表 面板。
- 输入过滤器列表 ID。
- 输入过滤器列表的描述(可选)。
- 点击 添加项目。
-
在 项目 文本框中,输入您要过滤掉异常结果的进程名称(在我们的示例中为
maintenanceservice.exe)。
-
点击 添加,然后点击 保存。
新过滤器将出现在过滤器列表中,可以添加到相关的作业中。
将过滤器添加到相关作业编辑
- 转到 机器学习 → 异常检测 → 异常资源管理器。
- 导航到需要过滤器的作业结果。如果作业结果未列出,请点击 编辑作业选择 并选择相关作业。
-
在 操作 列中,点击齿轮图标,然后选择 配置规则。
将显示 创建规则 窗口。
-
选择
- 添加过滤器列表以限制规则适用的范围.
- 相关检测器的 WHEN 语句(在我们的示例中为
process.name)。 - IS IN 语句。
-
您在 创建过滤器列表 过程中创建的过滤器。
有关更多信息,请参见 使用自定义规则自定义检测器。
- 点击 保存。
规则的更改仅影响新结果。在添加过滤器之前作业找到的所有异常仍然会显示。
克隆并重新运行作业编辑
如果您要删除该进程之前检测到的所有结果,则必须克隆并运行克隆的作业。
运行克隆的作业可能需要一些时间。仅在您完成所有作业规则更改后才运行作业。
- 转到 机器学习 → 异常检测 → 作业管理。
- 导航到您为其配置规则的作业。
- 可选地,展开作业行并点击 JSON 以验证配置的过滤器是否出现在 JSON 代码中的
custom rules下。 -
在 操作 列中,点击更多(三个点)图标,然后选择 克隆作业。
将显示 配置数据馈送 页面。
- 点击 数据预览 并检查数据是否无错误显示。
- 点击 下一步,直到显示 作业详细信息 页面。
-
为克隆的作业输入一个作业 ID,该 ID 表示它是原始作业的迭代。例如,在原始作业名称后面添加一个数字或用户名,例如
windows-rare-network-process-2。
- 点击 下一步 并检查作业是否无错误验证。您可以忽略有关多个影响因素的警告。
-
点击 下一步,然后点击 创建作业。
将显示 启动 <作业名称> 窗口。
- 选择作业将从哪个时间点开始分析异常。
-
点击 启动。
过一段时间后,结果将开始出现在 异常资源管理器 页面上。
为作业定义异常阈值编辑
某些作业使用高计数函数来查找进程事件中不寻常的峰值。对于某些进程,活动突发是正常的,例如在服务器集群上运行的自动化和维护作业。但是,有时高增量事件计数不太可能是例行行为的结果。在这种情况下,您可以定义高事件计数何时被视为异常的最小阈值。
根据您的异常检测结果,您可能需要为 packetbeat_dns_tunneling 作业设置最小事件计数阈值
- 转到 机器学习 → 异常检测 → 异常资源管理器。
- 导航到
packetbeat_dns_tunneling作业的作业结果。如果作业结果未列出,请点击 编辑作业选择 并选择packetbeat_dns_tunneling。 -
在 操作 列中,点击齿轮图标,然后选择 配置规则。
将显示 创建规则 窗口。
-
选择 添加规则适用的数值条件 以及以下
when语句WHEN actual IS GREATER THAN <X>
其中
<X>是检测到异常的阈值。 - 点击 保存。
- 要应用新阈值,请重新运行作业(作业管理 → 操作 → 启动数据馈送)。