« 查询警报索引 预构建规则参考 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报

微调检测规则

编辑

微调检测规则编辑

使用 Elastic 安全应用程序,您可以微调预构建和自定义检测规则以优化警报生成。为减少噪音,您可以

  • 向检测规则添加例外

    建议使用例外,因为这可以确保即使在更新预构建规则后,排除的源事件值也能保留。

  • 禁用很少生成可操作警报的检测规则,因为它们符合预期的本地行为、工作流程或策略例外。
  • 克隆和修改检测规则查询,使其与本地策略例外保持一致。这可以减少噪音,同时保留可操作的警报。
  • 克隆和修改检测规则风险评分,并使用分支逻辑将更高的风险评分映射到更高优先级的工作流程。
  • 为自定义查询规则启用警报抑制,以减少重复或重复警报的数量。

有关针对特定类别微调规则的详细信息

过滤掉不常见的应用程序警报编辑

组织经常使用不常见和内部开发的应用程序。有时,这些可能会触发不需要的警报。要阻止规则与应用程序匹配,请为所需的应用程序添加例外。

例如,要防止 异常的进程执行路径 - 备用数据流 规则为名为 myautomatedbuild 的内部应用程序生成警报

  1. 转到 规则检测规则 (SIEM)

  2. 搜索并单击 异常的进程执行路径 - 备用数据流 规则。

    将显示“异常的进程执行路径 - 备用数据流”规则详细信息页面。

    Rule details page
  3. 选择 规则例外 选项卡,然后单击 添加规则例外

  4. 填写以下选项

    • 字段process.name
    • 运算符is

    • myautomatedbuild

      Add Rule Exception UI
  5. 单击 添加规则例外

微调检测授权进程的规则编辑

授权的安全测试、系统工具、管理框架和管理活动可能会触发检测规则。这些合法活动包括

  • 授权的安全研究。
  • 运行脚本的系统和软件管理进程,包括启动子进程的脚本。
  • 创建用户、安排任务、建立 psexec 连接和运行 WMI 命令的管理和管理框架。
  • 使用 whoami 命令的合法脚本。
  • 使用文件共享(例如备份程序)并使用服务器消息块 (SMB) 协议的应用程序。

要减少授权活动的噪音,您可以执行以下任何操作

  • 向规则添加一个例外,排除特定的服务器,例如相关的ホスト名、代理名或其他常见的标识符。例如,host.name is <server-name>
  • 向规则添加一个例外,排除特定的进程。例如,process.name is <process-name>
  • 向规则添加一个例外,排除一个普通用户。例如,user.name is <security-tester>

另一个有用的技巧是为由授权活动触发的规则分配较低的风险评分。这可以实现检测,同时将生成的警报排除在高优先级工作流程之外。使用以下步骤

  1. 在添加例外之前,复制预构建规则。
  2. 向原始预构建规则添加一个例外,排除相关的用户或进程名(user.name is <user-name>process.name is "process-name")。

  3. 编辑复制的规则,如下所示

    • 降低 风险评分编辑规则设置关于 选项卡)。

    • 添加一个例外,以便规则仅匹配原始预构建规则中排除的用户或进程名。(user.name is not <user-name>process.name is not <process-name>)。

      Example of `is not` exception in the Add Rule Exception UI
  4. 单击 添加规则例外

微调 Windows 子进程和 PowerShell 规则编辑

正常的用户活动有时可能会触发以下一项或多项规则

虽然所有规则都可以根据需要进行调整,但在向这些规则添加例外时要小心。例外可能会导致客户端执行未被检测到,或者持久性或恶意软件威胁未被注意到。

这些规则可能会产生噪音的例子包括

  • 从受信任的第三方来源接收和打开电子邮件附件的 Microsoft Office 文件,其中包含活动内容(例如宏或脚本)。
  • 授权的技术支持人员,他们向远程工作人员提供用于收集故障排除信息的脚本。

在这些情况下,可以使用相关的 process.nameuser.namehost.name 条件向规则添加例外。此外,您还可以创建风险评分较低的重复规则。

微调网络规则编辑

正常网络行为的定义在不同的组织中差异很大。不同的网络符合不同的安全策略、标准和法规。当正常的网络活动触发警报时,可以禁用或修改网络规则。例如

  • 要排除特定的来源,请添加一个带有相关 IP 地址的 source.ip 例外,以及一个带有相关端口号的 destination.port 例外(source.ip is 196.1.0.12destination.port is 445)。
  • 要排除整个子网的源网络流量,请添加一个带有相关 CIDR 表示法的 source.ip 例外(source.ip is 192.168.0.0/16)。
  • 要排除特定目标端口的目标 IP,请添加一个带有 IP 地址的 destination.ip 例外,以及一个带有端口号的 destination.port 例外(destination.ip is 38.160.150.31destination.port is 445
  • 要排除特定目标端口的目标子网,请添加一个使用 CIDR 表示法的 destination.ip 例外,以及一个带有端口号的“destination.port”例外(destination.ip is 172.16.0.0/12destination.port is 445)。

微调指标匹配规则编辑

请执行以下步骤来微调指标匹配规则

  • 在指标索引查询中指定详细的查询。指标索引查询的结果由检测引擎用来查询规则定义的索引模式中指定的索引。不使用查询或使用通配符 *** 查询可能会导致您的规则执行非常大的查询。
  • 将规则的额外回溯时间限制为尽可能短的持续时间,并且不超过 24 小时。
  • 通过安排规则以一小时或更长的间隔运行来避免集群性能问题。例如,避免安排指标匹配规则每五分钟检查一次指标。

Elastic 安全对指标匹配规则的支持有限。有关更多信息,请访问支持限制

来自常见基于云的网络流量的噪音编辑

在基于云的组织中,远程工作人员有时会通过互联网访问服务。家庭网络的安全策略可能与托管公司网络的安全策略不同,这些规则可能需要调整以减少合法管理活动的噪音

如果您的组织分布广泛,并且员工经常出差,请使用 windows_anomalous_user_name_ecslinux_anomalous_user_name_ecssuspicious_login_activity_ecs 机器学习 作业来检测可疑的身份验证活动。

« 查询警报索引 预构建规则参考 »