创建和管理值列表
编辑创建和管理值列表
编辑值列表保存相同 Elasticsearch 数据类型的多个值,例如 IP 地址,用于确定何时由例外阻止生成警报。 您可以使用值列表为检测规则定义例外;但是,您不能使用值列表来定义端点规则例外。
值列表是具有相同 Elasticsearch 数据类型的项的列表。 您可以使用以下类型创建值列表:
-
Keywords(许多ECS 字段都是关键字) -
IP 地址 -
IP 范围 -
文本
创建值列表后,您可以使用 is in list 和 is not in list 运算符来定义例外。
在创建指标匹配规则时,您还可以将值列表用作指标匹配索引。
创建值列表
编辑为规则例外创建值列表时,请注意列表的大小和数据类型。所有规则类型都支持值列表例外,但极大的列表或某些数据类型存在限制。
自定义查询、机器学习和指标匹配规则支持以下值列表类型和大小:
- 关键字或 IP 地址列表类型,具有超过 65,536 个值
-
IP 范围列表类型,具有超过 200 个短划线表示法值(例如,
127.0.0.1-127.0.0.4是一个值)或超过 65,536 个 CIDR 表示法值
要创建值列表:
-
准备一个
txt或csv文件,其中包含您要用于从单个列表确定例外情况的所有值。 如果使用txt文件,则新行将充当分隔符。- 文件中的所有值必须属于相同的 Elasticsearch 类型。
- 值列表不支持通配符。值必须是文字值。
- 接受的最大文件大小为 900 万字节。
- 在导航菜单中找到检测规则 (SIEM),或者使用全局搜索字段。
-
单击管理值列表。 将打开管理值列表窗口。
- 从值列表的类型下拉列表中选择列表类型(关键字、IP 地址、IP 范围或文本)。
- 拖动或选择包含值的
csv或txt文件。 - 单击导入值列表。
如果导入的文件名已存在,则不会创建新列表。导入的值将添加到现有列表中。
管理值列表
编辑您可以编辑、删除或导出现有值列表。
编辑值列表
编辑- 在导航菜单中找到检测规则 (SIEM),或者使用全局搜索字段。
- 单击管理值列表。 将打开管理值列表窗口。
- 在值列表表中,单击要编辑的值列表。
-
执行下列任何操作:
-
筛选列表中的项目:使用 KQL 搜索栏查找列表中的值。 根据列表的类型,您可以按
keyword、ip_range、ip或text字段进行筛选。 例如,要按keyword类型的值列表中按 Gmail 地址进行筛选,请在搜索栏中输入keyword:*gmail.com。您还可以按
updated_by字段(例如,updated_by:testuser)或updated at字段(例如,updated_at < now)进行筛选。 - 向列表中添加单个项目:单击创建列表项,输入一个值,然后单击添加列表项。
-
批量上传列表项:拖动或选择包含要添加的值的
csv或txt文件,然后单击上传。 -
编辑值:在“值”列中,转到要编辑的值,然后单击编辑按钮(
)。编辑完成后,单击保存按钮(
)以保存更改。单击取消按钮(
)以恢复更改。 -
删除值:单击删除值按钮(
)以从列表中删除值。
-
在创建和管理使用值列表的例外时,您也可以编辑值列表。
导出或删除值列表
编辑- 在导航菜单中找到检测规则 (SIEM),或者使用全局搜索字段。
- 单击管理值列表。 将打开管理值列表窗口。
-
从值列表表中,您可以执行以下操作:
- 单击导出值列表按钮(
)以导出值列表。 -
单击删除值列表按钮(
)以删除值列表。
- 单击导出值列表按钮(