创建和管理值列表
编辑创建和管理值列表编辑
值列表包含多个相同 Elasticsearch 数据类型的值,例如 IP 地址,这些值用于确定何时异常阻止生成告警。您可以使用值列表为检测规则定义异常;但是,您不能使用值列表为端点规则定义异常。
值列表是包含相同 Elasticsearch 数据类型 的项目列表。您可以使用以下类型创建值列表
-
关键字(许多 ECS 字段 都是关键字) -
IP 地址 -
IP 范围 -
文本
创建值列表后,您可以使用 is in list 和 is not in list 运算符来 定义异常。
您也可以在创建指标匹配规则时,将值列表用作 指标匹配索引。
创建值列表编辑
创建用于规则异常的值列表时,请注意列表的大小和数据类型。所有规则类型都支持值列表异常,但极大的列表或某些数据类型存在限制。
自定义查询、机器学习和指标匹配规则支持以下值列表类型和大小
- 关键字 或 IP 地址 列表类型,其值超过 65,536 个
-
IP 范围 列表类型,其值超过 200 个连字符表示法(例如,
127.0.0.1-127.0.0.4是一个值)或超过 65,536 个 CIDR 表示法值
要创建值列表
-
准备一个
txt或csv文件,其中包含您要用于从单个列表中确定异常的所有值。如果您使用txt文件,则换行符充当分隔符。- 文件中的所有值必须为相同的 Elasticsearch 类型。
- 值列表不支持通配符。值必须是字面量值。
- 接受的最大文件大小为 900 万字节。
- 转到 规则 → 检测规则 (SIEM)。
-
点击 管理值列表。 管理值列表 窗口将打开。
- 从 值列表类型 下拉菜单中选择列表类型(关键字、IP 地址、IP 范围 或 文本)。
- 拖动或选择包含值的
csv或txt文件。 - 点击 导入值列表。
如果您导入的文件名已存在,则不会创建新列表。而是将导入的值添加到现有列表中。
管理值列表编辑
您可以编辑、删除或导出现有值列表。
编辑值列表编辑
- 转到 规则 → 检测规则 (SIEM)。
- 点击 管理值列表。 管理值列表 窗口将打开。
- 在 值列表 表中,点击您要编辑的值列表。
-
执行以下任一操作
-
筛选列表中的项目:使用 KQL 搜索栏在列表中查找值。根据列表的类型,您可以按
keyword、ip_range、ip或text字段筛选。例如,要筛选关键字类型值列表中的 Gmail 地址,请在搜索栏中输入keyword:*gmail.com。您还可以按
updated_by字段(例如,updated_by:testuser)或updated at字段(例如,updated_at < now)筛选。 - 向列表中添加单个项目:点击 创建列表项目,输入一个值,然后点击 添加列表项目。
-
批量上传列表项目:拖动或选择包含您要添加的值的
csv或txt文件,然后点击 上传。 -
编辑值:在“值”列中,转到您要编辑的值,然后点击 编辑 按钮 (
)。编辑完成后,点击 保存 按钮 (
) 保存更改。点击 取消 按钮 (
) 撤消更改。 -
删除值:点击 删除值 按钮 (
) 从列表中删除值。
-
您还可以在创建和管理使用值列表的异常时编辑值列表。
导出或删除值列表编辑
- 转到 规则 → 检测规则 (SIEM)。
- 点击 管理值列表。 管理值列表 窗口将打开。
-
从 值列表 表中,您可以
- 点击 导出值列表 按钮 (
) 导出值列表。 -
点击 删除值列表 按钮 (
) 删除值列表。
- 点击 导出值列表 按钮 (