修改检测规则

您可以修改检测规则以更好地满足您的团队和环境的需求。按照以下步骤修改攻击者行为分析(ABA)检测规则用户行为分析(UBA)检测规则.

修改ABA检测规则

在检测规则页面的“攻击者行为分析”选项卡上,单击检测规则以打开规则详细信息查看面板。在这里,您可以查看其他上下文、更改规则操作和创建规则的异常。

更改规则操作

您可以配置规则操作以更改InsightIDR在检测发生时的反应方式。

检测规则自动配置三个规则操作之一:

  • 进行调查发生检测时,将在InsightIDR中自动创建调查。通过此操作,日志搜索还将跟踪一个值得注意的事件。您可以配置您的配置文件设置创建调查时发送电子邮件警报。当您希望在发生事件时使用此选项。
  • 跟踪显着的事件无论何时发生检测,都将在日志搜索中记录检测。不会创建调查,也不会发送电子邮件。对于您希望在查看活动时了解但不希望收到通知的事件,请使用此选项。
  • 意味着在InsightIdr中不跟踪或使用规则。使用此选项查找您不希望跟踪的事件。

要更改规则操作:

  1. 单击检测规则打开规则详细信息PEEK面板。
  2. 在“规则”下拉目中,选择是否要创建调查的检测规则,跟踪值得注意的事件,或关闭。

添加例外情况

您可以在指定条件下添加异常以关闭检测规则。

  1. 通过单击检测规则打开规则详细信息查看面板,并导航到例外标签。
  2. 点击创建新异常按钮
  3. 添加要从检测规则操作中排除的键值对。键值对由两个元素组成:定义数据集的密钥,以及属于集合的值。您可以使用异常运算符定义密钥与键值对中的值之间的关系。您还可以通过单击使用和运营商添加多个对添加键值对按钮
  4. (可选)输入异常名称并添加注释,以提供有关异常的其他上下文。
  5. 点击创造例外.

例外运营商

使用异常运算符定义键-值对中键和值之间的关系。选中复选框以激活或停用区分大小写的运算符。

区分大小写的运算符

操作员 描述
当值是指定的文本时,将从规则操作中排除键值对。
包含 当值包含指定文本时,将从规则操作中排除键值对。
开始于 当值以指定文本开头时,将从规则操作中排除键值对。

不区分大小写的运算符

操作员 描述
ICONTAINS 当值案例不敏感地包含指定的文本时,键值对将从规则操作中排除。
ISTARTS-WITH 当值大小写以指定文本不敏感地开始时,将从规则操作中排除键值对。

编辑例外

您可以在创建异常后对其进行编辑。

  1. 通过单击检测规则打开规则详细信息查看面板,并导航到异常选项卡。
  2. 单击要编辑的异常的铅笔图标。
  3. 制作所需的修改,然后单击保存更改.

删除例外情况

删除异常是永久性的,无法撤消。

  1. 通过单击检测规则打开规则详细信息查看面板,并导航到例外标签。
  2. 点击垃圾图标对于要删除的例外情况。
  3. 在弹出窗口中,确认您要删除异常。

修改UBA检测规则

术语更新

截至2021年8月,我们更新了与规则行动相关的术语,使其更易理解、更清晰、更一致:

  • 规则行动取代类型作为专栏标题
  • 进行调查取代警觉的
  • 跟踪显着的事件取代显著行为
  • 取代禁用

在检测规则页面的用户行为分析选项卡上,可以配置规则操作以更改InsightIDR对某些用户行为的反应方式。

UBA规则按字母顺序显示,并自动配置为三个规则操作之一:

  • 进行调查发生检测时,将在InsightIDR中自动创建调查。通过此操作,日志搜索还将跟踪一个值得注意的事件。您可以配置您的配置文件设置创建调查时发送电子邮件警报。当您希望在发生事件时使用此选项。
  • 跟踪显着的事件无论何时发生检测,都将在日志搜索中记录检测。不会创建调查,也不会发送电子邮件。对于您希望在查看活动时被告知但不希望被通知的事件,请使用此选项。
  • 意味着在InsightIdr中不跟踪或使用规则。使用此选项查找您不希望跟踪的事件。

要更改规则操作:

切换规则行动下拉列表要创建调查,跟踪显着事件或已关闭。

警报计数

修改内置警报时,“Count”列表示在过去28天内发生的该类型的开放调查次数。