修改检测规则
您可以修改检测规则以更好地满足您的团队和环境的需求。按照以下步骤修改攻击者行为分析(ABA)检测规则和用户行为分析(UBA)检测规则.
修改ABA检测规则
在检测规则页面的“攻击者行为分析”选项卡上,单击检测规则以打开规则详细信息查看面板。在这里,您可以查看其他上下文、更改规则操作和创建规则的异常。
更改规则操作
您可以配置规则操作以更改InsightIDR在检测发生时的反应方式。
检测规则自动配置三个规则操作之一:
- 进行调查发生检测时,将在InsightIDR中自动创建调查。通过此操作,日志搜索还将跟踪一个值得注意的事件。您可以配置您的配置文件设置创建调查时发送电子邮件警报。当您希望在发生事件时使用此选项。
- 跟踪显着的事件无论何时发生检测,都将在日志搜索中记录检测。不会创建调查,也不会发送电子邮件。对于您希望在查看活动时了解但不希望收到通知的事件,请使用此选项。
- 关意味着在InsightIdr中不跟踪或使用规则。使用此选项查找您不希望跟踪的事件。
要更改规则操作:
- 单击检测规则打开规则详细信息PEEK面板。
- 在“规则”下拉目中,选择是否要创建调查的检测规则,跟踪值得注意的事件,或关闭。
添加例外情况
您可以在指定条件下添加异常以关闭检测规则。
- 通过单击检测规则打开规则详细信息查看面板,并导航到例外标签。
- 点击创建新异常按钮
- 添加要从检测规则操作中排除的键值对。键值对由两个元素组成:定义数据集的密钥,以及属于集合的值。您可以使用异常运算符定义密钥与键值对中的值之间的关系。您还可以通过单击使用和运营商添加多个对添加键值对按钮
- (可选)输入异常名称并添加注释,以提供有关异常的其他上下文。
- 点击创造例外.
例外运营商
使用异常运算符定义键-值对中键和值之间的关系。选中复选框以激活或停用区分大小写的运算符。
区分大小写的运算符
| 操作员 | 描述 |
|---|---|
| 是 | 当值是指定的文本时,将从规则操作中排除键值对。 |
| 包含 | 当值包含指定文本时,将从规则操作中排除键值对。 |
| 开始于 | 当值以指定文本开头时,将从规则操作中排除键值对。 |
不区分大小写的运算符
| 操作员 | 描述 |
|---|---|
| ICONTAINS | 当值案例不敏感地包含指定的文本时,键值对将从规则操作中排除。 |
| ISTARTS-WITH | 当值大小写以指定文本不敏感地开始时,将从规则操作中排除键值对。 |
编辑例外
您可以在创建异常后对其进行编辑。
- 通过单击检测规则打开规则详细信息查看面板,并导航到异常选项卡。
- 单击要编辑的异常的铅笔图标。
- 制作所需的修改,然后单击保存更改.
删除例外情况
删除异常是永久性的,无法撤消。
- 通过单击检测规则打开规则详细信息查看面板,并导航到例外标签。
- 点击垃圾图标对于要删除的例外情况。
- 在弹出窗口中,确认您要删除异常。
修改UBA检测规则
术语更新
截至2021年8月,我们更新了与规则行动相关的术语,使其更易理解、更清晰、更一致:
- 规则行动取代类型作为专栏标题
- 进行调查取代警觉的
- 跟踪显着的事件取代显著行为
- 关取代禁用
在检测规则页面的用户行为分析选项卡上,可以配置规则操作以更改InsightIDR对某些用户行为的反应方式。
UBA规则按字母顺序显示,并自动配置为三个规则操作之一:
- 进行调查发生检测时,将在InsightIDR中自动创建调查。通过此操作,日志搜索还将跟踪一个值得注意的事件。您可以配置您的配置文件设置创建调查时发送电子邮件警报。当您希望在发生事件时使用此选项。
- 跟踪显着的事件无论何时发生检测,都将在日志搜索中记录检测。不会创建调查,也不会发送电子邮件。对于您希望在查看活动时被告知但不希望被通知的事件,请使用此选项。
- 关意味着在InsightIdr中不跟踪或使用规则。使用此选项查找您不希望跟踪的事件。
要更改规则操作:
切换规则行动下拉列表要创建调查,跟踪显着事件或已关闭。
警报计数
修改内置警报时,“Count”列表示在过去28天内发生的该类型的开放调查次数。
这页对你有帮助吗?