修改检测规则
您可以修改Detection Rules以更好地满足您的团队和环境的需要。按照以下步骤进行修改攻击者行为分析(ABA)检测规则和用户行为分析(UBA)检测规则.
修改ABA检测规则
在“检测规则”页面的“攻击者行为分析”页签中,单击某条检测规则,打开“规则详细信息”面板。在这里,您可以查看附加上下文、更改规则操作和创建规则的异常。
变化规律的行动
您可以配置规则动作来改变InsightIDR在检测发生时的反应方式。
检测规则自动配置三种规则动作之一:
- 创建调查将在检测发生时自动在InsightIDR中创建一个Investigation。通过这个操作,日志搜索还将跟踪一个值得注意的事件。您可以配置您的配置文件设置在创建调查时发送电子邮件提醒。当您希望在事件发生时得到通知时,请使用此选项。
- 跟踪引人注目的事件将在日志搜索中记录检测。不会创建调查,也不会发送电子邮件。对于您在查看活动时希望了解但不希望被通知的事件,请使用此选项。
- 从表示InsightIDR中不跟踪或不使用规则。对于不希望跟踪的事件,请使用此选项。
要更改规则操作:
- 通过单击一个检测规则打开规则详细信息面板。
- 在规则操作下拉框中,选择是否希望检测规则创建调查、跟踪值得注意的事件或关闭。
添加例外
通过添加例外,可以在指定条件下关闭检测规则。
- 通过单击一个检测规则打开规则详细信息面板,并导航到异常选项卡。
- 单击创建新的异常按钮。
- 添加希望从检测规则操作中排除的键值对。键值对由两个元素组成:定义数据集的键和属于数据集的值。您可以使用除了运营商定义键-值对中的键和值之间的关系。的,还可以使用AND操作符添加多个对添加键-值对按钮。
- 可以选择输入一个异常名称,并添加一个注释来提供关于异常的附加上下文。
- 点击创建异常.
除了运营商
使用异常操作符定义键-值对中的键和值之间的关系。选择复选框激活或禁用区分大小写的操作符。
区分大小写的运营商
| 操作符 | 描述 |
|---|---|
| 是 | 当值为指定文本时,将从规则操作中排除键-值对。 |
| 包含 | 当值包含指定的文本时,键-值对将从规则操作中排除。 |
| 开始于 | 当值以指定的文本开始时,将从规则操作中排除键-值对。 |
不区分大小写的运营商
| 操作符 | 描述 |
|---|---|
| ICONTAINS | 当不区分大小写的值包含指定的文本时,键-值对将从规则操作中排除。 |
| ISTARTS-WITH | 当不区分大小写的值以指定的文本开始时,键-值对将从规则操作中排除。 |
编辑异常
您可以在创建异常后编辑异常。
- 通过单击一个检测规则打开规则详细信息面板,并导航到Exceptions选项卡。
- 单击要编辑的异常的铅笔图标。
- 进行您想要的修改并单击保存更改.
删除异常
删除异常是永久性的,并且不能撤消。
- 通过单击一个检测规则打开规则详细信息面板,并导航到异常选项卡。
- 单击垃圾图标你想要删除的例外。
- 在弹出的窗口中,确认您想要删除异常。
修改UBA检测规则
术语更新
截至2021年8月,我们更新了与Rule Actions相关的术语,使其更易于访问、更清晰和更一致:
- 规则操作已经取代了类型作为列标题
- 创建调查已经取代了警报
- 跟踪引人注目的事件已经取代了值得注意的行为
- 从已经取代了禁用
在“检测规则”页面的“用户行为分析”页签中,可以配置“规则动作”,改变InsightIDR对某些用户行为的反应方式。
UBA规则按字母顺序出现,并自动配置三个规则操作之一:
- 创建调查将在检测发生时自动在InsightIDR中创建一个Investigation。通过这个操作,日志搜索还将跟踪一个值得注意的事件。您可以配置您的配置文件设置在创建调查时发送电子邮件提醒。当您希望在事件发生时得到通知时,请使用此选项。
- 跟踪引人注目的事件将在日志搜索中记录检测。不会创建调查,也不会发送电子邮件。对于您在查看活动时希望被告知但不希望被通知的事件,请使用此选项。
- 从表示InsightIDR中不跟踪或不使用规则。对于不希望跟踪的事件,请使用此选项。
要更改规则操作:
切换的规则操作下拉菜单,可以创建调查,跟踪值得注意的事件,或者关闭。
警报计数
当修改内置警报时,“Count”列指示在过去28天内发生的该类型的开放调查的数量。
这个页面对你有帮助吗?