使用检测器
创建检测器后,它将与其他已保存到系统的检测器一起显示在“威胁检测器”页面上。然后,您可以对每个检测器执行多项操作,从编辑其详细信息到更改其状态。请参阅以下各节,了解可用操作的说明。
威胁检测器列表
威胁检测器列表包括搜索栏、“状态”下拉列表和“日志类型”下拉列表。
- 使用搜索栏按检测器名称进行筛选。
- 选择“状态”下拉列表以按“活动”和“非活动”状态筛选列表中的检测器。
- 选择“日志类型”下拉列表以按列表中显示的任何日志类型筛选检测器(选项取决于列表中存在的检测器及其日志类型)。
编辑检测器
要编辑检测器,请首先在列表的“检测器名称”列中选择检测器链接。检测器详细信息窗口将打开并显示有关检测器配置的详细信息。
- 在窗口的左上角,详细信息窗口显示检测器的名称及其状态(“活动”或“非活动”)。
- 在窗口的右上角,您可以选择“查看警报”以转到“警报”窗口或“查看发现”以转到“发现”窗口。您还可以选择“操作”以对检测器执行操作。请参阅检测器操作。
- 在窗口的下部,选择“检测器详细信息”或“检测规则”的“编辑”按钮以进行相应的更改。
- 最后,您可以选择“字段映射”选项卡以编辑检测器的字段映射,或选择“警报触发器”选项卡以编辑与检测器关联的警报。
选择“警报触发器”选项卡后,您还可以通过选择页面底部的“添加另一个警报条件”为检测器添加其他警报。
威胁情报源
威胁情报源是一种实时、连续的数据流,用于收集与风险或威胁相关的信息。战术威胁情报源中表明您的集群可能已受到威胁的信息片段,例如来自未知用户或位置的登录,或读写量增加等异常活动,称为入侵指标 (IOC)。调查人员可以使用这些 IOC 来帮助隔离安全事件。
从 OpenSearch 2.12 开始,您可以为与恶意 IP 地址相关的 Sigma 规则启用威胁情报。
要启用威胁情报源,请选择“启用基于威胁情报的检测”选项。
威胁情报源仅适用于标准日志类型。
检测器操作
威胁检测器操作允许您停止和启动检测器或删除检测器。要启用操作,请首先选择列表中一个或多个检测器旁边的复选框。
更改检测器状态
- 选择列表中要更改状态的一个或多个检测器。“操作”下拉列表将变为可用。
- 根据检测器当前是处于活动状态还是非活动状态,选择“停止检测器”或“启动检测器”。稍后,检测器的状态更改将显示在检测器列表中,显示为“非活动”或“活动”。
删除检测器
- 选择列表中要删除的一个或多个检测器。“操作”下拉列表将变为可用。
- 在下拉列表中选择“删除”。“删除检测器”弹出窗口将打开,并要求您验证是否要删除一个或多个检测器。
- 选择“取消”以拒绝此操作。选择“删除检测器”以从列表中永久删除一个或多个检测器。