Elastic Security 简化了预构建 SIEM 检测规则的自定义

自定义和更新预构建 SIEM 检测规则变得更简单了，提升了精准度，扩大了覆盖范围，并节省了时间。

使用 Elastic Security，定制和更新预构建检测规则变得前所未有的简单。我们简化了检测工程工作流程，并通过开箱即用的 SIEM 检测规则实现了更广泛的用例覆盖。

Elastic Security Labs 提供了 1,300 多条由专家编写的检测规则，这些规则映射到 MITRE ATT&CK 框架中的战术、技术和程序（TTPs）。我们的研究工程师积极维护和优化这些规则，每两周发布一次更新，帮助你在不断演变的威胁面前保持领先，而无需手动维护的负担。

安全团队通常会根据特定需求定制这些预构建的检测规则，无论是修改数据源、优化检测逻辑、调整警报抑制，还是配置自动化。从 8.18 和 9.0 版本开始，检测工程师可以在不丢失自定义修改的情况下应用 Elastic 提供的规则更新，无需复制规则和手动迁移更改。

检测工程的价值与挑战

检测工程是安全运营的基础。它将日志和数据转化为警报，提示安全运营中心（SOC）采取行动。检测工程师在收集的环境数据中观察到威胁后，创建聚焦且优先级明确的可视性，并优化检测结果以便进一步调查和响应。

随着技术、威胁和组织变化速度不断加快，检测工程师必须不断适应，才能生成和维护相关的检测内容。

安全团队的职责清单不断增长，因此效率至关重要。为了最大化影响力，团队必须在两者之间找到平衡：一方面利用预构建的安全内容来检测常见威胁，另一方面为特定用例创建自定义检测。聪明的安全团队会充分利用 SIEM 检测功能，遵循最佳实践，寻找自动化机会，并持续提升团队技能。

多年来，Elastic Security 一直为用户提供预构建的检测规则，公开检测逻辑，并为检测工程师分享有价值的资源。

开箱即用的内容覆盖范围广，但为了获得最佳效果，可能需要根据组织的具体需求进行调整。事实上，定制预构建规则以适应你的需求，是打造先进检测项目的关键最佳实践之一。

现在，随着 Elastic Security 8.18 和 9.0 的发布，我们简化了使用预构建规则的体验，允许你无须复制规则就能无缝修改。无论你需要调整索引模式或数据视图名称、标签、检测逻辑、警报抑制设置，还是其他任何预构建规则的部分，你都可以直接编辑它们。

编辑模式下的 Elastic 预构建规则

你可以单独编辑预构建规则，也可以通过批量操作一次性修改多个规则。

Elastic 预构建规则的批量编辑功能

我们持续审查、测试（包括内部和社区测试！）并更新现有规则，以确保它们持续发挥价值。我们的规则库每两周发布一次新规则和更新规则与时间线，这些内容可以直接在 Elastic Security 中获取。仅在 2024 年，我们就对规则库进行了超过 2,420 次更新。

规则更新通过基于威胁研究、遥测数据洞察、用户反馈和数据源变化来优化检测逻辑，从而减少误报并提高警报准确性。对调查指南的更新则为警报分类、调查和响应行动提供了更多背景和指导。

除了新发布的预构建规则编辑功能外，我们还提供了改进的规则更新体验。它支持对比即将更新的内容与当前规则版本，突出显示用户的修改，提供合并用户修改和 Elastic 修改后的最终更新建议，并允许在应用之前对更新内容进行编辑。

增强的规则更新工作流支持将用户编辑与 incoming 更新合并。

在规则更新表格中，检测工程师可以看到哪些规则需要他们关注，他们可以按修改/未修改规则进行筛选，并按严重性和风险评分排序，以确保优先更新高优先级的规则。

规则更新表格

如上所述，用户现在可以更改规则细节，如数据源、检测逻辑、调度等，而无需在丢失修改或不应用更新之间做出选择。Elastic Security 使得对修改过的规则进行升级的过程更加顺畅，将用户更改与 Elastic 更新相结合，并允许修改其他相关字段。

新发布的改进显著减少并简化了检测的维护工作，使你的 SOC 能够充分利用优化过的预构建规则，适应你的环境和用例。

此功能在 Elastic Security 8.18 和 9.0 版本中可用，通过 Elastic Security 企业订阅层为自托管和云部署提供服务，Elastic Cloud Serverless 上的 Security Analytics Complete 层也支持此功能。

要体验 Elastic 为检测工程师提供的全部功能，升级到 8.18 版本或开始你的 Elastic Security 免费试用。访问 elastic.co/security 了解更多信息并开始使用。

本文中描述的任何功能或功能的发布和时间安排均由 Elastic 自行决定。任何当前不可用的功能或功能可能不会按时交付或根本不交付。