Elastic detection-rules项目中New Terms规则创建的CLI缺陷分析

在Elastic detection-rules项目中，安全团队通过命令行界面(CLI)创建检测规则时发现了一个关键功能缺陷。该缺陷影响"new-terms"类型规则的创建流程，导致安全工程师无法通过标准交互方式完成规则配置。

问题本质

当用户执行python -m detection_rules create-rule命令并选择创建new-terms类型规则时，系统未能正确提示用户输入必要的"new_terms_fields"字段参数。这个核心参数用于定义需要监控新出现值的字段列表，是new-terms规则正常工作的基础配置项。

技术背景

new-terms规则是Elastic安全检测中的重要规则类型，主要用于识别字段中首次出现的值。例如：

• 监控新出现的进程名称
• 检测首次访问的URL地址
• 发现新出现的用户代理字符串

这类规则依赖于历史数据对比，需要明确指定监控字段才能正常工作。

问题根源

通过分析项目代码，发现问题出在detection_rules/cli_utils.py文件的第188行。原始代码直接尝试从kwargs中弹出"new_terms_fields"参数，但未处理该参数不存在的情况。正确的做法应该是提供默认值None，确保即使用户未预先定义该参数，系统也能正常进入交互提示流程。

解决方案

核心修复方案是对cli_utils.py进行修改：

result["value"] = schema_prompt("new_terms_fields", value=kwargs.pop("new_terms_fields", None))

这个修改确保：

1. 当kwargs中不存在new_terms_fields时，使用None作为默认值
2. 系统会正常触发交互式提示，要求用户输入必要字段
3. 保持原有参数处理逻辑不变

影响范围

该缺陷影响所有通过CLI创建new-terms规则的用户场景。由于new-terms是常用的检测规则类型，这个缺陷实际上阻碍了安全团队通过标准化流程创建重要检测规则的能力。

最佳实践建议

对于使用Elastic detection-rules项目的团队，建议：

1. 及时更新包含该修复的版本
2. 在创建new-terms规则时，确保准备监控的字段列表
3. 定期验证创建的规则是否按预期工作
4. 考虑在CI/CD流程中加入规则有效性检查

该问题的修复不仅解决了功能可用性问题，也提升了安全团队通过自动化工具管理检测规则的效率。对于依赖Elastic安全解决方案的企业来说，保持检测规则创建流程的完整性是构建有效威胁检测体系的基础。