实体风险评分要求
Elastic Stack 无服务器安全
本页介绍使用实体风险评分、资产重要性和实体存储功能的必要条件和指南,以及这些功能的已知限制。
要在 Elastic Stack 中使用这些功能,您的角色必须具有特定的集群、索引和 Kibana 权限。在无服务器环境中,您需要相应的用户角色或具有适当权限的自定义角色。
在 Elastic Stack 中,这些功能需要Platinum 订阅或更高级别。 在无服务器环境中,这些功能需要安全分析完整项目功能。
要安装或运行风险评分引擎,您需要以下条件:
| 操作 | 集群权限 | 索引权限 | Kibana 权限 |
|---|---|---|---|
| 安装风险引擎 | manage_index_templatesmanage_transformmanage_ingest_pipelines |
risk-score.risk-score-* 的 All |
Security 功能的 Read |
| 运行风险引擎 | manage_transform |
不适用 | Security 功能的 Read |
无服务器
| 操作 | 预定义角色 |
|---|---|
| 安装风险引擎 | - 平台工程师 - 管理员 |
| 运行风险引擎 | - 平台工程师 - 检测管理员 - 管理员 |
Elastic Stack
请遵循这些指南,以确保集群有足够的内存来处理数据量
- 使用 2GB 的 Java 虚拟机 (JVM) 堆内存,风险评分引擎可以安全地处理大约 4400 万个文档,或者在摄取速率为每分钟 1000 个文档的情况下处理 30 天的风险数据。
- 使用 1GB 的 JVM 堆,风险评分引擎可以安全地处理大约 2000 万个文档,或者在摄取速率为每分钟大约 450 个文档的情况下处理 30 天的风险数据。
- 风险评分引擎使用内部用户角色来对所有主机、用户和服务进行评分,并且不遵守应用于自定义用户或角色的权限。 在您为 Kibana 空间启用风险评分引擎后,该空间中的所有警报都将有助于主机、用户和服务的风险评分。
- 您无法自定义警报数据视图或与警报和资产重要性级别相关的风险权重。
要使用资产重要性,您需要以下条件:
- 在 Elastic Stack 中,您需要
.asset-criticality.asset-criticality-<space-id>索引的适当权限。 - 在无服务器环境中,您需要适当的预定义安全用户角色或具有正确的权限的
.asset-criticality.asset-criticality-<space-id>索引的自定义角色。
| 操作 | 索引权限 |
|---|---|
| 查看资产重要性 | read |
| 查看、分配或更改资产重要性 | read 和 write |
| 取消分配资产重要性 | delete |
无服务器
| 操作 | 预定义角色 |
|---|---|
| 查看资产重要性 | - 查看者 - 一级分析师 |
| 查看、分配、更改或取消分配资产重要性 | - 编辑者 - 二级分析师 - 三级分析师 - 威胁情报分析师 - 规则作者 - SOC 经理 - 终端操作分析师 - 平台工程师 - 检测管理员 - 终端策略经理 |
要启用实体存储,您需要以下条件:
manage_enrichmanage_index_templatesmanage_ingest_pipelinesmanage_transform
.asset-criticality.asset-criticality-*的read和view_index_metadatarisk-score.risk-score-*的read和manage.entities.v1.latest.*的read和manage- 所有 Elastic Security 索引的
read和view_index_metadata
Security 和 Saved Objects Management 功能的 All