实体存储
Elastic Stack Serverless Security
Requirements
要使用实体存储,您必须拥有相应的权限。有关更多信息,请参阅 实体风险评分要求。
实体存储允许您查询、协调、维护和持久化实体元数据,例如
- 已摄取日志数据
- 来自集成身份提供商的数据(例如 Active Directory、EntraID 和 Okta)
- 来自内部和外部警报的数据
- 外部资产存储库数据
- 资产重要性数据
- 实体风险评分数据
实体存储可以包含 Elastic Security 观察到的任何实体类型。它允许您在不执行可观察数据实时搜索的情况下,查看和查询您索引中表示的选定实体。实体存储从 Elastic Security 默认数据视图中的所有索引提取实体。
启用实体存储后,将为每种实体类型(主机、用户和服务)生成以下资源
- Elasticsearch 资源,例如转换、摄取管道和丰富策略。
- 每个实体的数据和字段。
.entities.v1.latest.security_user_<space-id>、.entities.v1.latest.security_host_<space-id>和.entities.v1.latest.security_services_<space-id>索引,其中分别包含主机、用户和服务的字段映射。您可以查询这些索引以查看实体存储中已映射字段的列表。
启用实体存储
- 在导航菜单中找到 **实体存储**,或使用 全局搜索字段。
- 在 **实体存储** 页面上,打开切换开关。
启用实体存储后,实体分析仪表板将显示 **实体** 部分。
启用实体存储后,您可能希望清除已存储的数据并重新开始。例如,如果您规范化了 user.name、host.name 或 service.name 字段,清除实体存储数据将允许您使用更新后的规范化值重新填充实体存储。此操作会删除所有先前提取的实体信息,从而启用新的数据提取和分析。
清除实体存储数据不会删除您的源数据、已分配的实体风险评分或资产重要性分配。
警告
清除实体存储数据将永久删除持久化的用户、主机和服务记录,并且数据将不再可用于分析。请谨慎操作,因为此操作无法撤销。
清除实体数据
- 在导航菜单中找到 **实体存储**,或使用 全局搜索字段。
- 在 **实体存储** 页面上,选择 **清除**。
启用实体存储后,**实体存储** 页面将显示 **引擎状态** 选项卡,您可以在其中验证已安装的引擎及其状态。此选项卡显示已安装实体的已安装资源列表。单击资源链接以导航到资源页面并查看更多信息。