实体存储

Elastic Stack 无服务器安全

实体存储允许您查询、协调、维护和持久化实体元数据，例如

• 摄取的日志数据
• 来自集成身份提供商的数据（例如 Active Directory、EntraID 和 Okta）
• 来自内部和外部警报的数据
• 外部资产存储库数据
• 资产重要性数据
• 实体风险评分数据

实体存储可以保存 Elastic Security 观察到的任何实体类型。它允许您查看和查询索引中表示的选定实体，而无需对可观察数据执行实时搜索。实体存储从 Elastic Security 默认数据视图中的所有索引中提取实体。

启用实体存储后，将为每个实体类型（主机、用户和服务）生成以下资源

• Elasticsearch 资源，例如转换、摄取管道和丰富策略。
• 每个实体的数据和字段。
• .entities.v1.latest.security_user_<space-id>、.entities.v1.latest.security_host_<space-id>和.entities.v1.latest.security_services_<space-id>索引，其中分别包含主机、用户和服务的字段映射。您可以查询这些索引以查看实体存储中映射的字段列表。

要启用实体存储

1. 在导航菜单中找到实体存储，或使用全局搜索字段。
2. 在实体存储页面上，打开切换开关。

启用实体存储后，实体分析仪表板将显示实体部分。

启用实体存储后，您可能希望清除存储的数据并重新开始。例如，如果您标准化了user.name、host.name或service.name字段，清除实体存储数据将允许您使用更新的标准化值重新填充实体存储。此操作将删除所有先前提取的实体信息，从而实现新的数据提取和分析。

清除实体存储数据不会删除您的源数据、分配的实体风险评分或资产重要性分配。

要清除实体数据

1. 在导航菜单中找到实体存储，或使用全局搜索字段。
2. 在实体存储页面上，选择清除。

启用实体存储后，实体存储页面将显示引擎状态选项卡，您可以在其中验证安装了哪些引擎及其状态。此选项卡显示每个已安装实体的已安装资源列表。单击资源链接以导航到资源页面并查看更多信息。