加载中

将检测警报添加到案例

Elastic Stack Serverless Security

在“警报”表中,您可以将一个或多个警报附加到 新案例现有案例。来自任何规则类型的警报都可以添加到案例中。

注意
  • 将警报添加到案例后,您可以在警报摘要下的案例活动中将其移除,或通过使用 Cases API 移除。
  • 每个案例最多可以包含 1,000 个警报。
add alert to case

将警报添加到新案例

  1. 执行以下任一操作

    • 要将单个警报添加到案例,请在“警报”表中选择 **更多操作** 菜单 (…​),或在警报详细信息弹出窗口中选择 **操作**,然后选择 **添加到新案例**。
    • 要添加多个警报,请选择警报,然后从 **批量操作** 菜单中选择 **添加到新案例**。

  2. 为案例命名,分配严重性级别,并提供描述。您可以在案例描述中使用 Markdown 语法。

    注意

    如果您未为案例分配严重性级别,则默认将其分配为 **低**。

  3. 可选地,添加类别、分配给的用户和相关标签。只有满足必要 先决条件 的用户才能添加。

  4. 指定您是否希望同步关联警报的状态。此选项默认启用;但是,您可以随时打开或关闭此设置。如果保持启用状态,则每当案例的状态发生更改时,警报的状态也会更新。

  5. 选择一个连接器。如果您之前已添加一个连接器,则该连接器将显示为默认选择。否则,默认设置为 未选择连接器

  6. 在完成所有必填字段后,点击 **创建案例**。将显示一条确认消息,其中包含查看新案例的选项。点击通知中的链接或转到“案例”页面以查看案例。

add alert to new case

将警报添加到现有案例

  1. 执行以下任一操作

    • 要将单个警报添加到案例,请在“警报”表中选择 **更多操作** 菜单 (…​),或在警报详细信息弹出窗口中选择 **操作**,然后选择 **添加到现有案例**。
    • 要添加多个警报,请选择警报,然后从 **批量操作** 菜单中选择 **添加到现有案例**。

  2. 在 **选择案例** 对话框中,选择要将警报附加到的案例。将显示一条确认消息,其中包含查看已更新案例的选项。点击通知中的链接或转到“案例”页面以查看案例的详细信息。

    注意

    如果将警报附加到已配置为与其关联警报同步状态的案例,则每当案例的状态发生更改时,警报的状态都会更新。

Select case dialog listing existing cases
© . This site is unofficial and not affiliated with Elasticsearch BV.