将检测警报添加到案例
Elastic Stack Serverless Security
从“警报”表中,您可以将一个或多个警报附加到新案例或现有案例。任何规则类型的警报都可以添加到案例中。
注意
- 将警报添加到案例后,您可以从警报摘要下的案例活动中删除它,也可以使用案例 API。
- 每个案例最多可以有 1,000 个警报。
将警报添加到新案例
执行以下操作之一
- 要将单个警报添加到案例,请在“警报”表中选择更多操作菜单 (…),或者在警报详细信息弹出窗口中选择采取操作,然后选择添加到新案例。
- 要添加多个警报,请选择警报,然后从批量操作菜单中选择添加到新案例。
为案例指定一个名称,分配严重级别,并提供描述。您可以在案例描述中使用 Markdown 语法。
注意如果您未为案例分配严重级别,则默认情况下将分配为低。
(可选)添加类别、受让人和相关标签。只有满足必要的先决条件,才能添加用户。
指定是否要同步关联警报的状态。默认情况下启用该选项;但是,您可以随时打开或关闭此设置。如果保持启用状态,则每当修改案例的状态时,警报的状态都会更新。
选择一个连接器。如果您之前添加过一个连接器,则该连接器将显示为默认选择。否则,默认设置为
No connector selected(未选择连接器)。完成所有必填字段后,单击创建案例。将显示一条确认消息,其中包含查看新案例的选项。单击通知中的链接或转到“案例”页面以查看案例。
将警报添加到现有案例
执行以下操作之一
- 要将单个警报添加到案例,请在“警报”表中选择更多操作菜单 (…),或者在警报详细信息弹出窗口中选择采取操作,然后选择添加到现有案例。
- 要添加多个警报,请选择警报,然后从批量操作菜单中选择添加到现有案例。
从选择案例对话框中,选择要将警报附加到的案例。将显示一条确认消息,其中包含查看更新后的案例的选项。单击通知中的链接或转到“案例”页面以查看案例的详细信息。
注意如果您将警报附加到已配置为将其状态与关联警报同步的案例,则每当修改案例的状态时,警报的状态都会更新。
