跨集群搜索和检测规则
Elastic Stack
跨集群搜索 是一个 Elasticsearch 功能,允许一个集群(*本地*集群)查询另一个集群(*远程*集群)中的数据。 Elastic Security 的检测规则可以执行跨集群搜索来查询远程集群中的数据。
本节介绍了在检测规则中设置跨集群搜索的一般过程。 有关该过程每个部分的具体说明,请参阅链接的文档。
在本地集群上,建立信任并设置到远程集群的连接,使用以下方法之一。 无论哪种方法,请记下您为远程集群指定的唯一名称,因为在此过程中您都需要使用它。
- 使用 API 密钥身份验证添加远程集群 — 集群必须在 Elastic Stack 版本 8.14 或更高版本上。
- 使用 TLS 证书身份验证添加远程集群
在本地和远程集群上,创建用于跨集群搜索权限的角色,并确保这两个角色具有 *相同* 的名称。为每个角色分配以下权限
本地集群角色:使用每个索引的 *本地和远程* 索引模式,将
read权限分配给您要搜索的索引。要指定远程索引,请使用<remote_cluster_name>:<index_name>模式。例如,如果远程集群的名称为
remote-security-data,并且您想要查询logs-*索引,请同时包含logs-*和remote-security-data:logs-*索引模式,并为它们分配read权限。
远程集群角色:将
read和read_cross_cluster权限分配给您要搜索的索引。您无需在此处包含远程集群的名称。
在本地集群上
将您刚刚创建的角色分配给您想要配置跨集群检测规则的用户。
重要- 此步骤确保从用户到规则本身应用读取远程索引的权限。 当用户创建新规则或保存对现有规则的编辑时,其当前权限将保存到规则的 API 密钥。 如果该用户的权限将来发生更改,则在您手动更新之前,规则的 API 密钥将不会更新。 有关详细信息,请参阅 更新规则的 API 密钥。
- 该用户还必须具有 管理和预览规则的相应权限。
以该用户身份,配置一个搜索远程索引的规则:创建或编辑规则,然后在“来源”部分中输入
<remote_cluster_name>:<index_name>模式。
注意如果规则的“来源”使用数据视图而不是索引模式,则必须单独定义用于跨集群搜索的数据视图,使用
<remote_cluster_name>:<index_name>模式。有关定义数据视图的更多信息,请参阅 将数据视图与跨集群搜索一起使用。(可选)预览规则以测试其预期结果。
重要规则预览使用当前用户的跨集群搜索权限,而规则本身使用保存在其 API 密钥中的权限快照运行,密钥是在创建时保存的。 如果执行预览的用户具有与规则的 API 密钥中保存的权限不同的权限,则预览结果可能与规则的实际行为不同。
保存并启用规则。
每个检测规则都有其自己的 API 密钥,该密钥确定规则允许访问的数据和操作。 当用户创建新规则或更改现有规则时,其当前权限将保存到规则的 API 密钥。 如果该用户的权限将来发生更改,则规则不会自动使用用户的最新权限进行更新 — 如果要更新其权限,则必须更新规则的 API 密钥。
规则的 API 密钥与您可能为 本地和远程集群之间的身份验证 创建的 API 密钥不同。
要更新规则的 API 密钥,请以具有您要应用于规则的权限的用户身份登录到本地集群,然后执行以下任一操作
编辑并保存规则。
手动更新规则的 API 密钥
在导航菜单中或使用 全局搜索字段 查找 Stack Management,然后转到 Rules。
使用搜索框和过滤器查找要更新的规则。 例如,使用 类型 过滤器查找 安全 类别下的规则。
选择规则的操作菜单 (…),然后选择 更新 API 密钥。
提示要更新多个规则,请选中它们的复选框,然后单击 已选择 x 个规则 → 更新 API 密钥。