配置网络地图数据

Elastic Stack Serverless Security

根据您的 Kibana 设置，要在 **网络** 页面的地图上显示数据并与之交互，您可能需要

• 创建 Kibana 数据视图
• 向事件添加地理 IP 数据
• 映射您的内部网络

要在 Elastic Stack 中查看地图，您需要一个角色，该角色至少具有 Maps 功能的 Read 权限。 在 Serverless 中，您需要相应的预定义用户角色或具有Maps功能至少Read权限的自定义角色。

要显示地图数据，您必须定义一个 Kibana 数据视图，其中包含 securitysolution:defaultIndex 字段中指定的一个或多个索引。 要查看这些索引，请在导航菜单中或使用全局搜索字段找到 **堆栈管理**，然后转到 **高级设置** → **securitysolution:defaultIndex**。

例如，要在地图上显示存储在与索引模式 servers-europe-* 匹配的索引中的数据，您必须使用索引模式与 servers-europe-* 匹配的 Kibana 数据视图，例如 servers-*。

当 ECS source.geo.location 和 destination.geo.location 字段映射后，网络数据将显示在地图上。

如果您使用 Beats，请配置 geoIP 处理器以将数据添加到相关字段

1. 定义一个使用一个或多个 geoIP 处理器将位置信息添加到事件的采集节点管道。 例如，使用 Kibana 中的控制台创建以下管道

    PUT _ingest/pipeline/geoip-info {
     "description": "Add geoip info",
     "processors": [
       {
         "geoip": {
           "field": "client.ip",
           "target_field": "client.geo",
           "ignore_missing": true
         }
       },
       {
         "geoip": {
           "field": "source.ip",
           "target_field": "source.geo",
           "ignore_missing": true
         }
       },
       {
         "geoip": {
           "field": "destination.ip",
           "target_field": "destination.geo",
           "ignore_missing": true
         }
       },
       {
         "geoip": {
           "field": "server.ip",
           "target_field": "server.geo",
           "ignore_missing": true
         }
       },
       {
         "geoip": {
           "field": "host.ip",
           "target_field": "host.geo",
           "ignore_missing": true
         }
       }
     ]
   }
   

   在此示例中，管道 ID 为 geoip-info。 field 指定包含用于地理查找的 IP 地址的字段，而 target_field 是将保存地理信息的字段。 "ignore_missing": true 配置管道以在遇到没有指定字段的事件时继续处理。

   提示

   可以使用 GeoLite2-ASN.mmdb 数据库添加自治系统号 (ASN) 字段的示例采集管道可以在此处找到。

2. 在您的 Beats 配置文件中，将管道添加到 output.elasticsearch 标记

   output.elasticsearch:
     hosts: ["localhost:9200"]
     pipeline: geoip-info
   

   1. 此字段的值必须与步骤 1 中的采集管道名称相同（本示例中为 geoip-info）。

如果要将网络的内部 IP 地址添加到地图，请在主机上 Beats 配置文件中的 processors 标记下定义地理位置字段

processors:
 - add_host_metadata:
 - add_cloud_metadata: ~
 - add_fields:
     when.network.source.ip: <private/IP address>
     fields:
       source.geo.location:
         lat: <latitude coordinate>
         lon: <longitude coordinate>
     target: ''
 - add_fields:
     when.network.destination.ip: <private/IP address>
     fields:
       destination.geo.location:
         lat: <latitude coordinate>
         lon: <longitude coordinate>
     target: ''

1. 对于 IP 地址，您可以使用 private 或 CIDR 表示法。