配置高级设置

Elastic Stack 无服务器安全

高级设置确定

• Elastic Security 用于检索数据的索引
• 机器学习异常分数显示阈值
• 整个 Elastic Security 应用程序中使用的导航菜单样式
• 新闻提要是否显示在概览仪表板上
• 用于过滤 Elastic Security 页面的默认时间间隔
• 默认 Elastic Security 页面刷新时间
• 哪些 IP 信誉链接显示在IP 详情页面上
• 是否显示跨集群搜索 (CCS) 权限警告
• 是否在规则页面表格中显示相关集成
• 警报标签菜单中提供的选项

要访问高级设置，请转到 Elastic Stack 中的 Stack Management → Advanced Settings，或无服务器中的 Project Settings → Stack Management → Advanced Settings，然后向下滚动到 Security Solution 设置。

×

securitySolution:defaultIndex字段定义了 Elastic Security 应用程序用于收集数据的 Elasticsearch 索引。默认情况下，索引模式用于匹配 Elasticsearch 索引集。

securitySolution:defaultIndex字段定义了 Elastic Security 应用程序用于收集数据的 Elasticsearch 索引。默认情况下，索引模式用于匹配 Elasticsearch 索引集

• apm-*-transaction*
• auditbeat-*
• endgame-*
• filebeat-*
• logs-*
• packetbeat-*
• winlogbeat-*

所有默认索引模式都匹配Beats和Elastic Agent索引。这意味着所有通过 Beats 和 Elastic Agent 传输的数据都会自动添加到 Elastic Security 应用程序中。

您可以根据需要添加或删除任何索引和索引模式。在无服务器中，您可以包含在逗号分隔列表中的最大项目数为 50。在 Elastic Stack 中，没有限制。有关 Elasticsearch 索引的更多信息，请参阅数据来源：文档和索引。

securitySolution:defaultThreatIndex高级设置指定了 Elastic Security 功能查询已摄取的威胁指标的威胁情报索引。此设置影响查询威胁情报索引的功能，例如概览页面上的威胁情报视图、指标匹配规则和警报丰富查询。

您可以指定一个或多个威胁情报索引；多个索引必须用逗号分隔。默认情况下，仅指定logs-ti*索引模式。不要删除或覆盖此索引模式，因为它被 Elastic Agent 集成使用。

当用户与 Elastic Security 应用程序交互时，Kibana 会传输有关 Elastic Security 的某些信息，如下详述。Kibana 会在将消息传输到 Elastic 之前编辑或混淆个人数据（IP 地址、主机名、用户名等）。安全特定的遥测事件包括

• 检测规则安全警报：有关使用检测引擎的 Elastic 编写的预构建检测规则的信息。警报数据示例包括机器学习作业影响者、进程名称和云审计事件。
• Elastic Endpoint Security 警报：有关使用 Elastic Endpoint 检测引擎检测到的恶意活动的信息。警报数据示例包括恶意进程名称、数字签名和恶意软件写入的文件名。警报元数据示例包括警报时间、Elastic Endpoint 版本和相关检测引擎版本。
• Elastic Endpoint 的配置数据：有关 Elastic Endpoint 部署配置的信息。配置数据示例包括 Endpoint 版本、操作系统版本和 Endpoint 的性能计数器。
• Elastic 规则的例外列表条目：有关为 Elastic 规则添加的例外的信息。示例包括受信任的应用程序、检测例外和规则例外。
• 安全警报活动记录：有关在 Elastic Security 应用程序中生成的警报上执行的操作的信息，例如已确认或已关闭。

要了解更多信息，请参阅我们的隐私声明。

启用安全机器学习作业后，此设置确定了异常分数显示在 Elastic Security 中的阈值

• securitySolution:defaultAnomalyScore

您可以更改这些设置，这些设置会影响 Elastic Security 概览 页面上显示的新闻提要

• securitySolution:enableNewsFeed：在安全 概览 页面上启用安全新闻提要。
• securitySolution:newsFeedUrl：从中检索安全新闻提要内容的 URL。

在可视化事件分析器查询中包含来自冷数据和冻结数据层的数据可能会导致性能下降。securitySolution:excludeColdAndFrozenTiersInAnalyzer 设置允许您从分析器查询中排除此数据。默认情况下，此设置处于关闭状态。

securitySolution:enableVisualizationsInFlyout 设置允许您在警报或事件详情弹出窗口的 可视化 标签中访问事件分析器和会话视图。

这些设置确定了当您打开应用程序时，Elastic Security 页面用于显示数据的默认时间间隔和刷新频率

• securitySolution:timeDefaults：默认时间间隔
• securitySolution:refreshIntervalDefaults：默认刷新频率

在 IP 详情页面（安全 → 网络 → IP 地址）上，会显示指向外部站点的链接，用于验证 IP 地址的信誉。默认情况下，会列出指向以下站点的链接：TALOS 和 VIRUSTOTAL。

securitySolution:ipReputationLinks 字段确定了列出的 IP 信誉站点。要修改列出的站点，请编辑该字段的 JSON 数组。必须在每个数组元素中定义以下字段

• name：链接的 UI 显示名称。
• url_template：链接的 URL。它可以包含 {{ip}}，它是您在IP 详情页面上查看的 IP 地址的占位符。

示例

在IP 详情页面上添加指向 https://www.dnschecker.org 的链接

[
  { "name": "virustotal.com", "url_template": "https://www.virustotal.com/gui/search/{{ip}}" },
  { "name": "dnschecker.org", "url_template": "https://www.dnschecker.org/ip-location.php?ip={{ip}}" },
  { "name": "talosIntelligence.com", "url_template": "https://talosintelligence.com/reputation_center/lookup?search={{ip}}" }
]

每次使用远程跨集群搜索 (CCS) 索引模式运行检测规则时，它都会返回一个警告，提示该规则可能没有访问远程索引所需的 read 权限。由于无法跨远程索引检查权限，即使该规则实际上确实拥有远程索引的 read 权限，也会显示此警告。

如果您已确保您的检测规则拥有跨远程索引的所需权限，则可以使用 securitySolution:enableCcsWarning 设置来禁用此警告并减少干扰。

默认情况下，规则和规则监控表中的 Elastic 预构建规则包含一个徽章，显示已安装的关联集成数量。 关闭 securitySolution:showRelatedIntegrations 可在规则表中隐藏此内容（相关集成仍将显示在规则详情页面上）。

securitySolution:alertTags 字段确定警报标签菜单中显示哪些选项。默认警报标签选项为 重复、误报 和 需要进一步调查。您可以通过编辑这些选项或添加更多选项来更新警报标签菜单。要了解有关使用警报标签的更多信息，请参阅应用和筛选警报标签。

securitySolution:maxUnassociatedNotes 字段确定您可以附加到警报和事件的注释的最大数量。 最大限制和默认值为 10000。

为确保 Kibana 空间中的规则在执行时排除来自冷层和冻结层的查询结果，请在 excludedDataTiersForRuleExecution 字段中指定冷层和冻结数据层。 多个数据层必须以逗号分隔，例如：data_frozen、data_cold。 默认情况下此设置处于关闭状态；启用它可以提高规则性能并减少执行时间。

此设置不适用于机器学习规则，因为机器学习异常不会存储在冷数据层或冻结数据层中。