Elastic Security 要求
Elastic Stack 无服务器安全
支持矩阵页面列出了经过测试的正式支持的操作系统、平台和浏览器,这些组件包括 Beats、Elastic Agent、Elastic Defend 和 Elastic Endpoint。
Elastic Stack
Elastic Security 是 Kibana 的内置部分。 要使用 Elastic Security,您只需要一个 Elastic Stack 部署(一个 Elasticsearch 集群和 Kibana)。 查看 Elastic Stack 订阅页面,了解所有功能所需的订阅计划。
Elastic Cloud 以托管服务的形式在 AWS、GCP 和 Azure 上提供 Elasticsearch、Kibana 和 Elastic Security 的所有功能。 要开始使用,请注册 免费的 Elastic Cloud 试用版。
有关自行安装和管理 Elastic Stack 的信息,请参阅 安装 Elastic Stack。
Elastic Stack
要使用 Elastic Security,您的 Elasticsearch 集群中至少有一个节点必须具有 transform 角色。 节点在创建时会自动被赋予此角色,因此如果默认角色设置保持不变,则无需进行更改。 这适用于本地和云部署。
如果您的节点具有自定义角色,则可能需要进行更改。 更新节点角色时,节点仅被分配您指定的角色,并且默认角色将被删除。 如果您需要将 transform 角色重新分配给节点,请创建一个专用转换节点。
要使用 Elastic Security,您的角色必须至少具有
- 在空间中
Security功能的Read权限。 这授予您对 Elastic Security 中所有功能的Read访问权限,除了案例。 您需要额外的最低权限才能使用案例。 - 所有 Elastic Security 索引(例如
filebeat-*、packetbeat-*、logs-*和endgame-*索引)的Read和view_index_metadata权限。
配置高级设置描述了如何修改 Elastic Security 索引。
有关索引权限的更多信息,请参阅Elasticsearch 安全权限。
特定功能有一些其他要求
配置高级设置描述了如何修改高级设置,例如 Elastic Security 索引、过滤器中使用的默认时间间隔和 IP 信誉链接。
Elastic Common Schema (ECS) 定义了一组通用字段,用于在 Elasticsearch 中存储事件数据。 ECS 帮助用户规范化其事件数据,以便更好地分析、可视化和关联事件中表示的数据。 Elastic Security 可以提取和规范化来自任何符合 ECS 的数据源的事件。
Elastic Security 需要符合 ECS 的数据。 如果您使用第三方数据采集器将数据发送到 Elasticsearch,则必须将数据映射到 ECS。Elastic Security ECS 字段参考列出了 Elastic Security 中使用的 ECS 字段。
Elastic Stack
有关如何在 Elastic Security 索引上执行跨集群搜索的信息,请参阅