启用威胁情报集成

Elastic Stack Serverless Security

威胁情报视图提供了一种简化的方法来收集威胁情报数据，可用于威胁检测和匹配。 威胁情报数据由从第三方威胁情报源提取的威胁指标组成。

威胁指标描述了网络或环境中潜在的威胁、异常行为或恶意活动。 它们通常用于指标匹配规则，以检测和匹配已知的威胁。 当指标匹配规则生成警报时，它包含有关匹配的威胁指标的信息。

您可以使用Elastic Agent 集成、Threat Intel 模块或自定义集成连接到威胁情报源。

×

以下是一些数据不会显示在威胁情报视图中的情况

• 如果您选择的时间范围不包含威胁指标事件数据，系统会提示您选择不同的范围。 使用 Elastic Security 应用程序中的日期和时间选择器选择新的分析范围。
• 如果 Elastic Agent 或 Filebeat Agent 尚未提取 Threat Intel 模块数据，则不会加载威胁指标事件计数。 您可以等待数据被提取，或联系您的管理员寻求帮助来解决此问题。

1. 在您要监控的主机上安装Fleet 管理的 Elastic Agent。

2. 在威胁情报视图中，单击启用来源以查看“集成”页面。 向下滚动并选择仅限 Elastic Agent 以按 Elastic Agent 集成进行过滤。

   提示

   如果您知道要安装的 Elastic Agent 集成的名称，可以直接搜索它。 或者，选择 Threat Intelligence 类别以显示可用威胁情报集成的列表。

3. 选择一个 Elastic Agent 集成，然后完成安装步骤。

4. 返回“概述”仪表板上的威胁情报视图。 如果未显示指标数据，请刷新页面或参考这些问题排查步骤。

1. 设置Filebeat Agent并启用 Threat Intel 模块。

   注意

   有关启用可用的威胁情报文件集的更多信息，请参阅Threat Intel 模块。

2. 通过在默认 Fleet 威胁情报索引模式 (logs-ti*) 之后添加适当的索引模式名称来更新 securitySolution:defaultThreatIndex高级设置。

   • 如果您仅使用 Filebeat 8.x 版本，请添加相应的 Filebeat 威胁情报索引模式。 例如，logs-ti*, filebeat-8*。
   • 如果您使用的是 Filebeat 的先前版本和当前版本，请使用唯一的索引模式名称区分威胁情报索引。 例如，如果您使用的是 Filebeat 7.0.0 和 8.0.0 版本，请将设置更新为 logs-ti*,filebeat-7*,filebeat-8*。

3. 返回“概述”仪表板上的威胁情报视图。 如果未显示指标数据，请刷新页面。

1. 设置一种将数据提取到您系统的方式。

2. 通过在默认 Fleet 威胁情报索引模式 (logs-ti*) 之后添加适当的索引模式名称来更新 securitySolution:defaultThreatIndex高级设置，例如，logs-ti*,custom-ti-index*。

   注意

   威胁情报索引不需要与 ECS 兼容。 但是，如果您希望您的警报能够通过相关的威胁指标信息进行丰富，我们强烈建议您兼容。 您可以在威胁字段中找到 ECS 兼容的威胁情报字段列表。

3. 返回“概述”仪表板上的威胁情报视图（仪表板 → 概述）。 如果未显示指标数据，请刷新页面。

   注意

   威胁情报视图搜索 threat.feed.name 字段值，以定义名称列中的源名称。 如果自定义源没有 threat.feed.name 字段或未定义 threat.feed.name 字段值，则该源将被视为未命名并标记为其他。 除非定义了 threat.feed.dashboard_id 字段，否则不会为未命名的源创建仪表板。