配置案例设置
Elastic Stack 无服务器安全
本页介绍如何更改案例关闭选项、添加自定义字段、模板和外部事件管理系统的连接器,以及创建自定义可观察类型。首先,在导航菜单中找到 案例 或使用全局搜索字段搜索 Security/Cases,然后单击 设置。在无服务器中,您可以在 Elastic Security 项目中访问案例设置,转到 案例 → 设置。
在 Elastic Stack 上,要查看和更改案例设置,您必须具有相应的 Kibana 功能权限。请参阅案例要求。
如果您在外部事件管理系统中关闭案例,则这些案例在您手动关闭它们之前,将在 Elastic Security 中保持打开状态。
要在将案例发送到外部系统时关闭案例,请选择将新事件推送到外部系统时自动关闭案例的选项。
您可以将 Elastic Security 案例推送到以下第三方系统
- ServiceNow ITSM
- ServiceNow SecOps
- Jira(包括 Jira Service Desk)
- IBM Resilient
- Swimlane
- TheHive
- Webhook - 案例管理
要推送案例,您需要创建一个连接器,该连接器存储与外部系统交互所需的信息。创建连接器后,您可以将 Elastic Security 案例设置为在发送到外部系统时自动关闭。
要创建连接器并将案例发送到外部系统,请确保您具有相应的角色权限以及Elastic Stack 订阅或无服务器项目层。有关更多信息,请参阅案例要求。
要创建新连接器
从 事件管理系统 列表中,选择 添加新连接器。
选择要将案例发送到的系统:ServiceNow、Jira、IBM Resilient、Swimlane、TheHive 或 Webhook - 案例管理。
输入所需的设置。有关连接器配置详细信息,请参阅
要更改现有连接器的设置
- 从事件管理系统列表中选择所需的连接器。
- 单击 更新 <连接器名称>。
- 在 编辑连接器 浮出控件中,根据需要修改连接器字段,然后单击 保存并关闭 以保存更改。
要更改用于将案例发送到外部系统的默认连接器,请从事件管理系统列表中选择所需的连接器。
当您将 Elastic Security 案例导出到外部系统时,案例字段会映射到外部系统中的现有字段。 例如,案例标题映射到 ServiceNow 中的简短描述和 Jira 事件中的摘要。 案例标签映射到 Jira 中的标签。 案例评论映射到 ServiceNow 中的工作说明。
当您使用 Webhook - 案例管理连接器时,可以将案例字段映射到自定义字段或现有字段。
当您将更新推送到外部系统时,映射的字段将被覆盖或附加,具体取决于字段和连接器。
不支持从外部系统检索数据。
您可以为自定义案例协作添加可选和必填字段。
在 自定义字段 部分中,单击 添加字段。
您必须提供字段标签和类型(文本或切换)。您可以选择将其指定为必填字段并提供默认值。
创建自定义字段时,它会添加到所有新的和现有的案例中。 在现有案例中,新的自定义文本字段最初具有空值。
您可以随后在 设置 页面上删除或编辑自定义字段。
此功能为技术预览版,可能会在将来的版本中更改或删除。 Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。
您可以通过添加模板来更快、更一致地创建案例。 模板定义了一个或所有案例字段(例如严重性、标签、描述和标题)以及任何自定义字段的值。
要创建模板
在 模板 部分中,单击 添加模板。
您必须提供模板名称和案例严重性。 您可以选择为每个案例字段和案例连接器添加模板标签和描述、值。
当用户创建案例时,他们可以选择选择模板并使用其值或覆盖它们。
如果您更新或删除模板,则现有案例不受影响。
确保您拥有相应的Elastic Stack 订阅或无服务器项目层。
创建自定义可观察类型,以增强案例协作。
- 在 可观察类型 部分中,单击 添加可观察类型。
- 输入可观察类型的描述性标签,然后单击 保存。
创建新的可观察类型后,您可以从 设置 页面中删除或编辑它。
您最多可以创建 10 种自定义可观察类型。
删除自定义可观察类型会删除它的所有实例。
