备注
Elastic Stack 无服务器安全
将备注纳入您的调查工作流程中,以协调响应、进行威胁搜寻和分享调查结果。您可以将备注附加到警报、事件和时间轴,并从“**备注**”页面进行管理。
备注
配置 securitySolution:maxUnassociatedNotes 高级设置,以指定您可以附加到警报和事件的最大备注数量。
您可以控制对备注的访问,方法是在“**安全**”下为“**备注**”功能设置 Kibana 权限。
打开警报或事件详情弹出框以访问“**备注**”选项卡,您可以在其中查看现有备注并添加新备注。 要快速打开选项卡,请单击“警报”或“事件”表中的“**添加备注**”操作(
)。 然后,在文本框中输入备注,然后单击“**添加备注**”以创建它。
创建备注后,“**添加备注**”图标会显示一个通知点。 在警报的详细信息弹出框中,右侧面板中的警报摘要还会显示附加到警报的备注数量。
重要事项
您只能将备注添加到已保存的时间轴。
打开“**备注**”时间轴选项卡,您可以在其中查看时间轴的现有备注并添加新备注。或者,使用从时间轴调查的警报和事件的详细信息弹出框。请注意,以这种方式添加的备注会自动附加到警报或事件和时间轴,除非您取消选择“**附加到当前时间轴**”选项。
创建备注后,“**备注**”时间轴选项卡会显示附加到时间轴的备注总数。
使用“**备注**”页面查看和交互所有现有备注。要访问该页面,请在主导航菜单中导航至“**调查**”,或使用 全局搜索字段,然后转到“**备注**”。 在“**备注**”页面中,您可以
- 搜索特定备注
- 按创建备注的用户或备注附加到的对象(备注可以附加到警报、事件或时间轴)来过滤备注
- 检查备注的内容(单击“**备注内容**”列中的文本)
- 删除一个或多个备注
- 检查备注附加到的警报或事件(单击“**展开警报/事件详情**”
图标) - 打开备注附加到的时间轴(单击“**打开已保存的时间轴**”
图标)
