加载中

打开和管理案例

Elastic Stack Serverless Security

您可以通过 UI 或 案例 API 创建和管理案例。

打开新案例以跟踪安全问题并与同事共享其详细信息。

  1. 在导航菜单中找到 **Cases**,或使用全局搜索字段搜索 Security/Cases,然后点击 **Create case**。如果没有案例存在,Cases 表将为空,系统会提示您通过点击表内的 **Create case** 按钮来创建一个。

  2. 如果您定义了模板,则可以 optionally 选择一个来使用其默认字段值。[预览]

  3. 为案例命名,分配严重性级别,并提供描述。您可以在案例描述中使用Markdown 语法。

    注意

    如果您未为案例分配严重性级别,则默认情况下它将被分配为 **Low**。

    提示

    通过点击时间轴图标(时间轴图标)可以在案例描述中插入时间轴链接。

  4. Optionaly,添加类别、分配对象和相关标签。您只能添加满足必要先决条件的用户。

  5. 如果您定义了自定义字段,它们会出现在 **Additional fields** 部分。[预览]

  6. 选择是否要在将警报添加到案例后,警报状态与案例状态同步。此选项默认启用,但您可以在创建案例后将其关闭。

  7. 在 **External incident management** 下,选择一个连接器。如果您之前添加过,则会显示已添加的连接器作为默认选择。否则,默认设置为 No connector selected

  8. 点击 **Create case**。

    注意

    如果您为案例选择了连接器,则该案例将自动推送到其连接的第三方系统。

Shows an open case

您可以配置在用户被分配到案例时发生的电子邮件通知。

对于 Kibana on Elastic Cloud

  1. 将电子邮件域添加到通知域允许列表

    您无需采取任何额外步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认情况下会使用预配置的 Elastic-Cloud-SMTP 连接器。

对于自托管 Kibana

  1. 创建预配置的电子邮件连接器。

    注意

    目前,电子邮件通知仅支持预配置的电子邮件连接器,这些连接器在 kibana.yml 文件中定义。

  2. notifications.connectors.default.email Kibana 设置为您的电子邮件连接器的名称。

  3. 如果您希望电子邮件通知包含指向案例的链接,则必须配置 server.publicBaseUrl 设置。

当您随后将分配对象添加到案例时,他们会收到一封电子邮件。

在“Cases”页面,您可以搜索现有案例并按分配对象、类别、严重性、状态和标签等属性进行筛选。您还可以选择多个案例并使用批量操作来删除案例或更改其属性。关于案例的一般指标,包括关闭案例所需的时间,显示在表格上方。

Case UI Home

要探索一个案例,请点击其名称。然后您可以:

点击现有案例以访问其摘要。案例摘要位于案例标题下方,包含总结警报信息和响应时间的指标。当您将其他独特警报附加到案例、添加连接器或修改案例状态时,这些指标会更新。

  • Total alerts:附加到案例的独特警报总数。
  • Associated users:在附加警报中出现的独特用户总数。
  • Associated hosts:在附加警报中出现的独特主机总数。
  • Total connectors:已添加到案例的连接器总数。
  • Case created:案例创建的日期和时间。
  • Open duration:自案例创建以来经过的时间。
  • In progress duration:案例处于 In progress 状态的时长。
  • Duration from creation to close:从案例创建到关闭所经过的时间。
Shows you a summary of the case

要编辑、删除或引用评论,请从 **More actions** 菜单(**…**)中选择相应的选项。

Shows you a summary of the case

要探索附加到案例的警报,请点击 **Alerts** 选项卡。在表中,警报按从旧到新的顺序排列。要查看警报详细信息,请点击 **View details** 按钮。

Shows you the Alerts tab
注意

每个案例最多可以包含 1,000 个警报。

要上传文件到案例,请点击 **Files** 选项卡。

A list of files attached to a case

您可以通过配置您的Kibana 案例设置来设置文件类型和大小。

注意

图像文件有 10 MiB 的大小限制。对于所有其他 MIME 类型,限制为 100 MiB。

要下载或删除文件,或将文件哈希复制到剪贴板,请打开 **Actions** 菜单(**…**)。可用的哈希函数为 MD5、SHA-1 和 SHA-256。

添加文件时,会向案例活动日志添加一条评论。要查看图像,请点击活动或文件列表中的图像名称。

警告

此功能处于 Beta 版,可能会发生更改。其设计和代码的成熟度不如正式 GA 功能,且按原样提供,不附带任何保证。Beta 功能不受正式 GA 功能的支持 SLA 的约束。

将 Lens 可视化添加到您的案例,通过图表描绘事件和警报数据。

Shows how to add a visualization to a case

将 Lens 可视化添加到您的案例中的评论

  1. 点击 **Visualization** 按钮。将出现 **Add visualization** 对话框。

  2. 从您的 Visualize Library 中选择一个现有可视化,或创建一个新的可视化。

    重要提示

    为您的可视化设置绝对时间范围。这可以确保您的可视化在保存到案例后不会随时间变化,并为其他案例管理者提供重要的上下文。

  3. 通过点击 **Save to library** 按钮(可选)将可视化保存到您的 Visualize Library。

    1. 输入可视化的标题和描述。
    2. 选择是否要保持 **Update panel on Security** 激活。此选项默认激活,并将可视化自动添加到您的 Visualize Library。

  4. 完成可视化创建后,点击 **Save and return** 返回到您的案例。

  5. 点击 **Preview** 显示可视化在案例评论中的外观。

  6. 点击 **Add Comment** 将可视化添加到您的案例。

或者,在查看 仪表板时,您可以打开面板的菜单,然后点击 **More actions (…​) → Add to existing case** 或 **More actions (…​) → Add to new case**。

将可视化添加到案例后,您可以通过点击案例评论菜单中的 **Open Visualization** 选项来修改或与之交互。

Shows where the Open Visualization option is
Requirements

确保您拥有相应的 Elastic Stack 订阅Serverless 项目套餐

可疑指标是关于调查的信息,例如可疑 URL 或文件哈希。使用可疑指标来识别相关事件并更好地理解案例的严重性和范围。

创建可疑指标

  1. 点击 **Observables** 选项卡,然后点击 **Add observable**。

    注意

    每个案例最多可以有 50 个可疑指标。

  2. 提供详细信息

    • Type:选择可疑指标的类型。您可以选择预设类型或自定义类型
    • Value:输入可疑指标的值。该值必须与您选择的类型一致。
    • Description(可选):提供有关可疑指标的附加信息。

  3. 点击 **Add observable**。

将可疑指标添加到案例后,您可以使用 **Actions** 菜单(**…**)来删除或编辑它。

提示

转到 **Similar cases** 选项卡以访问具有相同可疑指标的其他案例。

Shows you where to add observables

每个案例都有一个通用的唯一标识符(UUID),您可以复制并共享。要将案例的 UUID 复制到剪贴板,请转到 Cases 页面,为要共享的案例选择 **Actions** → **Copy Case ID**。或者,转到案例的详细信息页面,然后从 **More actions** 菜单(…)中选择 **Copy Case ID**。

Copy Case ID option in More actions menu

案例可以作为保存的对象导出导入,使用 Kibana 的Saved Objects UI。

重要提示

在将 Lens 可视化、Timelines 或警报导入某个空间之前,请确保其数据存在。否则,导入后它们将无法工作。

使用 **Export** 选项在不同的 Elastic Security 实例之间移动案例。导出案例时,以下数据将导出到换行符分隔的 JSON(.ndjson)文件中:

  • 案例详情
  • 用户操作
  • 文本字符串评论
  • 案例警报
  • Lens 可视化(导出为 JSON blob)。
注意

以下附件**不**会导出:

  • Case files:案例文件不会导出。但是,您可以从 **Files** 访问它们(在导航菜单中查找 **Files** 或使用全局搜索字段)来下载并重新添加。
  • Alerts:附加到案例的警报不会导出。导入案例后,您必须重新添加它们。

导出案例

  1. 在导航菜单中找到 **Saved Objects**,或使用全局搜索字段

  2. 通过选择保存的对象类型或在搜索栏中输入案例标题来搜索案例。

  3. 选择一个或多个案例,然后点击 **Export** 按钮。

  4. 点击 **Export**。将显示文件正在下载的确认消息。

    提示

    保持 **Include related objects** 选项启用,以确保连接器也被导出。

Shows the export saved objects workflow

导入案例

  1. 在导航菜单中找到 **Saved Objects**,或使用全局搜索字段

  2. 点击导入

  3. 选择包含导出案例的 NDJSON 文件并配置导入选项。

  4. 点击导入

  5. 查看导入日志并点击 **Done**。

    重要提示

    请注意以下几点:

    • 如果导入的案例附带连接器,系统将提示您重新进行连接器身份验证。为此,请在 **Import saved objects** 弹出窗口中点击 **Go to connectors** 并完成必要的步骤。您也可以从 **Connectors** 页面访问连接器(在导航菜单中查找 **Connectors** 或使用全局搜索字段)。
    • 如果导入的案例附带警报,请验证警报的源文档是否存在于环境中。与警报交互的案例功能(例如 Alert details 弹出窗口和 rule details 页面)依赖于警报的源文档才能正常工作。
© . This site is unofficial and not affiliated with Elasticsearch BV.