打开和管理案例
Elastic Stack Serverless Security
您可以使用 UI 或 cases API 创建和管理案例。
打开新案例以跟踪安全问题并与同事分享其详细信息。
在导航菜单中找到案例,或者使用全局搜索字段搜索
Security/Cases,然后单击创建案例。 如果不存在案例,则案例表将为空,并且系统将提示您通过单击表内的创建案例按钮来创建一个。如果您定义了模板,您可以选择使用其中一个模板的默认字段值。[预览]
为案例命名,分配严重级别,并提供描述。 您可以在案例描述中使用 Markdown 语法。
注意如果您没有为案例分配严重级别,则默认情况下将分配低。
提示您可以通过单击时间线图标(
)在案例描述中插入时间线链接。可以选择添加类别、受让人和相关标签。 只有满足必要的先决条件,才能添加用户。
如果您定义了自定义字段,它们将出现在附加字段部分。[预览]
选择是否希望在将警报添加到案例后,警报状态与案例状态同步。 此选项默认启用,但您可以在创建案例后将其关闭。
从外部事件管理中,选择一个连接器。 如果您之前添加了一个连接器,则该连接器将显示为默认选择。 否则,默认设置为
No connector selected。点击创建案例。
注意如果您为案例选择了连接器,则该案例会自动推送到与其连接的第三方系统。
您可以配置在将用户分配给案例时发生的电子邮件通知。
对于 Elastic Cloud 上的 Kibana
将电子邮件域添加到通知域允许列表。
您无需执行任何其他步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认情况下使用预配置的 Elastic-Cloud-SMTP 连接器。
对于自管理的 Kibana
创建一个预配置的电子邮件连接器。
注意目前,电子邮件通知仅支持 预配置的电子邮件连接器,这些连接器在
kibana.yml文件中定义。将
notifications.connectors.default.emailKibana 设置为您的电子邮件连接器的名称。如果您希望电子邮件通知包含返回案例的链接,则必须配置 server.publicBaseUrl 设置。
当您随后将受让人添加到案例时,他们会收到一封电子邮件。
从“案例”页面,您可以搜索现有案例,并按受让人、类别、严重程度、状态和标签等属性对其进行过滤。 您还可以选择多个案例,并使用批量操作来删除案例或更改其属性。 表格上方提供了常规案例指标,包括关闭案例所需的时间。
要浏览案例,请单击其名称。 然后你可以
-
提示
评论可以包含 Markdown。 有关语法帮助,请单击评论右下角的 Markdown 图标(
)。 修改案例的描述、受让人、类别、严重程度、状态和标签。
管理连接器并将更新发送到外部系统(如果您已将连接器添加到案例)
刷新案例以检索最新更新
单击现有案例以访问其摘要。 位于案例标题下的案例摘要包含总结警报信息和响应时间的指标。 当您将其他唯一警报附加到案例、添加连接器或修改案例状态时,这些指标会更新
- 警报总数:附加到案例的唯一警报的总数
- 关联用户:附加警报中表示的唯一用户的总数
- 关联主机:附加警报中表示的唯一主机的总数
- 连接器总数:已添加到案例的连接器的总数
- 案例创建时间:案例创建的日期和时间
- 打开持续时间:自创建案例以来经过的时间
- 进行中持续时间:案例处于
In progress状态的时间 - 从创建到关闭的持续时间:从创建案例到关闭案例所经过的时间
要编辑、删除或引用评论,请从更多操作菜单 (…) 中选择相应的选项。
要浏览附加到案例的警报,请单击警报选项卡。 在表中,警报按从旧到新的顺序排列。 要查看警报详细信息,请单击查看详细信息按钮。
每个案例最多可以有 1,000 个警报。
要将文件上传到案例,请单击文件选项卡
您可以通过配置Kibana 案例设置来设置文件类型和大小。
图像的大小限制为 10 MiB。 对于所有其他 MIME 类型,限制为 100 MiB。
要下载或删除文件,或将文件哈希复制到剪贴板,请打开操作菜单 (…)。 可用的哈希函数为 MD5、SHA-1 和 SHA-256。
添加文件时,会将一条评论添加到案例活动日志中。 要查看图像,请单击活动或文件列表中的其名称。
此功能为测试版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,并且按原样提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。
向您的案例添加 Lens 可视化,以通过图表和图形呈现事件和警报数据。
要向您的案例中的评论添加 Lens 可视化
单击可视化按钮。出现添加可视化对话框。
从您的可视化库中选择现有可视化,或创建一个新的可视化。
重要提示为您的可视化设置绝对时间范围。这可确保您的可视化在保存到案例后不会随时间变化,并为管理案例的其他人员提供重要的上下文。
单击保存到库按钮将可视化保存到您的可视化库(可选)。
- 为可视化输入标题和描述。
- 选择是否要保持在 Security 中更新面板激活。此选项默认激活,并将可视化自动添加到您的可视化库。
完成可视化创建后,单击保存并返回返回到您的案例。
单击预览以显示可视化在案例评论中的显示方式。
单击添加评论以将可视化添加到您的案例。
或者,在查看仪表板时,您可以打开面板的菜单,然后单击更多操作(…) → 添加到现有案例或更多操作(…) → 添加到新案例。
将可视化添加到案例后,您可以通过单击案例评论菜单中的打开可视化选项来修改或与之交互。
确保您拥有适当的 Elastic Stack 订阅 或 无服务器项目层。
可观察对象是关于调查的信息片段,例如,可疑 URL 或文件哈希。使用可观察对象来识别相关事件并更好地了解案例的严重性和范围。
要创建可观察对象
单击可观察对象选项卡,然后单击添加可观察对象。
注意每个案例最多可以有 50 个可观察对象。
提供必要的详细信息
- 类型:选择可观察对象的类型。您可以选择预设类型或自定义类型。
- 值:输入可观察对象的值。该值必须与您选择的类型一致。
- 描述(可选):提供有关可观察对象的其他信息。
单击添加可观察对象。
将可观察对象添加到案例后,您可以使用操作菜单 (…) 删除或编辑它。
转到相似案例选项卡以访问具有相同可观察对象的其他案例。
每个案例都有一个您可以复制和共享的通用唯一标识符 (UUID)。要将案例的 UUID 复制到剪贴板,请转到“案例”页面,然后为您要共享的案例选择操作 → 复制案例 ID。或者,转到案例的详细信息页面,然后从更多操作菜单 (…) 中,选择复制案例 ID。
可以使用 Kibana 已保存对象 UI 将案例导出和导入为已保存对象。
在将 Lens 可视化、时间线或警报导入到空间之前,请确保它们的数据存在。否则,它们在导入后将无法工作。
使用导出选项在不同的 Elastic Security 实例之间移动案例。导出案例时,以下数据会导出到换行符分隔的 JSON (.ndjson) 文件
- 案例详情
- 用户操作
- 文本字符串评论
- 案例警报
- Lens 可视化(导出为 JSON blob)。
以下附件未导出
- 案例文件:案例文件未导出。但是,可以从文件(在导航菜单中查找文件,或使用全局搜索字段)访问它们以下载并重新添加。
- 警报:附加到案例的警报未导出。导入案例后,您必须重新添加它们。
要导出案例
在导航菜单中查找已保存对象,或使用全局搜索字段。
通过选择已保存对象类型或在搜索栏中输入案例标题来搜索案例。
选择一个或多个案例,然后单击导出按钮。
单击导出。将显示一条确认消息,表明您的文件正在下载。
提示保持启用包括相关对象选项,以确保连接器也已导出。
要导入案例