blacklens.io
编辑blacklens.io
编辑blacklens.io 集成允许您监控警报。blacklens.io 是一个全面的攻击面管理平台,可帮助企业了解并保护其外部攻击面。通过结合自动化安全分析、持续监控和渗透测试,它可以尽早识别并解决漏洞。凭借暗网监控、漏洞扫描和 XDR 响应等功能,blacklens.io 提供了一种主动防御策略,可在始终提供清晰的安全态势视图的同时保护公司免受网络威胁。
使用 blacklens.io 集成来获取有关您的攻击面的所有相关警报。然后在 Kibana 中可视化该数据,并创建进一步的警报或使用其他安全解决方案丰富数据。
数据流
编辑blacklens.io 集成收集一种类型的数据流:日志
警报 返回 blacklens.io 警报列表(API 文档在门户中引用)
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。您需要 alerts:read 权限才能通过 API 获取警报。
您需要一个有效的 blacklens.io 订阅以及具有 alerts:read 权限的用户,才能通过 API 检索警报。
设置
编辑复制 blacklens.io 所需的配置属性
编辑- 登录到您的 blacklens.io 门户(此 URL 将用于实例 URL:https://portal-(ID).blacklens.io)
- 转到 个人资料 → 生成 API 密钥 并复制它。
- 转到 设置 → 公司。
- 复制 ws_id 和 tenant_id。
在 Elastic 中启用 blacklens.io 集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入 blacklens.io。
- 从搜索结果中单击“blacklens.io”集成。
- 单击“添加 blacklens.io”按钮以添加集成。
-
配置所有必需的集成参数。
-
警报数据需要以下参数
-
URL -
租户 ID (tenant_id) -
工作区 ID (ws_id) -
API 密钥
-
-
- 保存集成。
有关详细的设置说明,请参阅 blacklens.io 知识库(该链接在门户中引用)。
日志参考
编辑警报
编辑这是 alerts 数据集
示例
alerts 的示例事件如下
{
"input": {
"type": "httpjson"
},
"agent": {
"name": "example-agent",
"id": "example-agent-id-12345",
"type": "filebeat",
"ephemeral_id": "ephemeral-id-12345",
"version": "8.15.2"
},
"@timestamp": "2024-11-07T08:09:22.094Z",
"ecs": {
"version": "8.11.0"
},
"data_stream": {
"namespace": "default",
"type": "logs",
"dataset": "blacklens.alerts"
},
"elastic_agent": {
"id": "example-agent-id-12345",
"version": "8.15.2",
"snapshot": false
},
"host": {
"name": "example-host"
},
"blacklens": {
"alert": {
"severity": "info",
"type_id": 1001,
"details": [],
"updated_date": "2024-08-14T15:06:13.151Z",
"id": 12345,
"type": "Example Threat System (ETS)",
"title": "Example Threat Scan Notification",
"outcome": "undefined",
"status": "resolved"
}
},
"message": "{\"affected_entities\":null,\"alert_outcome\":\"undefined\",\"alert_payload\":[],\"reference\":\"https://example.com/reference123\"}],\"alert_status\":\"resolved\",\"created_date\":\"2024-11-07T08:09:22.094028Z\",\"customer_state\":\"open\",\"details\":{\"engine\":\"Example Threat System (ETS)\",\"id\":1001,\"title\":\"Example Threat Scan Notification\"},\"id\":12345,\"severity\":\"info\",\"type_id\":1001,\"updated_date\":\"2024-08-14T15:06:13.151728Z\"}",
"event": {
"id": 12345,
"agent_id_status": "verified",
"ingested": "2024-11-07T09:45:30Z",
"created": "2024-11-07T09:45:29.354Z",
"kind": "alert",
"category": [
"threat"
],
"type": [
"indicator"
],
"dataset": "blacklens.alerts"
},
"tags": [
"forwarded",
"example-alert"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
blacklens.alert.details |
警报详细信息 |
嵌套 |
blacklens.alert.id |
唯一的警报 ID |
整数 |
blacklens.alert.outcome |
确定当前警报是否触发进一步的事件 |
关键字 |
blacklens.alert.severity |
警报严重程度 |
关键字 |
blacklens.alert.status |
警报的当前状态 |
关键字 |
blacklens.alert.title |
给定警报的标题/描述 |
关键字 |
blacklens.alert.type |
警报类型(引擎) |
关键字 |
blacklens.alert.type_id |
警报类型 ID(引擎) |
整数 |
blacklens.alert.updated_date |
活动上次更新时间 (UTC)。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.kind |
constant_keyword |
|
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
关键字 |
observer.product |
constant_keyword |
|
observer.vendor |
constant_keyword |