配置网络地图数据
编辑配置网络地图数据编辑
根据您的 Kibana 设置,要显示**网络**页面地图上的数据并与其交互,您可能需要
要在网络地图上查看源和目标连接线,您必须为您的索引配置 source.geo 和 destination.geo ECS 字段。
所需权限编辑
要查看地图,您至少需要对 地图 具有 读取 权限。要对其进行配置,您需要 所有 权限。地图权限设置位于**Kibana 权限**→**分析**→**地图**下。
创建 Kibana 数据视图编辑
要显示地图数据,您必须定义一个 Kibana 数据视图(**堆栈管理**→**数据视图**),其中包含 securitysolution:defaultIndex 字段(**Kibana**→**堆栈管理**→**高级设置**→**securitysolution:defaultIndex**)中指定的一个或多个索引。
例如,要在地图上显示存储在与索引模式 servers-europe-* 匹配的索引中的数据,您必须使用其索引模式与 servers-europe-* 匹配的 Kibana 数据视图,例如 servers-*。
添加地理位置 IP 数据编辑
当映射了 ECS source.geo.location 和 destination.geo.location 字段时,网络数据将显示在地图上。
如果您使用 Beats,请配置一个地理位置 IP 处理器以将数据添加到相关字段
-
定义一个使用一个或多个
geoIP处理器将位置信息添加到事件的摄取节点管道。例如,使用 Kibana 中的控制台创建以下管道PUT _ingest/pipeline/geoip-info { "description": "Add geoip info", "processors": [ { "geoip": { "field": "client.ip", "target_field": "client.geo", "ignore_missing": true } }, { "geoip": { "field": "source.ip", "target_field": "source.geo", "ignore_missing": true } }, { "geoip": { "field": "destination.ip", "target_field": "destination.geo", "ignore_missing": true } }, { "geoip": { "field": "server.ip", "target_field": "server.geo", "ignore_missing": true } }, { "geoip": { "field": "host.ip", "target_field": "host.geo", "ignore_missing": true } } ] }在本例中,管道 ID 为
geoip-info。field指定包含用于地理位置查找的 IP 地址的字段,target_field是将保存地理位置信息的字段。"ignore_missing": true将管道配置为在遇到没有指定字段的事件时继续处理。您可以在 此处找到一个示例摄取管道,该管道使用 GeoLite2-ASN.mmdb 数据库添加自治系统编号 (ASN) 字段。
-
在您的 Beats 配置文件中,将管道添加到 `output.elasticsearch` 标签
此字段的值必须与步骤 1中的摄取管道名称相同(在本例中为
geoip-info)。
映射您的内部网络编辑
如果要将网络的内部 IP 地址添加到地图中,请在主机上的 Beats 配置文件的 processors 标签下定义地理位置字段
processors:
- add_host_metadata:
- add_cloud_metadata: ~
- add_fields:
when.network.source.ip: <private/IP address>
fields:
source.geo.location:
lat: <latitude coordinate>
lon: <longitude coordinate>
target: ''
- add_fields:
when.network.destination.ip: <private/IP address>
fields:
destination.geo.location:
lat: <latitude coordinate>
lon: <longitude coordinate>
target: ''
您还可以使用其他 主机字段来丰富您的数据。