› › ›

检测先决条件和要求

编辑

检测先决条件和要求编辑

要使用检测功能，您首先需要配置一些设置。您还需要拥有合适的许可证，才能在生成检测告警时发送通知。

一些步骤仅适用于 自管理 的 Elastic Stack 部署。如果您使用的是 Elastic Cloud 部署，您只需要启用检测。

此外，还有一些高级设置用于配置 Kibana 值列表上传限制。

配置自管理的 Elastic Stack 部署编辑

这些步骤仅适用于 自管理 部署

必须为 Elasticsearch 和 Kibana 之间的通信配置 HTTPS。
在 elasticsearch.yml 配置文件中，将 xpack.security.enabled 设置设置为 true。有关更多信息，请参阅配置 Elasticsearch 和 Elasticsearch 中的安全设置。
在 kibana.yml 配置文件中，添加 xpack.encryptedSavedObjects.encryptionKey 设置，并使用任何至少 32 个字符的字母数字值。例如

xpack.encryptedSavedObjects.encryptionKey: 'fhjskloppd678ehkdfdlliverpoolfcr'

更改 xpack.encryptedSavedObjects.encryptionKey 值并重启 Kibana 后，您必须重启所有检测规则。

启用并访问检测编辑

要使用检测功能，必须启用该功能，并且您的角色必须有权访问规则和告警。如果您的角色没有启用此功能所需的集群和索引权限，您可以请求有这些权限的人访问您的 Kibana 空间，这将为您启用它。下表描述了访问检测页面（包括规则和告警）所需的权限。

有关使用机器学习作业和规则的说明，请参阅机器学习作业和规则要求。

在 Elastic Stack 版本 8.0.0 中，.siem-signals-<space-id> 索引已重命名为 .alerts-security.alerts-<space-id>。检测告警索引是为每个 Kibana 空间创建的。对于默认空间，告警索引名为 .alerts-security.alerts-default。如果您要升级到 8.0.0 或更高版本，用户应该拥有 .alerts-security.alerts-<space-id> 和 .siem-signals-<space-id> 索引的权限。如果您是全新安装 Elastic Stack，那么用户不需要 .siem-signals-<space-id> 索引的权限。

操作	集群权限	索引权限	Kibana 权限
在您的 Kibana 空间中启用检测功能	`manage` 权限	以下系统索引和数据流的 `manage`、`write`、`read` 和 `view_index_metadata` 索引权限，其中 `<space-id>` 是 Kibana 空间名称 `.alerts-security.alerts-<space-id>` `.siem-signals-<space-id>` ¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意: 如果您要升级到 Elastic Stack 8.0.0 或更高版本，用户应该拥有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是全新安装 Elastic Stack，那么用户不需要 `.siem-signals-<space-id>` 索引的权限。	Kibana 空间 `All` 权限，用于 `Security` 功能（请参阅基于用户权限的功能访问）
在所有 Kibana 空间中启用检测功能注意: 要启用检测功能，请访问每个相应 Kibana 空间的检测页面。	`manage` 权限	以下系统索引和数据流的 `manage`、`write`、`read` 和 `view_index_metadata` 索引权限 `.alerts-security.alerts-<space-id>` `.siem-signals-<space-id>` ¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意: 如果您要升级到 Elastic Stack 8.0.0 或更高版本，用户应该拥有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是全新安装 Elastic Stack，那么用户不需要 `.siem-signals-<space-id>` 索引的权限。	Kibana 空间 `All` 权限，用于 `Security` 功能（请参阅基于用户权限的功能访问）
预览规则	N/A	以下索引的 `read` 权限 `.preview.alerts-security.alerts-<space-id>` `.internal.preview.alerts-security.alerts-<space-id>-*`	Kibana 空间 `All` 权限，用于 `Security` 功能（请参阅基于用户权限的功能访问）
管理规则	N/A	以下系统索引和数据流的 `manage`、`write`、`read` 和 `view_index_metadata` 索引权限，其中 `<space-id>` 是 Kibana 空间名称 `.alerts-security.alerts-<space-id` `.siem-signals-<space-id>`¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意: 如果您要升级到 Elastic Stack 8.0.0 或更高版本，用户应该拥有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是全新安装 Elastic Stack，那么用户不需要 `.siem-signals-<space-id>` 索引的权限。	Kibana 空间 `All` 权限，用于 `Security` 功能（请参阅基于用户权限的功能访问）注意: 您需要额外的 `Action and Connectors` 功能权限（管理 → Action and Connectors）才能管理具有操作和连接器的规则要提供对规则操作和连接器的完全访问权限，请为您的角色授予 `All` 权限。使用 `Read` 权限，您可以编辑规则操作，但管理连接器的功能有限。例如，`Read` 权限允许您向规则添加或删除现有连接器，但不允许您创建新的连接器。要导入具有操作的规则，您至少需要 `Action and Connectors` 功能的 `Read` 权限。要覆盖或添加新的连接器，您需要 `Actions and Connectors` 功能的 `All` 权限。要导入没有操作的规则，您不需要 `Actions and Connectors` 权限。
管理告警注意: 允许您管理告警，但不允许修改规则。	N/A	以下系统索引和数据流的 `maintenance`、`write`、`read` 和 `view_index_metadata` 索引权限，其中 `<space-id>` 是 Kibana 空间名称 `.alerts-security.alerts-<space-id>` `.internal.alerts-security.alerts-<space-id>-*` `.siem-signals-<space-id>`¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意: 如果您要升级到 Elastic Stack 8.0.0 或更高版本，用户应该拥有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是全新安装 Elastic Stack，那么用户不需要 `.siem-signals-<space-id>` 索引的权限。	Kibana 空间 `Read` 权限，用于 `Security` 功能（请参阅基于用户权限的功能访问）
在您的 Kibana 空间中创建 `.lists` 和 `.items` 数据流注意: 要启动创建 `.lists` 和 `.items` 数据流的过程，您必须访问每个相应 Kibana 空间的规则页面。	`manage` 权限	以下数据流的 `manage`、`write`、`read` 和 `view_index_metadata` 索引权限，其中 `<space-id>` 是 Kibana 空间名称 `.lists-<space-id>` `.items-<space-id>`	Kibana 空间 `All` 权限，用于 `Security` 和 `Saved Objects Management` 功能（请参阅基于用户权限的功能访问）

以下是一个用户在所有 Kibana 空间中启用检测功能的示例

Shows user with the Detections feature enabled in all Kibana spaces

授权编辑

规则（包括所有后台检测及其生成的操作）使用与最后编辑规则的用户关联的 API 密钥进行授权。创建或修改规则时，会为该用户生成一个 API 密钥，捕获其权限的快照。然后使用该 API 密钥运行与规则相关的所有后台任务，包括检测检查和执行操作。

如果规则需要某些权限才能运行（例如索引权限），请记住，如果一个没有这些权限的用户更新了规则，那么该规则将不再起作用。

配置列表上传限制编辑

您可以设置上传到 Elastic Security 的值列表的字节数和缓冲区大小限制。

要设置值

打开 kibana.yml 配置文件或编辑您的 Kibana 云实例。
添加以下任何设置及其所需值
- xpack.lists.maxImportPayloadBytes: 设置上传 Elastic Security 值列表允许的字节数（默认值为 9000000，最大值为 100000000）。建议每 10 兆字节预留 1 吉字节的额外内存用于 Kibana。
  
  例如，在具有 2 吉字节内存的 Kibana 实例上，您可以将此值设置为 20000000（20 兆字节）。
- xpack.lists.importBufferSize: 设置用于上传 Elastic Security 值列表的缓冲区大小（默认值为 1000）。如果您在上传值列表时遇到上传速度缓慢或内存使用量过大的问题，请更改此值。设置为更高的值可以提高吞吐量，但会消耗更多的 Kibana 内存；设置为更低的值可以降低吞吐量，并减少内存使用量。

有关如何配置 Elastic Cloud 部署的信息，请参阅添加 Kibana 用户设置。

« Elastic Security 系统要求案例先决条件 »