配置高级设置
编辑配置高级设置
编辑高级设置决定:
要更改这些设置,您需要所有高级设置的权限。Kibana 功能。
修改高级设置可能会影响 Kibana 性能并导致难以诊断的问题。将属性值设置为空白字段将恢复为默认行为,这可能与其他配置设置不兼容。删除自定义设置会将其永久从 Kibana 中删除。
访问高级设置
编辑要访问高级设置,请转到堆栈管理 → 高级设置,然后向下滚动到安全解决方案设置。
更新默认 Elastic 安全索引
编辑securitySolution:defaultIndex字段定义 Elastic 安全应用程序用于收集数据的 Elasticsearch 索引。默认情况下,使用索引模式来匹配 Elasticsearch 索引集。
索引模式使用通配符来指定一组索引。例如,filebeat-*索引模式表示所有以filebeat-开头的索引都可以在 Elastic 安全应用程序中使用。
所有默认索引模式都匹配Beats和Elastic Agent索引。这意味着通过 Beats 和 Elastic Agent 发送的所有数据都会自动添加到 Elastic 安全应用程序中。
您可以根据需要添加或删除任何索引和索引模式。有关 Elasticsearch 索引的背景信息,请参阅数据位于:文档和索引。
如果您保留选定的-*elastic-cloud-logs-*索引模式,则默认情况下,所有 Elastic 云日志都将从 Elastic 安全应用程序中的所有查询中排除。这是为了避免将云监控数据添加到应用程序中。
Elastic 安全需要符合 ECS 的数据。如果您使用第三方数据收集器将数据发送到 Elasticsearch,则必须将数据映射到 ECS。Elastic 安全 ECS 字段参考列出了 Elastic 安全中使用的 ECS 字段。
更新默认 Elastic 安全威胁情报索引
编辑securitySolution:defaultThreatIndex高级设置指定 Elastic 安全功能查询以获取已摄取威胁指标的威胁情报索引。此设置会影响查询威胁情报索引的功能,例如概述页面上的威胁情报视图、指标匹配规则和警报丰富查询。您可以指定一个或多个威胁情报索引;多个索引必须用逗号分隔。默认情况下,只指定logs-ti*索引模式。请勿删除或覆盖此索引模式,因为它由 Elastic Agent 集成使用。
威胁情报索引无需与 ECS 兼容即可用于指标匹配规则。但是,如果您希望您的警报通过相关的威胁指标信息进行丰富,我们强烈建议您保持兼容性。搜索威胁指标数据时,指标匹配规则使用指标前缀覆盖高级设置中指定的威胁指标路径。访问配置高级规则设置以了解更多信息。
遥测设置
编辑当用户与 Elastic 安全应用程序交互时,Kibana 会传输有关 Elastic 安全的某些信息,如下所述。Kibana 会在将消息传输到 Elastic 之前删除或模糊处理个人数据(IP 地址、主机名、用户名等)。安全特定的遥测事件包括:
- 检测规则安全警报:有关使用检测引擎的 Elastic 编写的预构建检测规则的信息。警报数据的示例包括机器学习作业影响因素、进程名称和云审核事件。
- Elastic Endpoint Security 警报:有关使用 Elastic Endpoint 检测引擎检测到的恶意活动的信息。警报数据的示例包括恶意进程名称、数字签名和恶意软件写入的文件名。警报元数据的示例包括警报时间、Elastic Endpoint 版本和相关的检测引擎版本。
- Elastic Endpoint 的配置数据:有关 Elastic Endpoint 部署配置的信息。配置数据的示例包括 Endpoint 版本、操作系统版本和 Endpoint 的性能计数器。
- Elastic 规则的例外列表条目:有关为 Elastic 规则添加的例外的信息。示例包括受信任的应用程序、检测例外和规则例外。
- 安全警报活动记录:有关在 Elastic 安全应用程序中生成的警报上采取的操作的信息,例如已确认或已关闭。
要了解更多信息,请参阅我们的隐私声明。
设置机器学习评分阈值
编辑启用安全机器学习作业时,此设置决定在 Elastic 安全中显示异常评分的阈值。
-
securitySolution:defaultAnomalyScore
修改新闻提要设置
编辑您可以更改这些设置,这些设置会影响 Elastic Security概述页面上显示的新闻提要。
-
securitySolution:enableNewsFeed:在安全概述页面上启用安全新闻提要。 -
securitySolution:newsFeedUrl:检索安全新闻提要内容的 URL。
从分析器查询中排除冷层和冻结层数据
编辑在可视化事件分析器查询中包含来自冷层和冻结层数据层的数据可能会导致性能下降。securitySolution:excludeColdAndFrozenTiersInAnalyzer设置允许您从分析器查询中排除此数据。此设置默认情况下处于关闭状态。
从事件或警报详情浮出层访问事件分析器和会话视图
编辑此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
securitySolution:enableVisualizationsInFlyout设置允许您在警报或事件详情浮出层的可视化选项卡中访问事件分析器和会话视图。此设置默认情况下处于关闭状态。
更改默认搜索间隔和数据刷新时间
编辑这些设置决定了打开应用程序时 Elastic 安全页面用于显示数据的默认时间间隔和刷新率。
-
securitySolution:timeDefaults:默认时间间隔 -
securitySolution:refreshIntervalDefaults:默认刷新率
在 IP 详情页面上显示信誉链接
编辑在 IP 详情页面(安全 → 网络 → IP 地址)上,会显示指向外部网站的链接,用于验证 IP 地址的信誉。默认情况下,会列出指向这些网站的链接:TALOS和VIRUSTOTAL。
securitySolution:ipReputationLinks字段决定列出哪些 IP 信誉站点。要修改列出的站点,请编辑字段的 JSON 数组。必须在每个数组元素中定义这些字段:
-
name:链接的 UI 显示名称。 -
url_template:链接的 URL。它可以包含{{ip}},这是您在IP 详情页面上查看的 IP 地址的占位符。
示例
在IP 详情页面上添加指向 https://www.dnschecker.org 的链接
[
{ "name": "virustotal.com", "url_template": "https://www.virustotal.com/gui/search/{{ip}}" },
{ "name": "dnschecker.org", "url_template": "https://www.dnschecker.org/ip-location.php?ip={{ip}}" },
{ "name": "talosIntelligence.com", "url_template": "https://talosintelligence.com/reputation_center/lookup?search={{ip}}" }
]
配置跨集群搜索权限警告
编辑每次使用远程跨集群搜索 (CCS) 索引模式运行检测规则时,它都会返回一条警告,说明该规则可能没有对远程索引所需的read权限。由于无法跨远程索引检查权限,因此即使规则实际上确实具有对远程索引的read权限,也会显示此警告。
如果您已确保您的检测规则对远程索引具有所需的权限,则可以使用securitySolution:enableCcsWarning设置禁用此警告并减少噪音。
在规则页面表格中显示/隐藏相关集成
编辑默认情况下,规则和规则监控表中的 Elastic 预构建规则包括一个徽章,显示已安装了多少个相关的集成。关闭securitySolution:showRelatedIntegrations可在规则表中隐藏此项(相关集成仍将出现在规则详情页面上)。
管理警报标签选项
编辑securitySolution:alertTags字段决定警报标签菜单中显示哪些选项。默认警报标签选项是重复、误报和需要进一步调查。您可以通过编辑这些选项或添加更多选项来更新警报标签菜单。要了解有关使用警报标签的更多信息,请参阅应用和过滤警报标签。
设置警报和事件的最大备注限制
编辑securitySolution:maxUnassociatedNotes字段决定您可以附加到警报和事件的备注的最大数量。最大限制和默认值为 1000。
从规则中排除冷层和冻结层数据
编辑为了确保 Kibana 空间中的规则在执行时排除冷层和冻层中的查询结果,请在excludedDataTiersForRuleExecution字段中指定冷层和冻层数据层。多个数据层之间必须用逗号分隔,例如:data_frozen,data_cold。此设置默认情况下处于关闭状态;启用它可以提高规则性能并减少执行时间。
此设置不适用于机器学习规则,因为机器学习异常不会存储在冷层或冻层数据中。
要仅从特定规则中排除冷层和冻层数据,请向您要影响的规则添加查询 DSL 过滤器。
即使启用了excludedDataTiersForRuleExecution高级设置,如果在规则执行期间无法访问与规则指定的索引模式匹配的冻结或冷分片,指标匹配、事件关联和 ES|QL 规则仍然可能失败。如果发生故障,我们建议修改规则的索引模式,使其仅匹配包含热层数据的索引。