配置案例设置
编辑配置案例设置
编辑要更改案例关闭选项并添加自定义字段、模板和用于外部事件管理系统的连接器,请在导航菜单中找到案例,或使用全局搜索字段搜索Security/Cases,然后点击设置。
要查看和更改案例设置,您必须拥有相应的 Kibana 功能权限。请参阅案例要求。
案例关闭
编辑如果您在外部事件管理系统中关闭案例,则这些案例将在 Elastic Security 中保持打开状态,直到您手动关闭它们。
要在将案例发送到外部系统时关闭它们,请选择将新事件推送到外部系统时自动关闭案例。
外部事件管理系统
编辑您可以将 Elastic Security 案例推送到这些第三方系统
- ServiceNow ITSM
- ServiceNow SecOps
- Jira(包括 Jira Service Desk)
- IBM Resilient
- Swimlane
- Webhook - 案例管理
要推送案例,您需要创建一个连接器,该连接器存储与外部系统交互所需的信息。创建连接器后,您可以将 Elastic Security 案例设置为在发送到外部系统时自动关闭。
创建新的连接器
- 从事件管理系统列表中,选择添加新连接器。
- 选择要将案例发送到的系统:ServiceNow、Jira、IBM Resilient、Swimlane或Webhook - 案例管理。
-
输入所需的设置。有关连接器配置详细信息,请参阅
更改现有连接器的设置
- 从事件管理系统列表中选择所需的连接器。
- 点击更新 <连接器名称>。
- 在编辑连接器浮层中,根据需要修改连接器字段,然后点击保存并关闭以保存更改。
要更改用于将案例发送到外部系统的默认连接器,请从事件管理系统列表中选择所需的连接器。
映射的案例字段
编辑当您将 Elastic Security 案例导出到外部系统时,案例字段将映射到 ServiceNow、Jira、IBM Resilient 和 Swimlane 中的现有字段。对于 Webhook - 案例管理连接器,案例字段可以映射到您正在连接到的外部系统中的自定义或预先存在的字段。
字段映射后,您可以将更新推送到外部系统,并且映射的字段将被覆盖或追加。不支持从外部系统检索数据。
案例字段 |
映射字段 |
标题 |
案例
|
描述 |
案例 |
评论 |
案例
新评论和已编辑的评论在推送到 ServiceNow、Jira 或 IBM Resilient 时将添加到事件记录中。推送到 Swimlane 的评论将追加到 Swimlane 中的 |
自定义字段
编辑您可以添加可选字段和必填字段以进行自定义案例协作。
-
在自定义字段部分,点击添加字段。
- 您必须提供字段标签和类型(文本或切换)。您可以选择将其指定为必填字段并提供默认值。
创建自定义字段后,它将添加到所有新的和现有的案例中。在现有案例中,新的自定义文本字段最初将具有空值。
您可以随后在设置页面上删除或编辑自定义字段。
模板
编辑此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将致力于修复任何问题,但技术预览中的功能不受正式 GA 功能的支持 SLA 的约束。
您可以通过添加模板使案例创建过程更快、更一致。模板定义了一个或所有案例字段(例如严重性、标签、描述和标题)以及任何自定义字段的值。
创建模板
-
在模板部分,点击添加模板。
- 您必须提供模板名称和案例严重性。您可以选择添加模板标签和描述、每个案例字段的值以及案例连接器。
当用户创建案例时,他们可以选择使用模板及其值或覆盖它们。
如果您更新或删除模板,现有案例将不受影响。