« 案例要求 配置案例设置 »
Elastic 文档 Elastic 安全解决方案 [8.16] 调查工具 案例

打开和管理案例

编辑

打开和管理案例

编辑

您可以使用 UI 或案例 API 创建和管理案例。

打开新案例

编辑

打开新案例以跟踪安全问题并与同事共享其详细信息。

  1. 在导航菜单中找到案例,或使用全局搜索字段搜索Security/Cases,然后单击创建案例。如果不存在任何案例,则“案例”表将为空,系统会提示您单击表内的创建案例按钮来创建一个案例。
  2. 如果您已定义模板,则可以选择使用其默认字段值。(可选) [预览] 此功能处于技术预览阶段,可能在将来的版本中发生更改或被删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。

  3. 为案例命名,分配严重性级别并提供描述。您可以在案例描述中使用Markdown 语法。

    如果您未为案例分配严重性级别,则默认情况下将分配级别。

    您可以通过单击时间线图标(时间线图标)在案例描述中插入时间线链接。

  4. (可选)添加类别、指派人和相关标签。只有当用户满足必要的前提条件时,您才能添加用户。
  5. 如果您已定义自定义字段,它们将显示在附加字段部分中。 [预览] 此功能处于技术预览阶段,可能在将来的版本中发生更改或被删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。
  6. 选择您是否希望在警报状态添加到案例后与案例的状态同步。此选项默认启用,但您可以在创建案例后将其关闭。
  7. 外部事件管理中,选择一个连接器。如果您之前添加过连接器,则该连接器将显示为默认选择。否则,默认设置为未选择连接器

  8. 单击创建案例

    如果您已为案例选择连接器,则该案例将自动推送到与其连接的第三方系统。

Shows an open case

添加电子邮件通知

编辑

您可以配置在将用户分配给案例时发生的电子邮件通知。

对于 Elasticsearch 服务上的托管 Kibana

  1. 将电子邮件域添加到通知域允许列表

    您无需执行更多步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认情况下使用预配置的 Elastic-Cloud-SMTP 连接器。

对于自托管 Kibana

  1. 创建一个预配置的电子邮件连接器。

    目前,电子邮件通知仅支持预配置的电子邮件连接器,这些连接器在kibana.yml文件中定义。

  2. notifications.connectors.default.email Kibana 设置设置为您的电子邮件连接器的名称。
  3. 如果您希望电子邮件通知包含返回案例的链接,则必须配置server.publicBaseUrl设置。

随后将指派人添加到案例时,他们会收到电子邮件。

管理现有案例

编辑

在“案例”页面上,您可以搜索现有案例并按指派人、类别、严重性、状态和标签等属性对其进行筛选。您还可以选择多个案例并使用批量操作来删除案例或更改其属性。案例的总体指标(包括关闭案例所需的时间)显示在表格上方。

Case UI Home

要浏览案例,请单击其名称。然后您可以

查看案例摘要
编辑

单击现有案例以访问其摘要。案例摘要位于案例标题下方,其中包含汇总警报信息和响应时间的指标。当您将其他唯一警报附加到案例、添加连接器或修改案例的状态时,这些指标会更新。

  • 总警报数:附加到案例的唯一警报总数
  • 关联用户:附加警报中表示的唯一用户总数
  • 关联主机:附加警报中表示的唯一主机总数
  • 总连接器数:已添加到案例的连接器总数
  • 案例创建时间:创建案例的日期和时间
  • 打开持续时间:自创建案例以来经过的时间
  • 进行中持续时间:案例处于进行中状态的时间长度
  • 从创建到关闭的持续时间:从创建案例到关闭案例所经过的时间
Shows you a summary of the case
管理案例评论
编辑

要编辑、删除或引用评论,请从更多操作菜单(…​)中选择相应的选项。

Shows you a summary of the case
检查附加到案例的警报
编辑

要浏览附加到案例的警报,请单击警报选项卡。在表格中,警报按从旧到新的顺序排列。要查看警报详细信息,请单击查看详细信息按钮。

Shows you the Alerts tab

每个案例最多可以包含 1,000 个警报。

添加文件
编辑

要将文件上传到案例,请单击文件选项卡。

A list of files attached to a case

您可以通过配置Kibana 案例设置来设置文件类型和大小。

要下载或删除文件,或将文件哈希复制到剪贴板,请打开操作菜单()。可用的哈希函数包括 MD5、SHA-1 和 SHA-256。

添加文件时,会向案例活动日志添加一条评论。要查看图像,请在活动或文件列表中单击其名称。

添加 Lens 可视化
编辑

此功能处于测试阶段,可能会发生更改。其设计和代码不如官方 GA 功能成熟,并按原样提供,不提供任何担保。测试版功能不受官方 GA 功能支持 SLA 的约束。

向您的案例添加 Lens 可视化,以通过图表和图形来描绘事件和警报数据。

Shows how to add a visualization to a case

要在案例中的评论中添加 Lens 可视化:

  1. 单击可视化按钮。添加可视化对话框将出现。

  2. 从可视化库中选择现有可视化或创建新的可视化。

    为您的可视化设置绝对时间范围。这可确保您的可视化在保存到案例后不会随时间推移而更改,并为管理案例的其他人员提供重要的上下文。

  3. 通过单击保存到库按钮将可视化保存到可视化库(可选)。

    1. 输入可视化的标题和描述。
    2. 选择您是否要保持在安全选项卡上更新面板处于激活状态。此选项默认处于激活状态,并会自动将可视化添加到您的可视化库。
  4. 完成可视化的创建后,单击保存并返回以返回您的案例。
  5. 单击预览以显示可视化在案例评论中将如何显示。
  6. 单击添加评论以将可视化添加到您的案例。

或者,在查看仪表盘时,您可以打开面板的菜单,然后单击更多操作(…​)→添加到现有案例更多操作(…​)→添加到新案例

将可视化添加到案例后,您可以通过单击案例评论菜单中的打开可视化选项来修改或与之交互。

Shows where the Open Visualization option is
复制案例 UUID
编辑

每个案例都有一个全球唯一标识符 (UUID),您可以复制和共享。要将案例的 UUID 复制到剪贴板,请转到“案例”页面,然后为要共享的案例选择操作复制案例 ID。或者,转到案例的详细信息页面,然后从更多操作菜单 (…​) 中选择复制案例 ID

Copy Case ID option in More actions menu 40%

导出和导入案例

编辑

案例可以作为已保存的对象使用 Kibana 已保存对象 UI 导出导入

在将 Lens 可视化、时间线或警报导入空间之前,请确保其数据存在。如果没有,导入后它们将无法工作。

导出案例
编辑

使用导出选项可在不同的 Kibana 实例之间移动案例。导出案例时,以下数据将导出到换行符分隔的 JSON (.ndjson) 文件

  • 案例详情
  • 用户操作
  • 文本字符串注释
  • 案例警报
  • Lens 可视化(导出为 JSON 块)。

以下附件不会导出

  • 案例文件:案例文件不会导出。但是,可以在堆栈管理 > 文件中访问它们以进行下载和重新添加。
  • 警报:附加到案例的警报不会导出。导入案例后,您必须重新添加它们。

导出案例的方法

  1. 在导航菜单中查找已保存对象,或使用全局搜索字段
  2. 通过选择已保存的对象类型或在搜索栏中输入案例标题来搜索案例。
  3. 选择一个或多个案例,然后单击导出按钮。

  4. 单击导出。系统会显示一条确认消息,表明您的文件正在下载。

    保持包含相关对象选项启用,以确保连接器也能导出。

Shows the export saved objects workflow
导入案例
编辑

导入案例的方法

  1. 在导航菜单中查找已保存对象,或使用全局搜索字段
  2. 单击导入
  3. 选择包含已导出案例的 NDJSON 文件并配置导入选项。
  4. 单击导入

  5. 查看导入日志并单击完成

    请注意以下几点

    • 如果导入的案例附加了连接器,系统将提示您重新验证连接器。为此,请在导入已保存对象弹出窗口中单击转到连接器,然后完成必要的步骤。或者,打开主菜单,然后转到堆栈管理 → 连接器以访问连接器。
    • 如果导入的案例附加了警报,请验证警报的源文档是否存在于环境中。与警报交互的案例功能(例如警报详细信息弹出窗口和规则详细信息页面)依赖于警报的源文档才能正常运行。
« 案例要求 配置案例设置 »