配置网络地图数据
编辑配置网络地图数据
编辑根据 Kibana 的设置,要显示和交互 网络 页面上的地图数据,您可能需要
要在地图上查看源和目标连接线,您必须为索引配置 source.geo 和 destination.geo ECS 字段。
所需权限
编辑要查看地图,您需要一个至少具有 读取 权限 的角色,以访问 Maps 功能。
创建 Kibana 数据视图
编辑要显示地图数据,您必须定义一个包含 securitysolution:defaultIndex 字段中指定的索引之一或多个的 Kibana 数据视图。要查看这些索引,请在导航菜单中查找 堆栈管理 或使用 全局搜索字段,然后转到 高级设置 → securitysolution:defaultIndex。
例如,要在地图上显示存储在与索引模式 servers-europe-* 匹配的索引中的数据,您必须使用索引模式与 servers-europe-* 匹配的 Kibana 数据视图,例如 servers-*。
添加 GeoIP 数据
编辑当 ECS source.geo.location 和 destination.geo.location 字段被映射时,网络数据将显示在地图上。
如果您使用 Beats,请配置 GeoIP 处理器以将数据添加到相关字段
-
定义一个使用一个或多个
geoIP处理器向事件添加位置信息的摄取节点管道。例如,使用 Kibana 中的控制台创建以下管道PUT _ingest/pipeline/geoip-info { "description": "Add geoip info", "processors": [ { "geoip": { "field": "client.ip", "target_field": "client.geo", "ignore_missing": true } }, { "geoip": { "field": "source.ip", "target_field": "source.geo", "ignore_missing": true } }, { "geoip": { "field": "destination.ip", "target_field": "destination.geo", "ignore_missing": true } }, { "geoip": { "field": "server.ip", "target_field": "server.geo", "ignore_missing": true } }, { "geoip": { "field": "host.ip", "target_field": "host.geo", "ignore_missing": true } } ] }在此示例中,管道 ID 为
geoip-info。field指定包含用于地理位置查找的 IP 地址的字段,target_field是将保存地理位置信息的字段。"ignore_missing": true配置管道在遇到没有指定字段的事件时继续处理。使用 GeoLite2-ASN.mmdb 数据库添加自治系统编号 (ASN) 字段的示例摄取管道可以在 此处 找到。
-
在 Beats 配置文件中,将管道添加到
output.elasticsearch标签中此字段的值必须与 步骤 1 中的摄取管道名称相同(在此示例中为
geoip-info)。
映射您的内部网络
编辑如果要将网络的内部 IP 地址添加到地图,请在主机上的 Beats 配置文件中的 processors 标签下定义地理位置字段
processors:
- add_host_metadata:
- add_cloud_metadata: ~
- add_fields:
when.network.source.ip: <private/IP address>
fields:
source.geo.location:
lat: <latitude coordinate>
lon: <longitude coordinate>
target: ''
- add_fields:
when.network.destination.ip: <private/IP address>
fields:
destination.geo.location:
lat: <latitude coordinate>
lon: <longitude coordinate>
target: ''
您还可以使用其他 主机字段 丰富您的数据。