实体存储
编辑实体存储
编辑此功能处于技术预览阶段,可能在未来版本中发生更改或被移除。Elastic 将致力于修复任何问题,但技术预览中的功能不受正式 GA 功能的支持 SLA 的约束。
实体存储允许您查询、协调、维护和持久化实体元数据,例如:
- 摄取的日志数据
- 来自集成身份提供商的数据(例如 Active Directory、EntraID 和 Okta)
- 来自内部和外部警报的数据
- 外部资产库数据
- 资产关键性数据
- 实体风险评分数据
实体存储可以保存 Elastic Security 观察到的任何实体类型。它允许您查看和查询索引中表示的选定实体,而无需执行可观察数据的实时搜索。实体存储从 Elastic Security 默认数据视图 中的所有索引中提取实体。
启用实体存储后,将为每种实体类型(主机和用户)生成以下资源:
- Elasticsearch 资源,例如转换、摄取管道和丰富策略。
- 每个实体的数据和字段。
- 分别包含主机和用户字段映射的
.entities.v1.latest.security_user_<space-id>和.entities.v1.latest.security_host_<space-id>索引。您可以查询这些索引以查看实体存储中映射的字段列表。
启用实体存储
编辑要启用实体存储:
- 在导航菜单中查找 实体存储,或者使用 全局搜索字段。
- 在 实体存储 页面上,打开切换开关。
启用实体存储后,实体分析仪表板将显示 实体 部分。
清除实体存储数据
编辑启用实体存储后,您可能希望清除存储的数据并重新开始。例如,如果您规范化了 user.name 或 host.name 字段,清除实体存储数据将允许您使用更新的规范化值重新填充实体存储。此操作将删除所有先前提取的实体信息,从而实现新的数据提取和分析。
清除实体存储数据不会删除您的源数据、已分配的实体风险评分或资产关键性分配。
清除实体存储数据将永久删除持久化的用户和主机记录,并且数据将不再可用进行分析。请谨慎操作,因为此操作无法撤消。
要清除实体数据:
- 在导航菜单中查找 实体存储,或者使用 全局搜索字段。
- 在 实体存储 页面上,选择 清除。