实体风险评分要求
编辑实体风险评分要求
编辑要使用实体风险评分、资产重要性和实体存储,您的角色必须具有某些集群、索引和 Kibana 权限。这些功能需要 白金订阅 或更高版本。
此页面介绍使用实体风险评分、资产重要性和实体存储功能的要求和指南,以及它们的已知限制。
实体风险评分
编辑权限
编辑要启用风险评分引擎,您需要以下权限:
| 集群 | 索引 | Kibana |
|---|---|---|
|
|
读取 安全 功能 |
Elasticsearch 资源指南
编辑请遵循以下指南,以确保集群拥有足够的内存来处理数据量。
- 使用 2GB 的 Java 虚拟机 (JVM) 堆内存,风险评分引擎可以安全地处理大约 4400 万个文档,或以每分钟 1000 个文档的速率摄取 30 天的风险数据。
- 使用 1GB 的 JVM 堆内存,风险评分引擎可以安全地处理大约 2000 万个文档,或以每分钟大约 450 个文档的速率摄取 30 天的风险数据。
已知限制
编辑风险评分引擎使用内部用户角色来对所有主机和用户进行评分,并且不遵守应用于自定义用户或角色的权限。在为 Kibana 空间启用风险评分引擎后,该空间中的所有警报都将有助于主机和用户的风险评分。
资产重要性
编辑权限
编辑要使用资产重要性,您需要对 .asset-criticality.asset-criticality-<space-id> 索引拥有以下权限:
| 操作 | 索引权限 |
|---|---|
查看资产重要性 |
|
查看、分配或更改资产重要性 |
|
取消分配资产重要性 |
|
实体存储
编辑权限
编辑要使用实体存储,您需要以下权限:
| 集群 | 索引 | Kibana |
|---|---|---|
|
|
全部 安全 和 保存对象管理 功能 |