迁移使用威胁情报进行丰富检测警报
编辑迁移使用威胁情报进行丰富检测警报
编辑从 7.12.0 到 7.14.2 之间的版本升级到 Elastic Stack 7.15.x 或更高版本后,您需要迁移使用威胁情报数据进行丰富检测警报,以确保威胁情报在 Elastic Security 中正确显示。
迁移检测警报
- 在升级 Elastic Stack 之前,请确保所有检测规则都已停用。
- 升级 Kibana。有关更多信息,请参阅升级 Kibana。
- 访问 Elastic Security 中的“概述”或“警报”页面以更新检测警报索引。
- 使用检测警报迁移 API迁移旧警报。
- 重新激活所有检测规则.
停用所有检测规则
编辑停用所有检测规则
- 在导航菜单中查找检测规则 (SIEM),或使用全局搜索字段。
- 单击规则表上方的选择所有 x 条规则选项。
- 单击批量操作 → 禁用。
重新激活所有检测规则
编辑重新激活所有检测规则
- 在导航菜单中查找检测规则 (SIEM),或使用全局搜索字段。
- 单击规则表上方的选择所有 x 条规则选项。
- 单击批量操作 → 启用。