空间和 Elastic Security
编辑空间和 Elastic Security
编辑Elastic Security 支持使用 空间 功能将您的安全运营组织成逻辑实例。Kibana 中的每个空间都代表 Elastic Security 的一个独立逻辑实例,其中检测规则、规则例外、值列表、警报、时间线、案例和 Kibana 高级设置对空间私有,只有拥有访问该空间角色权限的用户才能访问。有关 Elastic Security 和特定功能权限的详细信息,请参阅 Elastic Security 需求。
例如,如果您创建一个 SOC_prod 空间,并在其中加载并激活所有 Elastic Security 预构建的检测规则,则只有在访问 SOC_prod 空间中的 Elastic Security 应用程序时,才能访问这些规则及其生成的任何检测警报。如果您随后创建一个新的 SOC_dev 空间,您会注意到没有检测规则或警报。在此随后加载或创建的任何规则都将对 SOC_dev 空间私有,并且它们将独立于 SOC_prod 空间中的规则运行。
默认情况下,检测规则创建的警报存储在 .alerts-security.alerts-<space-name> 索引模式下的 Elasticsearch 索引中,任何拥有访问这些 Elasticsearch 索引的角色权限的用户都可以访问它们。在上面的示例中,任何拥有访问 .alerts-security.alerts-SOC_prod 的 Elasticsearch 权限的用户都将能够从 Elasticsearch 和其他 Kibana 应用程序(如 Discover 和 Lens)中查看 SOC_prod 警报。
为了确保检测警报数据保留在其创建的空间中私有,请确保分配给您的 Elastic Security 用户的角色包括 Elasticsearch 权限,这些权限限制他们访问其空间警报索引中的警报。