将检测告警添加到案例
编辑将检测告警添加到案例
编辑在“告警”表中,您可以将一个或多个告警附加到新的案例或现有的案例。任何规则类型的告警都可以添加到案例中。
- 将告警添加到案例后,您可以从告警摘要下的案例活动中将其移除,或使用Elastic Security 案例 API移除。
- 每个案例最多可以包含 1000 个告警。
将告警添加到新的案例
编辑要将告警添加到新的案例
-
执行以下操作之一
- 要将单个告警添加到案例,请选择“告警”表中的更多操作菜单(…)或告警详情浮出层中的采取操作,然后选择添加到新案例。
- 要添加多个告警,请选择告警,然后从批量操作菜单中选择添加到新案例。
-
为案例命名,分配严重性级别并提供描述。您可以在案例描述中使用Markdown语法。
如果您未为案例分配严重性级别,则默认情况下将分配低。
- 可选地,添加类别、分配人和相关标签。只有在满足必要的先决条件时,才能添加用户。
- 指定是否要同步关联告警的状态。默认情况下启用;但是,您可以随时切换此设置的开或关。如果保持启用状态,则每当案例的状态修改时,告警的状态都会更新。
- 选择一个连接器。如果您之前添加过连接器,则该连接器将显示为默认选择。否则,默认设置为
未选择连接器。 - 完成所有必填字段后,单击创建案例。将显示一条确认消息,并提供查看新案例的选项。单击通知中的链接或转到“案例”页面以查看案例。
将告警添加到现有的案例
编辑要将告警添加到现有的案例
-
执行以下操作之一
- 要将单个告警添加到案例,请选择“告警”表中的更多操作菜单(…)或告警详情浮出层中的采取操作,然后选择添加到现有案例。
- 要添加多个告警,请选择告警,然后从批量操作菜单中选择添加到现有案例。
-
在选择案例对话框中,选择要将告警附加到的案例。将显示一条确认消息,并提供查看更新后的案例的选项。单击通知中的链接或转到“案例”页面以查看案例的详细信息。
如果您将告警附加到已配置为与其关联告警同步其状态的案例,则每当案例的状态修改时,告警的状态都会更新。
