« 将 Elastic Security 升级到 8.16.0 升级后步骤(可选) »
Elastic 文档 Elastic 安全解决方案 [8.16] 将 Elastic Security 升级到 8.16.0

从 7.17 升级到 8.x 版本

编辑

从 7.17 升级到 8.x 版本

编辑

为什么升级很重要

编辑

升级可让您访问 Elastic Security 的最新功能、增强功能和错误修复,其中许多功能可帮助您节省组织成本,更快地响应潜在威胁,并改进用于调查和分析数据的工具。有关更多优势,请查看我们的博客,升级 Elastic Security 的五大理由。此外,确保您的部署得到充分维护和支持非常重要。有关更多信息,请参阅 Elastic 产品生命周期结束日期

计划您的升级

编辑

在升级到 Elastic Security 8.x 之前,请考虑以下建议

  • 计划充足的时间来完成升级。根据您的配置和集群大小,该过程可能需要长达一周的时间才能完成。
  • 向 Elastic 提交 支持案例,以提醒我们的 Elastic 支持团队您系统变更。如果您需要更多帮助,Elastic 咨询服务 提供升级 Elastic 部署的技术专业知识和分步方法。
  • 选择要升级到的版本。我们建议使用最新的次要版本和补丁版本。请确保将您的开发或非生产部署升级到与生产部署相同的版本。
  • 确保您已在 Kibana 中启用了 堆栈监控。记下您当前的索引和搜索速率。
  • 查看您所选版本的特性、Elastic 连接器、集成和检测规则,以确定您是否可以用开箱即用的功能替换任何自定义内容。这有助于减少您的工作量和升级的复杂性。
  • 如果您的组织将警报(以前称为信号)发送到外部 SOAR(安全编排、自动化和响应)平台,您可能需要更改工作流以适应 8.x 中使用的新 警报模式
  • 查看 Elastic SecurityElasticsearchKibana 以及(如果适用)Fleet 和 Elastic AgentBeatsLogstash 的发行说明、弃用和重大更改。确定可能影响您部署的任何问题。与您的 Elastic 团队一起解决您可能遇到的任何问题。从您的解决方案和平台组件(如 Elasticsearch 和 Kibana)的重大更改开始。
  • 在您的组织内安排系统维护窗口。

升级前步骤

编辑

要准备升级过程,请在开始之前按照以下步骤操作

  1. 在整个 Elastic 部署(包括 Elasticsearch、Kibana、Elastic Agent、Beats 和 Logstash)中进行软件版本清单。

  2. 如果您运行的是 7.17 之前的任何版本,则必须先将它们全部升级到最新的 7.17.x 补丁版本,然后再升级到 8.x。这使您可以使用升级助手升级到 8.x。

    如果您使用 Elastic Cloud Enterprise (ECE) 或 Elastic Cloud on Kubernetes (ECK) 管理您的部署,您可能需要先升级系统集群。

  3. 请注意,8.x 中的警报使用 kibana_system 用户而不是 current user 用户写入,因此针对警报索引配置的任何用户修改的摄取管道(这并不常见)将使用 kibana_system 用户权限,这可能会破坏您的摄取管道。如果您遇到此问题,请不要更新您的摄取管道。相反,请联系您的 Elastic 支持代表以寻求帮助。

  4. 运行 升级助手。记下任何关键错误消息,然后与您的 Elastic 支持代表合作以解决这些错误。

    要求

    要运行升级助手,您必须在集群上具有 superuser 角色。

  5. 如果您未使用 快照生命周期管理 (SLM),则必须设置和配置策略,然后运行该策略以创建至少一个 快照(从正在运行的集群中获取的索引备份)。如果您需要在升级过程中回滚,请使用最近的快照以避免数据丢失。快照是 增量的——根据集群大小和输入/输出速率,初始快照可能需要几个小时才能完成。如果您使用 SLM,请 检查 SLM 历史记录 以确保快照已成功完成。

在部署上执行 8.x 升级

编辑

我们强烈建议首先在非生产部署上执行以下步骤,以解决任何潜在问题,然后再升级您的生产部署。如果您使用的是跨集群搜索环境,请先升级您的远程部署。

  1. 如果您尚未执行此操作,请将集群数据备份到 快照
  2. 我们建议您 导出所有自定义检测规则,以防升级后检测引擎出现问题。

  3. 升级 Elasticsearch。

    • 如果您使用的是 Elastic Cloud,我们建议进行无停机时间升级。请参阅 这些说明
    • 如果您使用的是 Elastic Cloud Enterprise (ECE),请参阅 这些说明
    • 如果您使用的是 Elastic Cloud on Kubernetes (ECK),请参阅 这些说明

    • 如果您正在升级自编排部署,请参阅 这些说明 并按以下顺序逐层升级数据节点层

      1. 冻结层
      2. 冷层
      3. 暖层
      4. 热层
      5. 任何不在层中的其他节点
      6. 所有其余既不是主节点候选也不是数据节点的节点
      7. 主节点候选节点

  4. 升级 Kibana。请参阅 这些说明

    如果您使用的是 Elastic Cloud 托管或 Elastic Cloud Enterprise,则此操作已包含在 Elasticsearch 升级中。

  5. 通过完成以下检查来验证 Elasticsearch 和 Kibana 是否按预期运行

    1. 对于 Elasticsearch

      1. 检查集群的状态并确保它们为绿色,方法是运行 GET _cat/health API 请求。有关更多信息,请参阅 cat health API 文档

      2. 确保索引和搜索速率接近升级前的速率。要查看这些内容,请在导航菜单中查找 堆栈监控 或使用 全局搜索字段,然后选择 Elasticsearch概述

        您还可以使用 cat index API 检查索引文档计数。

      3. 通过 检查 SLM 历史记录 验证快照生命周期管理 SLM 是否正在获取快照。
      4. 如果您使用机器学习,请确保它已启动并正在运行。

    2. 对于 Kibana

      1. 确保您和您的用户可以成功登录 Kibana 并访问所需的页面。
      2. 检查 发现 并验证您通常使用的索引模式是否可用。
      3. 验证您常用的 仪表盘 是否可用并正常工作。
      4. 如果您使用任何基于 Watcher 的 Kibana 计划 报告,请确保它正常工作。
  6. 升级您的摄取组件(例如 Logstash、Fleet 和 Elastic Agent、Beats 等)。有关详细信息,请参阅 Elastic Stack 升级文档

  7. 验证摄取是否正常运行。

    1. 打开 发现,浏览每个预期摄取数据流的数据视图,并确保数据以预期的格式和数量被摄取。

  8. 验证 Elastic Security 是否正常运行。

    1. 规则 页面上,重新启用您所需的 SIEM 检测规则(规则管理 选项卡),并确保启用的规则在运行时没有错误或警告(规则监控 选项卡)。
    2. 确保任何使用警报的 SOAR 工作流都能正常工作。
    3. 验证您的团队创建的任何自定义仪表盘是否正常工作,尤其是在它们对警报文档进行操作的情况下。

  9. 如果您在非生产环境中执行了这些步骤,请在生产环境中重复执行相同的步骤。如果您使用的是跨集群搜索环境并在远程集群上执行了这些步骤,请在其他部署中重复执行相同的步骤。
  10. 与您的相关利益相关者确认升级过程已成功完成。

升级后步骤

编辑

以下部分描述了将 Elastic Security 升级到 8.x 后需要完成的步骤。

重新启用已禁用的规则

编辑

从 7.17 升级到 8.0.1 或更高版本时,任何处于活动状态的规则都会自动禁用,并且会向这些规则添加名为 auto_disabled_8.0 的标签以进行跟踪。升级完成后,您可以按新的标签过滤规则,然后使用批量操作重新启用它们。

  1. 在导航菜单中查找 检测规则 (SIEM),或使用 全局搜索字段
  2. 标签 下拉列表中,搜索 auto_disabled_8.0
  3. 点击 选择所有 x 条规则,或单独选择要重新启用的规则。
  4. 点击 批量操作 → 启用 以重新启用规则。

或者,您可以使用 批量规则操作 API 重新启用规则。

Elastic Endpoint 的完整磁盘访问权限 (FDA) 批准

编辑

手动安装 Elastic Endpoint 时,必须批准系统扩展、内核扩展并启用完整磁盘访问权限 (FDA)。8.x 中有一个新的 FDA 要求。请参阅 Elastic Defend 要求 以查看所需的权限。

在 Elastic Security 应用中显示数据视图的要求

编辑

为了使 数据视图 选项出现在具有旧版警报的环境中,具有提升角色权限的用户必须访问 Elastic Security 应用,打开显示警报数据的页面(必须存在至少一个警报),然后刷新页面。用户的角色权限必须允许他们在 Kibana 空间中启用检测功能。有关更多信息,请参阅 启用和访问检测

新的警报架构

编辑

检测警报的系统索引已从 .siem-signals-<space-id> 重命名为 .alerts-security.alerts-<space-id>,现在是一个隐藏索引。因此,Elastic Security 中用于警报文档的架构已更改。使用 Elastic Security API 访问 .siem-signals 索引中的文档的用户必须修改其 API 查询和脚本才能在新的 8.x 警报文档上正常运行。请参阅 如何查询警报索引 并查看新的 警报架构

查看警报和预览规则所需的新权限

编辑
  • 要查看警报,用户需要对两个新的索引 .alerts-security.alerts.internal.alerts-security.alerts 具有 managewritereadview_index_metadata 权限。升级到 8.x 的现有用户可以保留对 .siem-signals 索引的权限。
  • 预览规则,用户需要对新的 .preview.alerts-security.alerts 索引具有 read 访问权限。有关更多信息,请参阅 检测要求

指标匹配规则的更新

编辑

指标匹配规则类型的 默认威胁指标路径 的更改可能需要您在升级到 8.x 后更新现有规则或创建新规则。请注意以下事项

  • 如果指标匹配规则的默认威胁指标路径在升级前未定义,则升级后将默认为 threatintel.indicator。这允许规则继续使用 Filebeat 7.x 版本摄取的指标数据。如果在升级前定义了自定义值,则该值不会更改。
  • 如果现有指标匹配规则配置为使用从 Filebeat 7.x 版本生成的威胁指标索引,则在您升级到 Elastic Stack 8.x 版本和 Elastic Agent 或 Filebeat 8.x 版本后,将默认威胁指标路径更新为 threat.indicator 将配置规则以使用这些更高版本生成的威胁指标索引。
  • 您必须创建单独的规则来查询由 Filebeat 7.x 版本和 8.x 版本创建的威胁情报索引,因为每个版本都需要不同的默认威胁指标路径值。查看有关 查询警报索引 的建议。
« 将 Elastic Security 升级到 8.16.0 升级后步骤(可选) »