配置高级设置
编辑配置高级设置
编辑高级设置决定了:
要更改这些设置,您需要All权限才能使用高级设置Kibana 功能。
修改高级设置可能会影响 Kibana 性能,并导致难以诊断的问题。将属性值设置为空白字段会恢复为默认行为,这可能与其他配置设置不兼容。删除自定义设置会将其从 Kibana 中永久删除。
访问高级设置
编辑要访问高级设置,请转到Stack Management → 高级设置,然后向下滚动到Security Solution设置。
更新默认的 Elastic Security 索引
编辑securitySolution:defaultIndex字段定义了 Elastic Security 应用程序用于收集数据的 Elasticsearch 索引。默认情况下,索引模式用于匹配 Elasticsearch 索引集。
索引模式使用通配符来指定索引集。例如,filebeat-*索引模式表示所有以filebeat-开头的索引都可以在 Elastic Security 应用程序中使用。
所有默认索引模式都匹配Beats和Elastic Agent索引。这意味着通过 Beats 和 Elastic Agent 传送的所有数据都会自动添加到 Elastic Security 应用程序中。
您可以根据需要添加或删除任何索引和索引模式。有关 Elasticsearch 索引的背景信息,请参阅数据来源:文档和索引。
如果保留选定的-*elastic-cloud-logs-*索引模式,则默认情况下,所有 Elastic 云日志都会从 Elastic Security 应用程序的所有查询中排除。这是为了避免将来自云监控的数据添加到应用程序中。
Elastic Security 需要符合 ECS 标准的数据。如果您使用第三方数据收集器将数据传送到 Elasticsearch,则必须将数据映射到 ECS。Elastic Security ECS 字段参考列出了 Elastic Security 中使用的 ECS 字段。
更新默认的 Elastic Security 威胁情报索引
编辑securitySolution:defaultThreatIndex高级设置指定 Elastic Security 功能查询已摄取威胁指示器的威胁情报索引。此设置会影响查询威胁情报索引的功能,例如“概览”页面上的“威胁情报”视图、指示器匹配规则和警报丰富查询。您可以指定一个或多个威胁情报索引;多个索引必须以逗号分隔。默认情况下,仅指定logs-ti*索引模式。请勿删除或覆盖此索引模式,因为它由 Elastic Agent 集成使用。
在指示器匹配规则中使用时,威胁情报索引不需要与 ECS 兼容。但是,如果您希望警报使用相关的威胁指示器信息进行丰富,我们强烈建议兼容。在搜索威胁指示器数据时,指示器匹配规则会使用指示器前缀覆盖高级设置中指定的威胁指示器路径。请访问配置高级规则设置了解更多信息。
遥测设置
编辑当用户与 Elastic Security 应用程序交互时,Kibana 会传输有关 Elastic Security 的某些信息,如下详述。Kibana 会在将消息传输到 Elastic 之前,编辑或混淆个人数据(IP 地址、主机名、用户名等)。特定于安全的遥测事件包括:
- 检测规则安全警报:有关使用检测引擎的 Elastic 编写的预构建检测规则的信息。警报数据的示例包括机器学习作业影响因素、进程名称和云审计事件。
- Elastic Endpoint Security 警报:有关使用 Elastic Endpoint 检测引擎检测到的恶意活动的信息。警报数据的示例包括恶意进程名称、数字签名和恶意软件写入的文件名。警报元数据的示例包括警报时间、Elastic Endpoint 版本和相关检测引擎版本。
- Elastic Endpoint 的配置数据:有关 Elastic Endpoint 部署配置的信息。配置数据的示例包括 Endpoint 版本、操作系统版本和 Endpoint 的性能计数器。
- Elastic 规则的例外列表条目:有关为 Elastic 规则添加的例外的信息。示例包括受信任的应用程序、检测例外和规则例外。
- 安全警报活动记录:有关在 Elastic Security 应用程序中生成的警报上执行的操作(例如,已确认或已关闭)的信息。
要了解更多信息,请参阅我们的隐私声明。
设置机器学习分数阈值
编辑当启用安全机器学习作业时,此设置会确定 Elastic Security 中显示异常分数的阈值
-
securitySolution:defaultAnomalyScore
修改新闻提要设置
编辑您可以更改这些设置,这些设置会影响在 Elastic Security 概览页面上显示的新闻提要
-
securitySolution:enableNewsFeed:在 Security 概览页面上启用安全新闻提要。 -
securitySolution:newsFeedUrl:从中检索安全新闻提要内容的 URL。
从分析器查询中排除冷数据层和冻结数据层的数据
编辑在可视化事件分析器查询中包含来自冷和冻结数据层的数据可能会导致性能下降。securitySolution:excludeColdAndFrozenTiersInAnalyzer设置允许您从分析器查询中排除此数据。默认情况下,此设置处于关闭状态。
从事件或警报详细信息弹出窗口访问事件分析器和会话视图
编辑此功能为技术预览版,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。
securitySolution:enableVisualizationsInFlyout设置允许您在警报或事件详细信息弹出窗口的可视化选项卡中访问事件分析器和会话视图。默认情况下,此设置处于关闭状态。
更改默认的搜索间隔和数据刷新时间
编辑这些设置确定了您打开应用程序时 Elastic Security 页面用于显示数据的默认时间间隔和刷新率
-
securitySolution:timeDefaults:默认时间间隔 -
securitySolution:refreshIntervalDefaults:默认刷新率
在 IP 详细信息页面上显示信誉链接
编辑在 IP 详细信息页面(安全 → 网络 → IP 地址)上,会显示指向外部站点以验证 IP 地址信誉的链接。默认情况下,会列出指向以下站点的链接:TALOS 和 VIRUSTOTAL。
securitySolution:ipReputationLinks字段确定了列出哪些 IP 信誉站点。要修改列出的站点,请编辑该字段的 JSON 数组。必须在每个数组元素中定义这些字段
-
name:链接的 UI 显示名称。 -
url_template:链接的 URL。它可以包括{{ip}},这是您在IP 详细信息页面上查看的 IP 地址的占位符。
示例
在IP 详细信息页面上添加指向 https://www.dnschecker.org 的链接
[
{ "name": "virustotal.com", "url_template": "https://www.virustotal.com/gui/search/{{ip}}" },
{ "name": "dnschecker.org", "url_template": "https://www.dnschecker.org/ip-location.php?ip={{ip}}" },
{ "name": "talosIntelligence.com", "url_template": "https://talosintelligence.com/reputation_center/lookup?search={{ip}}" }
]
配置跨集群搜索权限警告
编辑每次使用远程跨集群搜索 (CCS) 索引模式运行检测规则时,都会返回一个警告,指出该规则可能没有所需的read权限来访问远程索引。由于无法跨远程索引检查权限,因此即使该规则实际上具有访问远程索引的read权限,也会显示此警告。
如果您已确保检测规则在远程索引中具有所需的权限,则可以使用securitySolution:enableCcsWarning设置禁用此警告并减少噪音。
在“规则”页面表格中显示/隐藏相关集成
编辑默认情况下,规则和规则监控表格中的 Elastic 预构建规则包含一个徽章,显示已安装的相关集成的数量。关闭securitySolution:showRelatedIntegrations可在规则表格中隐藏此信息(相关集成仍会出现在规则详细信息页面上)。
管理警报标签选项
编辑securitySolution:alertTags字段确定在警报标签菜单中显示的选项。默认的警报标签选项为重复、误报和需要进一步调查。您可以通过编辑这些选项或添加更多选项来更新警报标签菜单。要了解有关使用警报标签的详细信息,请参阅应用和筛选警报标签。
设置警报和事件的最大备注限制
编辑securitySolution:maxUnassociatedNotes字段确定您可以附加到警报和事件的备注的最大数量。最大限制和默认值为 1000。
从规则中排除冷冻数据和冻结数据
编辑要确保 Kibana 空间中的规则在执行时排除来自冷数据层和冻结数据层的查询结果,请在excludedDataTiersForRuleExecution字段中指定冷数据层和冻结数据层。多个数据层必须以逗号分隔,例如:data_frozen、data_cold。默认情况下,此设置处于关闭状态;开启此设置可以提高规则性能并减少执行时间。
此设置不适用于机器学习规则,因为机器学习异常不会存储在冷数据层或冻结数据层中。
要仅从特定规则中排除冷数据和冻结数据,请将 Query DSL 过滤器添加到您想要影响的规则中。
即使启用了 excludedDataTiersForRuleExecution 高级设置,如果规则执行期间匹配规则指定索引模式的冻结或冷分片不可用,指标匹配、事件关联和 ES|QL 规则仍可能失败。如果发生故障,我们建议修改规则的索引模式,使其仅匹配包含热层数据的索引。