配置案例设置
编辑配置案例设置
编辑要更改案例关闭选项并添加自定义字段、模板以及用于外部事件管理系统的连接器,请在导航菜单中找到 案例,或者使用全局搜索字段搜索 Security/Cases,然后单击 设置。
要查看和更改案例设置,您必须具有相应的 Kibana 功能权限。请参阅 案例要求。
案例关闭
编辑如果您在外部事件管理系统中关闭案例,这些案例将保持在 Elastic Security 中打开状态,直到您手动关闭它们。
要在案例发送到外部系统时关闭它们,请选择 将新事件推送到外部系统时自动关闭案例。
外部事件管理系统
编辑您可以将 Elastic Security 案例推送到以下第三方系统
- ServiceNow ITSM
- ServiceNow SecOps
- Jira(包括 Jira Service Desk)
- IBM Resilient
- Swimlane
- TheHive
- Webhook - 案例管理
要推送案例,您需要创建一个连接器,该连接器存储与外部系统交互所需的信息。创建连接器后,您可以设置将 Elastic Security 案例发送到外部系统时自动关闭。
要创建新连接器
- 从 事件管理系统 列表中,选择 添加新连接器。
- 选择要将案例发送到的系统:ServiceNow、Jira、IBM Resilient、Swimlane、TheHive 或 Webhook - 案例管理。
-
输入您需要的设置。有关连接器配置详细信息,请参阅
要更改现有连接器的设置
- 从事件管理系统列表中选择所需的连接器。
- 单击 更新 <连接器名称>。
- 在 编辑连接器 弹出框中,根据需要修改连接器字段,然后单击 保存并关闭 以保存更改。
要更改用于将案例发送到外部系统的默认连接器,请从事件管理系统列表中选择所需的连接器。
映射的案例字段
编辑当您将 Elastic Security 案例导出到外部系统时,案例字段将映射到外部系统中的现有字段。例如,案例标题映射到 ServiceNow 中的简短描述和 Jira 事件中的摘要。案例标签映射到 Jira 中的标签。案例评论映射到 ServiceNow 中的工作说明。
当您使用 Webhook - 案例管理连接器时,案例字段可以映射到自定义或现有字段。
当您将更新推送到外部系统时,映射的字段将被覆盖或附加,具体取决于字段和连接器。
不支持从外部系统检索数据。
自定义字段
编辑您可以为自定义案例协作添加可选和必填字段。
-
在 自定义字段 部分,单击 添加字段。
- 您必须提供字段标签和类型(文本或切换)。您可以选择将其指定为必填字段并提供默认值。
创建自定义字段时,它将被添加到所有新案例和现有案例中。在现有案例中,新的自定义文本字段最初具有空值。
您随后可以在 设置 页面上删除或编辑自定义字段。
模板
编辑此功能处于技术预览阶段,可能会在未来版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
您可以通过添加模板来使案例创建过程更快、更一致。模板定义一个或所有案例字段(例如严重性、标签、描述和标题)的值以及任何自定义字段。
要创建模板
-
在 模板 部分,单击 添加模板。
- 您必须提供模板名称和案例严重性。您可以选择添加模板标签和描述、每个案例字段的值以及案例连接器。
当用户创建案例时,他们可以选择性地选择模板并使用其值或覆盖它们。
如果您更新或删除模板,现有案例将不受影响。