检测要求

编辑

检测要求

编辑

要使用检测功能，您首先需要配置一些设置。您还需要相应的许可证才能在生成检测警报时发送通知。

对于自管理 Elastic Stack 部署，有几个步骤是仅需要的。如果您使用的是 Elastic Cloud 部署，则只需启用检测。

此外，还有一些高级设置用于配置 Kibana 值列表上传限制。

配置自管理 Elastic Stack 部署

编辑

这些步骤仅适用于自管理部署

必须为 Elasticsearch 和 Kibana 之间的通信配置 HTTPS。
在 elasticsearch.yml 配置文件中，将 xpack.security.enabled 设置为 true。有关更多信息，请参阅配置 Elasticsearch 和 Elasticsearch 中的安全设置。
在 kibana.yml 配置文件中，添加 xpack.encryptedSavedObjects.encryptionKey 设置，并使用至少 32 个字符的任何字母数字值。例如

xpack.encryptedSavedObjects.encryptionKey: 'fhjskloppd678ehkdfdlliverpoolfcr'

更改 xpack.encryptedSavedObjects.encryptionKey 值并重启 Kibana 后，您必须重启所有检测规则。

启用和访问检测

编辑

要使用检测功能，必须启用它，您的角色必须有权访问规则和警报，并且您的 Kibana 空间必须具有数据视图管理功能可见性。如果您的角色没有启用此功能所需的集群和索引权限，您可以请求具有这些权限的人访问您的 Kibana 空间，这将为您启用该功能。

有关使用机器学习作业和规则的说明，请参阅机器学习作业和规则要求。

在 Elastic Stack 8.0.0 版本中，.siem-signals-<space-id> 索引已重命名为 .alerts-security.alerts-<space-id>。为每个 Kibana 空间创建检测警报索引。对于默认空间，警报索引名为 .alerts-security.alerts-default。如果您正在升级到 8.0.0 或更高版本，用户应具有 .alerts-security.alerts-<space-id> 和 .siem-signals-<space-id> 索引的权限。如果您是新安装 Elastic Stack，则用户不需要 .siem-signals-<space-id> 索引的权限。

下表描述了访问检测功能（包括规则和警报）所需的权限。有关 Kibana 权限的更多信息，请参阅基于用户权限的功能访问。

操作	集群权限	索引权限	Kibana 权限
在您的空间中启用检测	`manage`	对这些系统索引和数据流具有 `manage`、`write`、`read` 和 `view_index_metadata` 权限，其中 `<space-id>` 是空间名称 `.alerts-security.alerts-<space-id>` `.siem-signals-<space-id>` ¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意：如果您正在升级到 Elastic Stack 8.0.0 或更高版本，用户应具有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是新安装 Elastic Stack，则用户不需要 `.siem-signals-<space-id>` 索引的权限。	对 `Security` 功能具有 `All` 权限
在所有空间中启用检测注意：要启用检测，请访问每个空间的“规则和警报”页面。	`manage`	对这些系统索引和数据流具有 `manage`、`write`、`read` 和 `view_index_metadata` 权限 `.alerts-security.alerts-<space-id>` `.siem-signals-<space-id>` ¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意：如果您正在升级到 Elastic Stack 8.0.0 或更高版本，用户应具有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是新安装 Elastic Stack，则用户不需要 `.siem-signals-<space-id>` 索引的权限。	对 `Security` 功能具有 `All` 权限
预览规则	不适用	对这些索引具有 `read` 权限 `.preview.alerts-security.alerts-<space-id>` `.internal.preview.alerts-security.alerts-<space-id>-*`	对 `Security` 功能具有 `All` 权限
管理规则	不适用	对这些系统索引和数据流具有 `manage`、`write`、`read` 和 `view_index_metadata` 权限，其中 `<space-id>` 是空间名称 `.alerts-security.alerts-<space-id>` `.siem-signals-<space-id>`¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意：如果您正在升级到 Elastic Stack 8.0.0 或更高版本，用户应具有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是新安装 Elastic Stack，则用户不需要 `.siem-signals-<space-id>` 索引的权限。	对 `Security` 功能具有 `All` 权限注意：您需要额外的 `操作和连接器` 功能权限（管理 → 操作和连接器）才能管理具有操作和连接器的规则要提供对规则操作和连接器的完全访问权限，请为您的角色赋予 `All` 权限。使用 `Read` 权限，您可以编辑规则操作，但管理连接器的能力有限。例如，`Read` 权限允许您从规则中添加或删除现有连接器，但不允许您创建新连接器。要导入具有操作的规则，您至少需要对 `操作和连接器` 功能具有 `Read` 权限。要覆盖或添加新连接器，您需要对 `操作和连接器` 功能具有 `All` 权限。要导入没有操作的规则，您不需要 `操作和连接器` 权限。
管理警报注意：允许您管理警报，但不能修改规则。	不适用	对这些系统索引和数据流具有 `maintenance`、`write`、`read` 和 `view_index_metadata` 权限，其中 `<space-id>` 是空间名称 `.alerts-security.alerts-<space-id>` `.internal.alerts-security.alerts-<space-id>-*` `.siem-signals-<space-id>`¹ `.lists-<space-id>` `.items-<space-id>` ¹ 注意：如果您正在升级到 Elastic Stack 8.0.0 或更高版本，用户应具有 `.alerts-security.alerts-<space-id>` 和 `.siem-signals-<space-id>` 索引的权限。如果您是新安装 Elastic Stack，则用户不需要 `.siem-signals-<space-id>` 索引的权限。	对 `Security` 功能具有 `Read` 权限
在您的空间中创建 `.lists` 和 `.items` 数据流注意：要启动创建数据流的过程，您必须访问每个相应空间的“规则”页面。	`manage`	对这些数据流具有 `manage`、`write`、`read` 和 `view_index_metadata` 权限，其中 `<space-id>` 是空间名称 `.lists-<space-id>` `.items-<space-id>`	对 `Security` 和 `Saved Objects Management` 功能具有 `All` 权限

以下是一个在所有 Kibana 空间中启用检测功能的用户示例

Shows user with the Detections feature enabled in all Kibana spaces

授权

编辑

规则（包括所有后台检测及其生成的操作）使用与上次编辑规则的用户关联的 API 密钥进行授权。创建或修改规则时，将为该用户生成一个 API 密钥，捕获其权限快照。然后，API 密钥用于运行与规则关联的所有后台任务，包括检测检查和执行操作。

如果规则需要某些权限才能运行，例如索引权限，请记住，如果一个没有这些权限的用户更新了规则，则该规则将不再起作用。

配置列表上传限制

编辑

您可以设置用于将值列表上传到 Elastic Security 的字节数和缓冲区大小的限制。

要设置值

打开 kibana.yml 配置文件或编辑您的 Kibana 云实例。
添加以下任一设置及其所需的值
- xpack.lists.maxImportPayloadBytes：设置允许上传 Elastic Security 值列表的字节数（默认值 9000000，最大值 100000000）。对于每 10 兆字节，建议为 Kibana 预留额外的 1 千兆字节 RAM。
  
  例如，在具有 2 千兆字节 RAM 的 Kibana 实例上，您可以将此值设置为高达 20000000（20 兆字节）。
- xpack.lists.importBufferSize：设置用于上传 Elastic Security 值列表的缓冲区大小（默认值 1000）。如果您在上传值列表时遇到上传速度缓慢或内存使用量大于预期，请更改该值。设置为更高的值以增加吞吐量，但会消耗更多的 Kibana 内存；设置为更低的值以降低吞吐量并减少内存使用量。

有关如何配置 Elastic Cloud 部署的信息，请参阅添加 Kibana 用户设置。

« 检测和警报将 logsdb 索引模式与 Elastic Security 一起使用 »