« 实体风险评分 启用风险评分引擎 »
Elastic 文档 Elastic 安全解决方案 [8.17] 高级实体分析 实体风险评分

实体风险评分要求

编辑

实体风险评分要求

编辑

要使用实体风险评分、资产重要性和实体存储,您的角色必须具有特定的集群、索引和 Kibana 权限。这些功能需要 白金订阅 或更高版本。

本页介绍了使用实体风险评分、资产重要性和实体存储功能的要求和指南,以及它们已知的限制。

实体风险评分

编辑
权限
编辑

要启用风险评分引擎,您需要以下权限

集群 索引 Kibana
  • manage_index_templates
  • manage_transform

对于 risk-score.risk-score-*all 权限

对于 安全 功能的 读取 权限
Elasticsearch 资源指南
编辑

请遵循这些指南,以确保集群具有足够的内存来处理数据量

  • 使用 2GB 的 Java 虚拟机 (JVM) 堆内存,风险评分引擎可以安全地处理大约 4400 万个文档,或以每分钟 1000 个文档的摄取率处理 30 天的风险数据。
  • 使用 1GB 的 JVM 堆内存,风险评分引擎可以安全地处理大约 2000 万个文档,或以每分钟约 450 个文档的摄取率处理 30 天的风险数据。
已知限制
编辑

风险评分引擎使用内部用户角色来评分所有主机和用户,并且不遵守应用于自定义用户或角色的权限。在为 Kibana 空间启用风险评分引擎后,该空间中的所有警报都将有助于主机和用户的风险评分。

资产重要性

编辑
权限
编辑

要使用资产重要性,您需要对 .asset-criticality.asset-criticality-<space-id> 索引具有以下权限

操作 索引权限

查看资产重要性

read

查看、分配或更改资产重要性

readwrite

取消分配资产重要性

delete

实体存储

编辑
权限
编辑

要使用实体存储,您需要以下权限

集群 索引 Kibana
  • manage_enrich
  • manage_index_templates
  • manage_ingest_pipelines
  • manage_transform
  • 对于 .asset-criticality.asset-criticality-*readview_index_metadata 权限
  • 对于 risk-score.risk-score-*readmanage 权限
  • 对于 .entities.v1.latest.*readmanage 权限
  • 对于所有 Elastic Security 索引的 readview_index_metadata 权限

对于 安全已保存的对象管理 功能的 全部 权限
« 实体风险评分 启用风险评分引擎 »