› › ›

启用威胁情报集成

威胁情报视图提供了一种简化方式来收集威胁情报数据，您可以将其用于威胁检测和匹配。威胁情报数据包含从第三方威胁情报源摄取的威胁指标。

威胁指标描述了网络或环境中潜在的威胁、异常行为或恶意活动。它们通常用于指标匹配规则，以检测和匹配已知的威胁。当指标匹配规则生成警报时，它会包含有关匹配的威胁指标的信息。

要了解有关包含威胁情报的警报的更多信息，请访问查看警报详细信息。

在某些情况下，数据不会显示在威胁情报视图中

如果您选择的时间范围不包含威胁指标事件数据，则会提示您选择不同的范围。使用 Elastic Security 应用程序或 Kibana 中的日期和时间选择器选择新的分析范围。
如果 Elastic Agent 或 Filebeat 代理尚未摄入威胁情报模块数据，则威胁指标事件计数将不会加载。您可以等待数据被摄入或联系您的管理员以寻求帮助解决此问题。

在要监控的主机上安装Fleet 管理的 Elastic Agent。
在威胁情报视图中，单击启用来源以查看“集成”页面。向下滚动并选择仅限 Elastic Agent以按 Elastic Agent 集成进行筛选。

如果您知道要安装的 Elastic Agent 集成的名称，则可以直接搜索。或者，选择威胁情报类别以显示可用的威胁情报集成列表。
选择一个 Elastic Agent 集成，然后完成安装步骤。
返回“概述”仪表板上的威胁情报视图。如果指标数据未显示，请刷新页面或参阅这些故障排除步骤。

设置Filebeat 代理并启用威胁情报模块。

有关启用可用威胁情报文件集的更多信息，请参阅威胁情报模块。
通过在默认 Fleet 威胁情报索引模式（logs-ti*）之后添加适当的索引模式名称来更新securitySolution:defaultThreatIndex 高级设置。
1. 如果您仅使用 Filebeat 8.x 版本，请添加适当的 Filebeat 威胁情报索引模式。例如，logs-ti*、filebeat-8*。
2. 如果您使用的是以前版本的 Filebeat和当前版本，请通过使用唯一的索引模式名称来区分威胁情报索引。例如，如果您使用的是 Filebeat 7.0.0 和 8.0.0 版本，请将设置更新为 logs-ti*、filebeat-7*、filebeat-8*。
返回“概述”仪表板上的威胁情报视图。如果指标数据未显示，请刷新页面。

设置一种将数据摄入到您系统的方式。
通过在默认 Fleet 威胁情报索引模式（logs-ti*）之后添加适当的索引模式名称来更新securitySolution:defaultThreatIndex 高级设置，例如，logs-ti*、custom-ti-index*。

威胁情报索引不需要与 ECS 兼容。但是，如果您希望您的警报通过相关的威胁指标信息进行丰富，我们强烈建议您兼容。您可以在威胁字段中找到符合 ECS 的威胁情报字段列表。
返回“概述”仪表板上的威胁情报视图（仪表板 → 概述）。如果指标数据未显示，请刷新页面。

威胁情报视图搜索 threat.feed.name 字段值，以在名称列中定义来源名称。如果自定义来源没有 threat.feed.name 字段或未定义 threat.feed.name 字段值，则它将被视为未命名，并标记为其他。除非定义了 threat.feed.dashboard_id 字段，否则不会为未命名的来源创建仪表板。