验证存储指标文档的索引是否包含在默认 Elastic 安全索引 (securitySolution:defaultIndex) 中。存储指标文档的索引会因您收集指标数据的方式而异。
- Elastic Agent 集成 - logs_ti*
- Filebeat 集成 - filebeat-*
确保您正在摄取的指标数据已映射到 Elastic Common Schema (ECS)。

这些故障排除步骤也适用于威胁情报视图。

将指标添加到“指标”页面后，您可以检查、搜索、筛选和对指标数据执行操作。指标也会显示在趋势视图中，该视图显示图例中的总值。

单击 查看详细信息，然后打开“指标详细信息”浮出控件，详细了解指标。浮出控件包含以下信息选项卡：

概述：指标的摘要，包括指标的名称、它来自的威胁情报源、指标类型和其他相关数据。

某些威胁情报源提供流量灯协议 (TLP) 标记。如果源不提供该数据，则 TLP 标记 和 置信度 字段将为空。
表：表格式的指标数据。
JSON：JSON 格式的指标数据。

在时间线中调查指标，以识别和预测您环境中的相关事件。您可以从“指标”表或“指标详细信息”浮出控件将指标添加到时间线。

将指标添加到时间线时，将打开一个新的时间线，其中包含自动生成的 KQL 查询。该查询包含您选择的指标字段值对以及自动映射的源事件的字段值对。默认情况下，查询的时间范围设置为指标的 时间戳 前后七天。

下图显示了在时间线中调查的文件哈希指标。指标字段值对为

threat.indicator.file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

自动生成的查询包含指标字段值对（如前所述）和自动映射的源事件字段值对，即

file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

查询结果显示一条警报，其中包含匹配的 file.hash.sha256 字段值，这可能表示环境中存在可疑或恶意活动。

将指标附加到案例可以为您的调查提供更多上下文和可用操作。此功能使您可以轻松地与其他团队共享或升级威胁情报。

要将指标添加到案例：

从“指标”表中，单击更多操作 (…) 菜单。或者，打开指标的详细信息，然后选择 执行操作。
选择以下其中一项：
- 添加到现有案例：从选择案例对话框中，选择要将指标附加到的案例。
- 添加到新案例：配置案例详细信息。请参阅打开新案例以了解有关打开新案例的更多信息。
指标将作为新评论添加到案例中。

将指标附加到案例时，该指标将作为新评论添加，其中包含以下详细信息：

指标名称：单击链接的名称以打开“指标详细信息”浮出控件，其中包含以下选项卡：
- 概述：威胁指标的摘要，包括其名称和类型、它来自的威胁情报源以及其他相关数据。
  
  某些威胁情报源提供流量灯协议 (TLP) 标记。如果源不提供该数据，则 TLP 标记 和 置信度 字段将为空。
- 表：表格式的指标数据。
- JSON：JSON 格式的指标数据。
源名称：从中摄取指标的威胁源。
指标类型：指标类型，例如 file 或 .exe。

要删除附加到案例的指标，请单击案例评论中的更多操作 (…) 菜单 → 删除附件。

将指标值添加到阻止列表，以防止选定的应用程序在您的主机上运行。您可以使用 file 类型指标中的 MD5、SHA-1 或 SHA-256 哈希值。

您可以从“指标”表或“指标详细信息”浮出控件将指标值添加到阻止列表。从“指标”表中，选择更多操作 (…) 菜单 → 添加阻止列表条目。或者，打开指标的详细信息，然后选择执行操作菜单 → 添加阻止列表条目。

有关阻止列表条目的更多信息，请参阅阻止列表。