从 7.17 版本升级到 8.x 版本
编辑从 7.17 版本升级到 8.x 版本
编辑为什么升级很重要
编辑升级使您能够访问 Elastic Security 的最新功能、增强功能和错误修复,其中许多功能可以帮助您的组织节省资金、更快地响应潜在威胁,并改进您用于调查和分析数据的工具。有关更多好处,请查看我们的博客:升级 Elastic Security 的 5 大理由。此外,确保您的部署得到充分维护和支持也很重要。有关更多信息,请参阅Elastic 产品生命周期结束日期。
规划您的升级
编辑在升级到 Elastic Security 8.x 之前,请考虑以下建议
- 计划足够的时间来完成升级。根据您的配置和集群的大小,该过程可能需要长达一周的时间才能完成。
- 在 Elastic 开立一个支持案例,以提醒我们的 Elastic 支持团队您的系统变更。如果您需要其他帮助,Elastic 咨询服务可为升级您的 Elastic 部署提供技术专业知识和分步方法。
- 选择要升级到的版本。我们建议使用最新的次要版本和补丁版本。请务必将您的开发或非生产部署升级到与您的生产部署相同的版本。
- 确保您在 Kibana 中启用了堆栈监控。记下您当前的索引和搜索速率。
- 查看您所选版本的功能、Elastic 连接器、集成和检测规则,以确定是否可以使用开箱即用的功能替换任何自定义内容。这有助于减少您的工作量和升级的复杂性。
- 如果您的组织将警报(以前称为信号)发送到外部 SOAR(安全编排、自动化和响应)平台,则您可能需要更改您的工作流程以适应 8.x 中使用的新警报架构。
- 查看Elastic Security、Elasticsearch、Kibana 以及(如果适用)Fleet 和 Elastic Agent、Beats 和 Logstash 的发行说明、弃用项和重大更改。确定可能影响您部署的任何问题。与您的 Elastic 团队合作解决您可能遇到的任何问题。从您的解决方案和平台组件(如 Elasticsearch 和 Kibana)的重大更改开始。
- 在您的组织内安排系统维护窗口。
升级前步骤
编辑为准备升级过程,请在开始之前执行以下步骤
- 对整个 Elastic 部署(包括 Elasticsearch、Kibana、Elastic Agent、Beats 和 Logstash)进行软件版本清单。
-
如果您运行的任何版本早于 7.17,则必须先将它们全部升级到最新的 7.17.x 补丁版本,然后再升级到 8.x。这使您可以使用升级助手升级到 8.x。
如果您使用 Elastic Cloud Enterprise (ECE) 或 Elastic Cloud on Kubernetes (ECK) 管理您的部署,则可能需要先升级系统集群。
- 请注意,8.x 中的警报是使用
kibana_system用户而不是当前用户编写的,因此,针对警报索引配置的任何用户修改的摄取管道(这种情况不常见)都将使用kibana_system用户权限,这可能会破坏您的摄取管道。如果您遇到此问题,请不要更新您的摄取管道。相反,请联系您的 Elastic 支持代表寻求帮助。 -
运行升级助手。记下任何严重错误消息,然后与您的 Elastic 支持代表合作解决这些问题。
- 如果您未使用快照生命周期管理 (SLM),则必须设置和配置策略,然后运行该策略以创建至少一个快照 — 从正在运行的集群中提取的索引的备份。如果您需要在升级过程中回滚,请使用最近的快照以避免数据丢失。快照是增量的 — 根据集群大小和输入/输出速率,初始快照可能需要几个小时才能完成。如果您使用 SLM,请检查 SLM 历史记录以确保快照成功完成。
在部署上执行 8.x 升级
编辑我们强烈建议先在非生产部署上执行以下步骤,以在升级生产部署之前解决任何潜在问题。如果您使用跨集群搜索环境,请先升级您的远程部署。
- 如果您尚未执行此操作,请将您的集群数据备份到快照。
- 我们建议您导出所有自定义检测规则,以防升级后检测引擎出现问题。
-
升级 Elasticsearch。
-
升级 Kibana。请参阅这些说明。
如果您使用 Elastic Cloud Hosted 或 Elastic Cloud Enterprise,则此操作已包含在 Elasticsearch 升级中。
-
通过完成以下检查来验证 Elasticsearch 和 Kibana 是否按预期运行
-
对于 Elasticsearch
- 检查您的集群状态,并通过运行
GET _cat/healthAPI 请求确保它们为绿色。有关更多信息,请参阅cat health API 文档。 -
确保索引和搜索速率与升级前接近。要查看这些信息,请在导航菜单中查找堆栈监控,或使用全局搜索字段,然后选择Elasticsearch → 概述。
您还可以使用 cat index API 检查索引文档计数。
- 通过检查 SLM 历史记录来验证快照生命周期管理 SLM 是否正在拍摄快照。
- 如果您使用机器学习,请确保它已启动并正在运行。
- 检查您的集群状态,并通过运行
-
对于 Kibana
-
- 升级您的摄取组件(如 Logstash、Fleet 和 Elastic Agent、Beats 等)。有关详细信息,请参阅Elastic Stack 升级文档。
-
验证摄取是否正常运行。
- 打开Discover,浏览每个预期摄取数据流的数据视图,并确保数据以预期的格式和量摄取。
-
验证 Elastic Security 是否正常运行。
- 在规则页面上,重新启用您所需的 SIEM 检测规则(规则管理选项卡),并确保已启用的规则运行无错误或警告(规则监控选项卡)。
- 确保任何使用警报的 SOAR 工作流程都可以正常工作。
- 验证您的团队创建的任何自定义仪表板是否正常工作,尤其是在它们对警报文档进行操作的情况下。
- 如果您在非生产部署上执行了这些步骤,请在您的生产环境中重复这些相同的步骤。如果您使用跨集群搜索环境并在远程集群上执行了这些步骤,请在您的其他部署上重复这些相同的步骤。
- 与您的相应利益相关者确认升级过程已成功。
升级后步骤
编辑以下各节介绍将 Elastic Security 升级到 8.x 后要完成的过程。
重新启用已禁用规则
编辑当您从 7.17 升级到 8.0.1 或更高版本时,任何活动的规则都会自动禁用,并且为了跟踪目的,会在这些规则中添加一个名为 auto_disabled_8.0 的标签。升级完成后,您可以按新标签筛选规则,然后使用批量操作重新启用它们
- 在导航菜单中查找检测规则(SIEM),或使用全局搜索字段。
- 从标签下拉菜单中,搜索
auto_disabled_8.0。 - 点击选择全部x 条规则,或者单独选择要重新启用的规则。
- 点击批量操作 → 启用以重新启用规则。
或者,您可以使用批量规则操作 API 来重新启用规则。
Elastic Endpoint 的完全磁盘访问 (FDA) 权限
编辑当您手动安装 Elastic Endpoint 时,您必须批准一个系统扩展、内核扩展,并启用完全磁盘访问 (FDA)。在 8.x 版本中有一个新的 FDA 要求。请参考Elastic Defend 要求 以查看所需的权限。
在 Elastic Security 应用程序中显示数据视图的要求
编辑为了使数据视图选项在具有旧版警报的环境中显示,具有提升角色权限的用户必须访问 Elastic Security 应用程序,打开一个显示警报数据的页面(必须至少存在一个警报),然后刷新页面。用户的角色权限必须允许他们在 Kibana 空间中启用检测功能。有关更多信息,请参阅启用和访问检测。
新的警报模式
编辑检测警报的系统索引已从.siem-signals-<space-id> 重命名为 .alerts-security.alerts-<space-id>,现在是一个隐藏索引。因此,Elastic Security 中用于警报文档的模式已更改。使用 Elastic Security API 访问 .siem-signals 索引中的文档的用户必须修改其 API 查询和脚本,以便在新 8.x 警报文档上正常运行。请参阅如何查询警报索引,并查看新的警报模式。
查看警报和预览规则所需的新权限
编辑对指示器匹配规则的更新
编辑在升级到 8.x 后,对指示器匹配规则类型的默认威胁指示器路径的更改可能需要您更新现有规则或创建新规则。请注意以下事项
- 如果升级之前未定义指示器匹配规则的默认威胁指示器路径,则在升级后它将默认为
threatintel.indicator。这允许规则继续使用 Filebeat 7.x 版本摄取的指示器数据。如果升级之前定义了自定义值,则该值不会更改。 - 如果现有的指示器匹配规则被配置为使用从 Filebeat 7.x 版本生成的威胁指示器索引,则在您升级到 Elastic Stack 8.x 版本和 Elastic Agent 或 Filebeat 8.x 版本之后,将默认威胁指示器路径更新为
threat.indicator会将该规则配置为使用那些更高版本生成的威胁指示器索引。 - 您必须创建单独的规则来查询由 Filebeat 7.x 版本和 8.x 版本创建的威胁情报索引,因为每个版本都需要不同的默认威胁指示器路径值。请查看查询警报索引的建议。