配置高级设置
编辑配置高级设置编辑
高级设置决定以下内容
要更改这些设置,您需要 All 权限,用于 高级设置 功能(请参阅 Kibana 权限)。
修改高级设置可能会影响 Kibana 的性能,并导致难以诊断的问题。将属性值设置为空白字段将恢复为默认行为,这可能与其他配置设置不兼容。删除自定义设置会将其从 Kibana 中永久删除。
访问高级设置编辑
要访问高级设置,请转到 堆栈管理 → 高级设置,然后向下滚动到 安全解决方案 设置。
更新默认 Elastic 安全索引编辑
securitySolution:defaultIndex 字段定义了 Elastic 安全应用程序使用哪些 Elasticsearch 索引来收集数据。默认情况下,索引模式用于匹配一组 Elasticsearch 索引。
索引模式使用通配符来指定一组索引。例如,filebeat-* 索引模式表示以 filebeat- 开头的所有索引都可以在 Elastic 安全应用程序中使用。
所有默认索引模式都匹配 Beats 和 Elastic Agent 索引。这意味着通过 Beats 和 Elastic Agent 发送的所有数据都会自动添加到 Elastic 安全应用程序中。
您可以根据需要添加或删除任何索引和索引模式。有关 Elasticsearch 索引的背景信息,请参阅 数据在:文档和索引中。
如果您保留了 -*elastic-cloud-logs-* 索引模式,则默认情况下,所有 Elastic 云日志都将从 Elastic 安全应用程序中的所有查询中排除。这样做是为了避免将来自云监控的数据添加到应用程序中。
Elastic 安全需要 符合 ECS 的数据。如果您使用第三方数据收集器将数据发送到 Elasticsearch,则数据必须映射到 ECS。 Elastic 安全 ECS 字段参考 列出了 Elastic 安全中使用的 ECS 字段。
更新默认 Elastic 安全威胁情报索引编辑
securitySolution:defaultThreatIndex 高级设置指定了 Elastic 安全功能查询以获取已摄取威胁指标的威胁情报索引。此设置会影响查询威胁情报索引的功能,例如概述页面上的威胁情报视图、指标匹配规则和警报丰富查询。您可以指定一个或多个威胁情报索引;多个索引必须用逗号分隔。默认情况下,仅指定了 logs-ti* 索引模式。不要删除或覆盖此索引模式,因为它由 Elastic Agent 集成使用。
威胁情报索引不需要与 ECS 兼容才能在指标匹配规则中使用。但是,如果您希望警报通过相关的威胁指标信息进行丰富,我们强烈建议您使用兼容性。在搜索威胁指标数据时,指标匹配规则将使用在 指标前缀覆盖 高级设置中指定的威胁指标路径。访问 配置高级规则设置,以获取更多信息。
遥测设置编辑
当用户与 Elastic 安全应用程序交互时,Kibana 会传输有关 Elastic 安全的某些信息,这些信息在下面详细说明。Kibana 会在将消息传输到 Elastic 之前,对个人数据(IP 地址、主机名、用户名等)进行屏蔽或混淆。安全相关的遥测事件包括
- 检测规则安全警报:有关使用检测引擎的 Elastic 编写的预构建检测规则的信息。警报数据的示例包括机器学习作业影响因素、进程名称和云审计事件。
- Elastic Endpoint 安全警报:有关使用 Elastic Endpoint 检测引擎检测到的恶意活动的信息。警报数据的示例包括恶意进程名称、数字签名和恶意软件写入的文件名。警报元数据的示例包括警报时间、Elastic Endpoint 版本和相关检测引擎版本。
- Elastic Endpoint 的配置数据:有关 Elastic Endpoint 部署配置的信息。配置数据的示例包括 Endpoint 版本、操作系统版本和 Endpoint 的性能计数器。
- Elastic 规则的异常列表条目:有关为 Elastic 规则添加的异常的信息。示例包括受信任的应用程序、检测异常和规则异常。
- 安全警报活动记录:有关对 Elastic 安全应用程序中生成的警报执行的操作的信息,例如已确认或已关闭。
要了解更多信息,请参阅我们的 隐私声明。
设置机器学习评分阈值编辑
启用安全 机器学习作业 时,此设置决定了异常评分出现在 Elastic 安全中的阈值
-
securitySolution:defaultAnomalyScore
修改新闻提要设置编辑
您可以更改这些设置,这些设置会影响 Elastic 安全 概述 页面上显示的新闻提要
-
securitySolution:enableNewsFeed: 在安全 概述 页面上启用安全新闻提要。 -
securitySolution:newsFeedUrl: 用于检索安全新闻提要内容的 URL。
显示可扩展的弹出窗口编辑
securitySolution:enableExpandableFlyout 设置在警报页面上启用可扩展的警报详细信息弹出窗口。此设置默认情况下处于打开状态。将其关闭以应用 Elastic 安全 8.9 及更早版本中使用的简化警报详细信息弹出窗口设计。
启用资产关键性工作流程编辑
securitySolution:enableAssetCriticality 设置决定是否将资产关键性包含为实体风险评分的风险输入。此设置默认情况下处于关闭状态。将其打开以启用资产关键性工作流程,并将资产关键性用作实体风险评分的一部分。
从分析器查询中排除冷冻层和冷层数据编辑
在 可视化事件分析器 查询中包含来自冷冻层和冷层 数据层 的数据可能会导致性能下降。 securitySolution:excludeColdAndFrozenTiersInAnalyzer 设置允许您从分析器查询中排除此数据。此设置默认情况下处于关闭状态。
更改默认搜索间隔和数据刷新时间编辑
这些设置决定了当您打开应用程序时 Elastic 安全页面用来显示数据的默认时间间隔和刷新率
-
securitySolution:timeDefaults: 默认时间间隔 -
securitySolution:refreshIntervalDefaults: 默认刷新率
在 IP 详细信息页面上显示信誉链接编辑
在 IP 详细信息页面(安全 → 网络 → IP 地址)上,将显示用于验证 IP 地址信誉的外部链接。默认情况下,将列出以下网站的链接:TALOS 和 VIRUSTOTAL。
securitySolution:ipReputationLinks 字段决定了列出哪些 IP 信誉网站。要修改列出的网站,请编辑该字段的 JSON 数组。这些字段必须在每个数组元素中定义
-
name: 链接的 UI 显示名称。 -
url_template: 链接的 URL。它可以包含{{ip}},它是您在 IP 详细信息 页面上查看的 IP 地址的占位符。
示例
在 IP 详细信息 页面上添加指向 https://www.dnschecker.org 的链接
[
{ "name": "virustotal.com", "url_template": "https://www.virustotal.com/gui/search/{{ip}}" },
{ "name": "dnschecker.org", "url_template": "https://www.dnschecker.org/ip-location.php?ip={{ip}}" },
{ "name": "talosIntelligence.com", "url_template": "https://talosintelligence.com/reputation_center/lookup?search={{ip}}" }
]
配置跨集群搜索权限警告编辑
每次检测规则使用远程跨集群搜索 (CCS) 索引模式运行时,它都会返回一条警告,说明规则可能没有对远程索引所需的 read 权限。由于无法跨远程索引检查权限,因此即使规则实际上具有对远程索引的 read 权限,也会显示此警告。
如果您已确保检测规则具有跨远程索引所需的权限,则可以使用 securitySolution:enableCcsWarning 设置来禁用此警告并减少噪音。
在规则页面表中显示/隐藏相关集成编辑
默认情况下,Elastic 在 规则 和 规则监控 表中预置的规则包含一个徽章,显示已安装了多少个相关的集成。关闭 securitySolution:showRelatedIntegrations 以在规则表中隐藏此徽章(相关集成仍将在规则详细信息页面中显示)。
管理警报标签选项编辑
securitySolution:alertTags 字段决定了警报标签菜单中显示哪些选项。默认的警报标签选项为 重复、误报 和 需要进一步调查。您可以通过编辑这些选项或添加更多选项来更新警报标签菜单。要了解有关使用警报标签的更多信息,请参阅 应用和过滤警报标签。