打开和管理案例
编辑打开和管理案例编辑
您可以使用 UI 或 案例 API 创建和管理案例。
打开新的案例编辑
打开新的案例以跟踪安全问题并与同事共享其详细信息。
- 转到 案例,然后单击 创建案例。如果不存在任何案例,则案例表将为空,并提示您单击表内的 创建案例 按钮来创建一个。
-
为案例命名,指定严重程度级别,并提供描述。您可以在案例描述中使用 Markdown 语法。
如果您没有为案例分配严重程度级别,则默认情况下它将被分配为 低。
您可以通过单击时间线图标 (
) 在案例描述中插入时间线链接。 - 可选地,添加类别、分配人和相关标签。您只能添加满足必要 先决条件 的用户。
- 选择您是否希望警报状态在警报添加到案例后与案例的状态同步。此选项默认情况下处于启用状态,但在创建案例后您可以将其关闭。
- 从 外部事件管理 中选择 连接器。如果您之前添加过连接器,则该连接器将显示为默认选择。否则,默认设置是
未选择连接器。 -
单击 创建案例。
如果您已为案例选择了连接器,则案例将自动推送到其连接到的第三方系统。
添加自定义字段编辑
此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将致力于修复任何问题,但技术预览中的功能不受正式 GA 功能支持 SLA 的约束。
您可以添加可选字段和必填字段以进行自定义案例协作。
-
转到 案例 并单击 设置。
要查看和更改案例设置,您必须拥有适当的 Kibana 功能权限。请参阅 案例先决条件。
-
在 自定义字段 部分,单击 添加字段。
- 输入字段标签。
- 选择字段类型:文本或切换。
- (可选)要使文本字段成为必填字段,请选择 使此字段成为必填字段。
- (可选)添加默认值。
- 单击 保存字段。
创建自定义字段后,它们将添加到所有新案例和现有案例中。现有案例对新的文本字段具有空值,直到您设置它们为止。要管理自定义字段,请转到 设置 页面并删除或编辑它们。
添加电子邮件通知编辑
您可以配置在用户被分配到案例时发生的电子邮件通知。
对于托管在 Elasticsearch Service 上的 Kibana
-
将电子邮件域添加到 通知域允许列表。
您不需要采取任何其他步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认情况下使用预配置的 Elastic-Cloud-SMTP 连接器。
对于自托管 Kibana
-
创建一个预配置的电子邮件连接器。
目前,电子邮件通知仅支持 预配置的电子邮件连接器,这些连接器在
kibana.yml文件中定义。 - 将
notifications.connectors.default.emailKibana 设置设置为您的电子邮件连接器的名称。 - 如果您希望电子邮件通知包含指向案例的链接,则必须配置 server.publicBaseUrl 设置。
随后将分配人添加到案例时,他们会收到电子邮件。
管理现有案例编辑
从案例页面,您可以搜索现有案例并按分配人、类别、严重程度、状态和标签等属性过滤案例。您还可以选择多个案例并使用批量操作来删除案例或更改其属性。案例的总体指标(包括关闭案例所需的时间)将在表格上方提供。
要浏览案例,请单击其名称。然后,您可以
查看案例摘要编辑
单击现有案例以访问其摘要。案例摘要位于案例标题下方,包含汇总警报信息和响应时间的指标。这些指标在您将其他唯一警报附加到案例、添加连接器或修改案例状态时更新
- 总警报:与案例关联的唯一警报总数
- 关联用户:与案例关联的警报中代表的唯一用户总数
- 关联主机:与案例关联的警报中代表的唯一主机总数
- 总连接器:已添加到案例的连接器总数
- 案例创建:案例创建的日期和时间
- 打开时长:自案例创建以来的已用时间
-
进行中时长:案例处于
进行中状态的时长 - 从创建到关闭的时长:从案例创建到案例关闭的已用时间
管理案例评论编辑
要编辑、删除或引用评论,请从 更多操作 菜单 (…) 中选择相应的选项。
检查与案例关联的警报编辑
要浏览与案例关联的警报,请单击 警报 选项卡。在表格中,警报按从旧到新的顺序排列。要 查看警报详细信息,请单击 查看详细信息 按钮。
每个案例最多可以有 1,000 个警报。
添加文件编辑
要将文件上传到案例,请单击 文件 选项卡
您可以通过配置 Kibana 案例设置 来设置文件类型和大小。
要下载或删除文件,或将文件哈希复制到剪贴板,请打开 操作 菜单 (…)。可用的哈希函数是 MD5、SHA-1 和 SHA-256。
添加文件时,将在案例活动日志中添加评论。要查看图像,请在活动或文件列表中单击其名称。
添加 Lens 可视化编辑
此功能处于测试阶段,可能会发生变化。设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何保证。测试功能不受正式 GA 功能支持 SLA 的约束。
将 Lens 可视化添加到您的案例,以便通过图表和图形来描绘事件和警报数据。
要将 Lens 可视化添加到案例中的评论
- 单击 可视化 按钮。将出现 添加可视化 对话框。
-
从您的可视化库中选择现有可视化,或创建新的可视化。
为您的可视化设置绝对时间范围。这将确保您在将可视化保存到案例后,可视化不会随时间推移而发生变化,并为管理案例的其他人员提供重要的上下文。
-
通过单击 保存到库 按钮将可视化保存到您的可视化库(可选)。
- 输入可视化的标题和描述。
- 选择您是否要保持 在 Security 上更新面板 处于激活状态。此选项默认情况下处于激活状态,并会自动将可视化添加到您的可视化库中。
- 完成创建可视化后,单击 保存并返回 以返回您的案例。
- 单击 预览 以显示可视化在案例评论中的显示方式。
- 单击 添加评论 以将可视化添加到您的案例。
或者,在查看 仪表盘 时,您可以打开面板的菜单,然后单击 更多操作 (…) → 添加到现有案例 或 更多操作 (…) → 添加到新案例。
将可视化添加到案例后,您可以通过单击案例评论菜单中的 打开可视化 选项来修改或与可视化进行交互。
复制案例 UUID编辑
每个案例都有一个全球唯一的标识符 (UUID),您可以复制并分享。要将案例的 UUID 复制到剪贴板,请转到“案例”页面,然后选择 操作 → 复制案例 ID,选择您要分享的案例。或者,转到案例的详细信息页面,然后从 更多操作 菜单 (…) 中选择 复制案例 ID。
导出和导入案例编辑
案例可以使用 Kibana 保存的对象 UI 以保存对象的格式 导出 和 导入。
在将 Lens 可视化、时间线或警报导入到空间之前,请确保其数据存在。如果没有,它们在导入后将无法正常工作。
导出案例编辑
使用 导出 选项在不同的 Kibana 实例之间移动案例。导出案例时,以下数据将导出到换行符分隔的 JSON (.ndjson) 文件
- 案例详细信息
- 用户操作
- 文本字符串注释
- 案例警报
- Lens 可视化(导出为 JSON 块)。
以下附件不会导出
- 案例文件:案例文件不会导出。但是,它们在 堆栈管理 > 文件 中可用,以便下载和重新添加。
- 警报:附加到案例的警报不会导出。您必须在导入案例后重新添加它们。
要导出案例
- 打开主菜单,转到 堆栈管理 → Kibana,然后选择 保存的对象 选项卡。
- 通过选择保存的对象类型或在搜索栏中输入案例标题来搜索案例。
- 选择一个或多个案例,然后单击 导出 按钮。
-
单击 导出。将显示一条确认消息,表明您的文件正在下载。
保持 包含相关对象 选项处于启用状态,以确保连接器也被导出。
导入案例编辑
要导入案例
- 打开主菜单,转到 堆栈管理 → Kibana,然后选择 保存的对象 选项卡。
- 单击 导入。
- 选择包含已导出案例的 NDJSON 文件,并配置导入选项。
- 单击 导入。
-
查看导入日志,然后单击 完成。
请注意以下事项
- 如果导入的案例附加了连接器,系统将提示您重新验证连接器。为此,请在 导入保存的对象 弹出窗口中单击 转到连接器,并完成必要的步骤。或者,打开主菜单,然后转到 堆栈管理 → 连接器 以访问连接器。
- 如果导入的案例附加了警报,请验证警报的源文档是否存在于环境中。与警报交互的案例功能(例如警报详细信息弹出窗口和规则详细信息页面)依赖于警报的源文档才能正常工作。