« 案例要求 配置案例设置 »
Elastic 文档 Elastic 安全解决方案 [8.17] 调查工具 案例

打开和管理案例

编辑

打开和管理案例

编辑

您可以使用 UI 或 案例 API 创建和管理案例。

打开新案例

编辑

打开新案例,以跟踪安全问题并与同事分享其详细信息。

  1. 在导航菜单中找到 案例,或者使用全局搜索字段搜索 Security/Cases,然后单击 创建案例。如果不存在任何案例,则“案例”表将为空,并提示您通过单击表中的 创建案例 按钮来创建一个案例。
  2. 如果您定义了模板,您可以选择一个模板来使用其默认字段值。 [预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。

  3. 为案例命名,分配严重级别,并提供描述。您可以在案例描述中使用 Markdown 语法。

    如果您没有为案例分配严重级别,则默认情况下会分配 级别。

    您可以通过单击时间线图标 (时间线图标) 将时间线链接插入案例描述中。

  4. 可选地,添加类别、受让人和相关标签。只有满足必要的先决条件的用户才能添加。
  5. 如果您定义了自定义字段,它们会出现在 附加字段 部分。 [预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
  6. 选择是否要在将警报添加到案例后,使其状态与案例的状态同步。此选项默认启用,但您可以在创建案例后将其关闭。
  7. 外部事件管理 中,选择一个连接器。如果您之前添加过一个连接器,该连接器将显示为默认选择。否则,默认设置为 未选择连接器

  8. 单击 创建案例

    如果您为案例选择了连接器,该案例将自动推送到它连接的第三方系统。

Shows an open case

添加电子邮件通知

编辑

您可以配置在用户被分配到案例时发生的电子邮件通知。

对于 Elasticsearch Service 上的托管 Kibana

  1. 将电子邮件域添加到通知域允许列表

    您无需采取任何其他步骤来配置电子邮件连接器或更新 Kibana 用户设置,因为默认使用预配置的 Elastic-Cloud-SMTP 连接器。

对于自管理的 Kibana

  1. 创建一个预配置的电子邮件连接器。

    目前,电子邮件通知仅支持在 kibana.yml 文件中定义的预配置的电子邮件连接器

  2. notifications.connectors.default.email Kibana 设置为您的电子邮件连接器的名称。
  3. 如果您希望电子邮件通知包含返回案例的链接,则必须配置 server.publicBaseUrl 设置。

当您随后向案例添加受让人时,他们将收到电子邮件。

管理现有案例

编辑

在“案例”页面中,您可以搜索现有案例,并按受让人、类别、严重性、状态和标签等属性对其进行筛选。您还可以选择多个案例,并使用批量操作来删除案例或更改其属性。案例的一般指标(包括关闭案例所需的时间)在表格上方提供。

Case UI Home

要浏览案例,请单击其名称。然后您可以

查看案例摘要
编辑

单击现有案例以访问其摘要。案例摘要位于案例标题下方,包含汇总警报信息和响应时间的指标。当您向案例附加其他唯一警报、添加连接器或修改案例的状态时,这些指标会更新

  • 警报总数:附加到案例的唯一警报总数
  • 关联用户:附加警报中表示的唯一用户总数
  • 关联主机:附加警报中表示的唯一主机总数
  • 连接器总数:已添加到案例的连接器总数
  • 案例创建时间:案例创建的日期和时间
  • 打开时长:案例创建后经过的时间
  • 处理中时长:案例处于 处理中 状态的时间
  • 从创建到关闭的时长:案例从创建到关闭经过的时间
Shows you a summary of the case
管理案例评论
编辑

要编辑、删除或引用评论,请从 更多操作 菜单 (…​) 中选择相应的选项。

Shows you a summary of the case
检查附加到案例的警报
编辑

要浏览附加到案例的警报,请单击 警报 选项卡。在表格中,警报按从旧到新的顺序排列。要查看警报详情,请单击 查看详情 按钮。

Shows you the Alerts tab

每个案例最多可以有 1,000 个警报。

添加文件
编辑

要将文件上传到案例,请单击 文件 选项卡

A list of files attached to a case

您可以通过配置 Kibana 案例设置来设置文件类型和大小。

要下载或删除文件,或将文件哈希复制到剪贴板,请打开 操作 菜单 ()。可用的哈希函数为 MD5、SHA-1 和 SHA-256。

添加文件时,评论将添加到案例活动日志中。要查看图像,请单击活动或文件列表中的其名称。

添加 Lens 可视化
编辑

此功能处于 Beta 测试阶段,可能会发生变化。其设计和代码不如官方 GA 功能成熟,按原样提供,不提供任何担保。Beta 测试功能不受官方 GA 功能的支持 SLA 约束。

将 Lens 可视化添加到您的案例中,以通过图表和图形来描述事件和警报数据。

Shows how to add a visualization to a case

要将 Lens 可视化添加到案例中的评论

  1. 单击 可视化 按钮。将出现 添加可视化 对话框。

  2. 从“可视化库”中选择现有可视化或创建新可视化。

    为您的可视化设置绝对时间范围。这可确保您的可视化在您将其保存到案例后不会随时间变化,并为管理案例的其他人员提供重要的上下文。

  3. 通过单击 保存到库 按钮(可选),将可视化保存到“可视化库”。

    1. 为可视化输入标题和描述。
    2. 选择是否要保持 在 Security 中更新面板 激活状态。此选项默认激活,并将可视化自动添加到您的“可视化库”。
  4. 创建可视化完成后,单击 保存并返回 以返回您的案例。
  5. 单击 预览 以显示可视化在案例评论中的显示方式。
  6. 单击 添加评论 以将可视化添加到您的案例。

或者,在查看仪表板时,您可以打开面板的菜单,然后单击 更多操作 (…​) → 添加到现有案例更多操作 (…​) → 添加到新案例

将可视化添加到案例后,您可以通过单击案例评论菜单中的 打开可视化 选项来修改或与其交互。

Shows where the Open Visualization option is
复制案例 UUID
编辑

每个案例都有一个可以复制和共享的通用唯一标识符 (UUID)。要将案例的 UUID 复制到剪贴板,请转到“案例”页面,然后为您要共享的案例选择 操作复制案例 ID。或者,转到案例的详细信息页面,然后从 更多操作 菜单 (…​) 中,选择 复制案例 ID

Copy Case ID option in More actions menu 40%

导出和导入案例

编辑

可以使用 Kibana 的 已保存对象 UI 将案例作为已保存对象导出导入

在将 Lens 可视化、时间线或警报导入空间之前,请确保其数据存在。否则,导入后它们将无法工作。

导出案例
编辑

使用 导出 选项可在不同的 Kibana 实例之间移动案例。导出案例时,以下数据将导出到以换行符分隔的 JSON (.ndjson) 文件中

  • 案例详细信息
  • 用户操作
  • 文本字符串注释
  • 案例警报
  • Lens 可视化(导出为 JSON Blob)。

以下附件不会导出

  • 案例文件:案例文件不会导出。但是,它们可以在 Stack Management > 文件 中访问,以便下载和重新添加。
  • 警报:附加到案例的警报不会导出。导入案例后,您必须重新添加它们。

要导出案例

  1. 在导航菜单中查找 已保存对象,或使用全局搜索字段
  2. 通过选择已保存对象类型或在搜索栏中输入案例标题来搜索案例。
  3. 选择一个或多个案例,然后单击 导出 按钮。

  4. 单击 导出。将显示一条确认消息,表明您的文件正在下载。

    保持启用 包括相关对象 选项,以确保也导出连接器。

Shows the export saved objects workflow
导入案例
编辑

要导入案例

  1. 在导航菜单中查找 已保存对象,或使用全局搜索字段
  2. 单击 导入
  3. 选择包含导出的案例的 NDJSON 文件,并配置导入选项。
  4. 单击 导入

  5. 查看导入日志,然后单击 完成

    请注意以下事项

    • 如果导入的案例附加了连接器,系统会提示您重新验证连接器的身份。为此,请在 导入已保存对象 弹出窗口中单击 转到连接器 并完成必要的步骤。或者,打开主菜单,然后转到 Stack Management → 连接器 以访问连接器。
    • 如果导入的案例附加了警报,请验证警报的源文档是否存在于环境中。与警报交互的案例功能(例如“警报详细信息”弹出窗口和规则详细信息页面)依赖于警报的源文档才能正常工作。
« 案例要求 配置案例设置 »