« 打开和管理案件 攻击指标 »
Elastic 文档 Elastic 安全解决方案 [8.14] 调查 案件

配置外部连接

编辑

配置外部连接编辑

您可以将 Elastic Security 案件推送到这些第三方系统

  • ServiceNow ITSM
  • ServiceNow SecOps
  • Jira(包括 Jira Service Desk)
  • IBM Resilient
  • Swimlane
  • Webhook - 案件管理

要推送案件,您需要创建一个连接器,它存储与外部系统交互所需的信息。创建连接器后,您可以将 Elastic Security 案件设置为在发送到外部系统时自动关闭。

要创建连接器并将案件发送到外部系统,您需要合适的许可证,并且您的角色需要全部权限,才能使用操作和连接器功能。有关更多信息,请参阅案件先决条件

创建新连接器编辑

  1. 转到案件设置

    Shows the case settings page
  2. 事件管理系统列表中选择添加新连接器
  3. 选择要将案件发送到的系统:ServiceNowJiraIBM ResilientSwimlaneWebhook - 案件管理

  4. 输入您需要的设置。有关连接器配置详细信息,请参阅

映射的案件字段编辑

将 Elastic Security 案件导出到外部系统时,案件字段将映射到 ServiceNow、Jira、IBM Resilient 和 Swimlane 中的现有字段。对于 Webhook - 案件管理连接器,案件字段可以映射到您正在连接的外部系统中的自定义字段或预先存在的字段。

映射字段后,您可以将更新推送到外部系统,并覆盖或追加映射的字段。不支持从外部系统检索数据。

案件字段

映射字段

标题

案件Title字段映射到外部系统中的相应字段。当您推送更新时,映射的字段值将被覆盖。

  • ServiceNow: Short description
  • Jira: Summary
  • IBM Resilient: Name
  • Swimlane: Description

描述

案件Description字段映射到所有系统中的Description字段。当您推送更新时,映射的字段值将被覆盖。

评论

案件Comments字段映射到外部系统中的相应字段。

  • ServiceNow: Work Notes
  • Jira: Comments
  • IBM Resilient: Comments
  • Swimlane: Comments

新评论和编辑后的评论在推送到 ServiceNow、Jira 或 IBM Resilient 时将添加到事件记录中。推送到 Swimlane 的评论将追加到 Swimlane 中的Comment字段,并分别发布。

自动关闭已发送的案件编辑

要将案件发送到外部系统时关闭案件,请选择将新事件推送到外部系统时自动关闭安全案件

更改默认连接器编辑

要更改用于将案件发送到外部系统的默认连接器,请转到案件设置,然后从事件管理系统列表中选择所需的连接器。

添加连接器编辑

创建案件后,您可以向其中添加连接器。在案件详细信息页面中,转到设置,然后选择一个连接器。一个案件可以有多个连接器,但一次只能选择一个连接器。

add connectors

修改连接器设置编辑

要更改现有连接器的设置

  1. 转到案件设置
  2. 从事件管理系统列表中选择所需的连接器。
  3. 单击更新 <连接器名称>
  4. 编辑连接器弹出窗口中,根据需要修改连接器字段,然后单击保存并关闭以保存更改。
cases modify connector
« 打开和管理案件 攻击指标 »