启用威胁情报集成
编辑启用威胁情报集成编辑
“威胁情报”视图提供了一种简化的方式来收集威胁情报数据,您可以使用这些数据进行威胁检测和匹配。威胁情报数据由从第三方威胁情报源获取的威胁指标组成。
威胁指标描述了网络或环境中潜在的威胁、异常行为或恶意活动。它们通常用于指标匹配规则中,以检测和匹配已知威胁。当指标匹配规则生成警报时,它会包含有关匹配威胁指标的信息。
要详细了解包含威胁情报的警报,请访问查看警报详细信息。
您可以使用Elastic Agent 集成、威胁情报模块或自定义集成连接到威胁情报源。
在以下几种情况下,数据不会显示在“威胁情报”视图中
- 如果您选择的时间范围内不包含威胁指标事件数据,系统会提示您选择其他范围。使用 Elastic Security 应用程序或 Kibana 中的日期和时间选择器选择要分析的新范围。
- 如果 Elastic Agent 或 Filebeat 代理尚未获取威胁情报模块数据,则不会加载威胁指标事件计数。您可以等待数据获取,或联系您的管理员以帮助解决此问题。
添加 Elastic Agent 集成编辑
- 在要监控的主机上安装Fleet 托管的 Elastic Agent。
-
在“威胁情报”视图中,单击启用源以查看“集成”页面。向下滚动并选择仅限 Elastic Agent以按 Elastic Agent 集成进行筛选。
如果您知道要安装的 Elastic Agent 集成的名称,则可以直接搜索它。或者,选择威胁情报类别以显示可用威胁情报集成的列表。
- 选择一个 Elastic Agent 集成,然后完成安装步骤。
- 返回“概述”仪表板上的“威胁情报”视图。如果指标数据未显示,请刷新页面或参阅以下故障排除步骤。
添加 Filebeat 威胁情报模块集成编辑
-
设置Filebeat 代理并启用威胁情报模块。
有关启用可用威胁情报文件集的更多信息,请参阅威胁情报模块。
-
通过在默认 Fleet 威胁情报索引模式 (
logs-ti*) 后面添加相应的索引模式名称来更新securitySolution:defaultThreatIndex高级设置- 如果您仅使用 Filebeat 8.x 版本,请添加相应的 Filebeat 威胁情报索引模式。例如,
logs-ti*、filebeat-8*。 - 如果您使用的是先前版本的 Filebeat以及当前版本,请使用唯一的索引模式名称区分威胁情报索引。例如,如果您使用的是 Filebeat 7.0.0 和 8.0.0 版本,请将设置更新为
logs-ti*、filebeat-7*、filebeat-8*。
- 如果您仅使用 Filebeat 8.x 版本,请添加相应的 Filebeat 威胁情报索引模式。例如,
- 返回“概述”仪表板上的“威胁情报”视图。如果指标数据未显示,请刷新页面。
添加自定义集成编辑
- 设置将数据提取到系统中的方法。
-
通过在默认 Fleet 威胁情报索引模式 (
logs-ti*) 后面添加相应的索引模式名称来更新securitySolution:defaultThreatIndex高级设置,例如,logs-ti*、custom-ti-index*。威胁情报索引不需要与 ECS 兼容。但是,如果您希望使用相关的威胁指标信息丰富您的警报,我们强烈建议您保持兼容性。您可以在威胁字段中找到与 ECS 兼容的威胁情报字段列表。
-
返回“概述”仪表板上的“威胁情报”视图(仪表板 → 概述)。如果指标数据未显示,请刷新页面。
“威胁情报”视图会搜索
threat.feed.name字段值,以在名称列中定义源名称。如果自定义源没有threat.feed.name字段或未定义threat.feed.name字段值,则将其视为未命名,并标记为其他。除非定义了threat.feed.dashboard_id字段,否则不会为未命名的源创建仪表板。