迁移使用威胁情报增强的检测警报
编辑迁移使用威胁情报增强的检测警报编辑
从 7.12.0 到 7.14.2 之间的版本升级到 Elastic Stack 版本 7.15.x 或更新版本后,您需要迁移使用威胁情报数据增强的检测警报,以确保威胁情报在 Elastic Security 中正确显示。
要迁移检测警报
- 确保在升级 Elastic Stack 之前,所有检测规则都已停用。
- 升级 Kibana。有关更多信息,请参见升级 Kibana。
- 访问 Elastic Security 中的概述或警报页面,以更新检测警报索引。
- 使用检测警报迁移 API迁移旧警报。
- 重新激活所有检测规则.
停用所有检测规则编辑
要停用所有检测规则
- 转到 规则 → 检测规则 (SIEM)。
- 单击规则表上方的 选择所有 x 条规则 选项。
- 单击 批量操作 → 停用。
重新激活所有检测规则编辑
要重新激活所有检测规则
- 转到 规则 → 检测规则 (SIEM)。
- 单击规则表上方的 选择所有 x 条规则 选项。
- 单击 批量操作 → 启用。