空间和 Elastic Security
编辑空间和 Elastic Security
编辑Elastic Security 支持使用 空间 功能将您的安全操作组织成逻辑实例。Kibana 中的每个空间都代表一个独立的 Elastic Security 逻辑实例,其中的检测规则、规则例外、值列表、警报、时间线、案例和 Kibana 高级设置对于该空间是私有的,并且只能由具有访问该空间角色权限的用户访问。有关 Elastic Security 和特定功能的权限的详细信息,请参阅 Elastic Security 要求。
例如,如果您创建了一个 SOC_prod 空间,并在其中加载并激活所有 Elastic Security 预构建检测规则,则这些规则以及它们生成的任何检测警报只能在访问 SOC_prod 空间中的 Elastic Security 应用程序时才能访问。如果您然后创建新的 SOC_dev 空间,您会注意到没有检测规则或警报。随后在此处加载或创建的任何规则都将是 SOC_dev 空间的私有规则,并且它们将独立于 SOC_prod 空间中的规则运行。
默认情况下,检测规则创建的警报存储在 Elasticsearch 索引中的 .alerts-security.alerts-<space-name> 索引模式下,并且任何具有访问这些 Elasticsearch 索引的角色权限的用户都可以访问它们。在上面的示例中,任何具有访问 .alerts-security.alerts-SOC_prod 的 Elasticsearch 权限的用户都能够从 Elasticsearch 和其他 Kibana 应用程序(如 Discover 和 Lens)中查看 SOC_prod 警报。
为了确保检测警报数据对于创建它的空间保持私有,请确保分配给您的 Elastic Security 用户的角色包含 Elasticsearch 权限,这些权限限制他们访问其空间警报索引中的警报。