空间和 Elastic 安全
编辑空间和 Elastic 安全编辑
Elastic Security 支持使用 Kibana 空间 功能将您的安全操作组织成逻辑实例。Kibana 中的每个空间都表示 Elastic Security 的一个单独的逻辑实例,其中检测规则、规则异常、值列表、警报、时间线、案例和 Kibana 高级设置对空间是私有的,并且只有具有访问空间角色权限的用户才能访问。有关为 Elasticsearch 和 Kibana 配置权限的详细信息,请参考 检测先决条件和要求。
例如,如果您创建一个 SOC_prod 空间,并在其中加载并激活所有 Elastic Security 预建检测规则,这些规则以及它们生成的任何检测警报只有在访问 SOC_prod 空间中的 Elastic Security 应用程序时才能访问。如果您随后创建一个新的 SOC_dev 空间,您会注意到没有检测规则或警报存在。随后在此加载或创建的任何规则都将对 SOC_dev 空间是私有的,并且它们将独立于 SOC_prod 空间中的规则运行。
默认情况下,检测规则创建的警报存储在 Elasticsearch 索引中,位于 .alerts-security.alerts-<Kibana-space> 索引模式下,并且任何具有访问这些 Elasticsearch 索引角色权限的用户都可以访问它们。在我们上面的示例中,任何具有访问 .alerts-security.alerts-SOC_prod 的 Elasticsearch 权限的用户都将能够从 Elasticsearch 和其他 Kibana 应用程序(如 Discover 和 Lens)中查看 SOC_prod 警报。
为了确保检测警报数据保持在其创建空间中的私有性,请确保分配给您的 Elastic Security 用户的角色包括 Elasticsearch 权限,这些权限限制了他们对空间警报索引内警报的访问权限。