将检测警报添加到案例
编辑将检测警报添加到案例编辑
在“警报”表格中,您可以将一个或多个警报附加到新的案例或现有的案例。任何规则类型的警报都可以添加到案例。
- 在将警报添加到案例后,您可以从案例活动中的警报摘要中将其删除,或者使用Elastic 安全案例 API。
- 每个案例最多可以包含 1000 个警报。
将警报添加到新的案例编辑
要将警报添加到新的案例
-
执行以下操作之一
- 要将单个警报添加到案例,请选择“警报”表格中的更多操作菜单 (…) 或警报详细信息弹出窗口中的采取操作,然后选择添加到新的案例。
- 要添加多个警报,请选择警报,然后从批量操作菜单中选择添加到新的案例。
-
为案例命名,分配严重级别,并提供描述。您可以在案例描述中使用Markdown 语法。
如果您没有为案例分配严重级别,则默认情况下将分配低。
- 可选地,添加类别、受让人和相关标签。您只能在他们满足必要的先决条件时添加用户。
- 指定是否要同步关联警报的状态。默认情况下启用;但是,您可以随时切换此设置。如果保持启用,则警报状态将在修改案例状态时更新。
- 选择一个连接器。如果您之前添加过一个连接器,则该连接器将显示为默认选择。否则,默认设置为
未选择连接器。 - 完成所有必填字段后,单击创建案例。将显示一条确认消息,其中包含查看新案例的选项。单击通知中的链接或转到“案例”页面以查看案例。
将警报添加到现有案例编辑
要将警报添加到现有案例
-
执行以下操作之一
- 要将单个警报添加到案例,请选择“警报”表格中的更多操作菜单 (…) 或警报详细信息弹出窗口中的采取操作,然后选择添加到现有案例。
- 要添加多个警报,请选择警报,然后从批量操作菜单中选择添加到现有案例。
-
从选择案例对话框中,选择要附加警报的案例。将显示一条确认消息,其中包含查看已更新案例的选项。单击通知中的链接或转到“案例”页面以查看案例的详细信息。
如果您将警报附加到已配置为同步其状态与关联警报的案例,则警报状态将在修改案例状态时更新。
