« 将 Elastic Security 升级到 8.14.3 升级后步骤(可选) »
Elastic 文档 Elastic Security 解决方案 [8.14] 将 Elastic Security 升级到 8.14.3

从 7.17 升级到 8.x 版本

编辑

从 7.17 升级到 8.x 版本编辑

升级为何如此重要编辑

升级可以让您使用 Elastic Security 的最新功能、增强功能和错误修复,其中许多功能可以帮助您的组织节省资金、更快地响应潜在威胁,并改进您用于调查和分析数据的工具。有关更多优势,请查看我们的博客文章:升级 Elastic Security 的五大理由。此外,确保您的部署得到全面维护和支持也很重要。有关更多信息,请参阅Elastic 产品生命周期终止日期

规划升级编辑

升级到 Elastic Security 8.x 之前,请考虑以下建议

  • 规划充足的时间来完成升级。根据您的配置和集群的大小,该过程可能需要长达一周的时间才能完成。
  • 向 Elastic 提交支持案例,提醒我们的 Elastic 支持团队注意您的系统变更。如果您需要更多帮助,Elastic 咨询服务可提供技术专业知识和逐步方法来升级您的 Elastic 部署。
  • 选择要升级到的版本。我们建议使用最新的次要版本和补丁版本。确保将您的开发或非生产部署升级到与您的生产部署相同的版本。
  • 确保您在 Kibana 中启用了堆栈监控。记下您当前的索引和搜索速率。
  • 查看所选版本的特性、Elastic 连接器、集成和检测规则,以确定是否可以用开箱即用的功能替换任何自定义内容。这有助于减少您的工作量和升级的复杂性。
  • 如果您的组织将警报(以前称为信号)发送到外部 SOAR(安全编排、自动化和响应)平台,您可能需要更改工作流程以适应 8.x 中使用的新警报模式
  • 查看Elastic SecurityElasticsearchKibana以及(如果适用)Fleet 和 Elastic AgentBeatsLogstash的发行说明、弃用和重大更改。识别可能影响您部署的任何问题。如有任何疑问,请与您的 Elastic 团队联系。从您的解决方案和平台组件(例如 Elasticsearch 和 Kibana)的重大更改开始。
  • 在您的组织内安排系统维护窗口。

升级前步骤编辑

要为升级过程做好准备,请在开始之前按照以下步骤操作

  1. 对整个 Elastic 部署(包括 Elasticsearch、Kibana、Elastic Agent、Beats 和 Logstash)进行软件版本清点。

  2. 如果您运行的是 7.17 之前的任何版本,则必须先将它们全部升级到最新的 7.17.x 补丁版本,然后再升级到 8.x。这使您能够使用升级助手升级到 8.x。

    如果您使用Elastic Cloud Enterprise (ECE) 或Elastic Cloud on Kubernetes (ECK) 管理您的部署,则可能需要先升级系统集群。

  3. 请注意,8.x 中的警报是使用 kibana_system 用户而不是 当前用户 编写的,因此针对警报索引配置的任何用户修改的摄取管道(这并不常见)将使用 kibana_system 用户权限,这可能会破坏您的摄取管道。如果遇到此问题,请勿更新您的摄取管道。而是请联系您的 Elastic 支持代表以获取帮助。

  4. 运行升级助手。记下任何关键错误消息,然后与您的 Elastic 支持代表合作解决这些错误。

    要求

    要运行升级助手,您必须在集群上具有 超级用户 角色。

  5. 如果您没有使用快照生命周期管理 (SLM),则必须设置和配置策略,然后运行该策略以创建至少一个快照 - 从正在运行的集群中获取的索引备份。如果需要在升级过程中回滚,请使用最近的快照以避免数据丢失。快照是增量的 - 根据集群大小和输入/输出速率,初始快照可能需要几个小时才能完成。如果您正在使用 SLM,请检查 SLM 历史记录以确保快照成功完成。

在部署上执行 8.x 升级编辑

我们强烈建议先在非生产部署上执行以下步骤,以便在升级生产部署之前解决任何潜在问题。如果您使用的是跨集群搜索环境,请先升级您的远程部署。

  1. 如果您尚未这样做,请将您的集群数据备份到快照
  2. 我们建议您导出所有自定义检测规则,以防升级后检测引擎出现问题。

  3. 升级 Elasticsearch。

    • 如果您使用的是 Elastic Cloud,我们建议您进行不停机升级。请参阅这些说明
    • 如果您使用的是 Elastic Cloud Enterprise (ECE),请参阅这些说明
    • 如果您使用的是 Elastic Cloud on Kubernetes (ECK),请参阅这些说明

    • 如果您要升级自编排部署,请参阅这些说明,并按以下顺序逐层升级数据节点层

      1. 冻结层
      2. 冷层
      3. 温层
      4. 热层
      5. 任何其他不在层中的节点
      6. 所有既不是主节点也不是数据节点的剩余节点
      7. 主节点

  4. 升级 Kibana。请参阅这些说明

    如果您使用的是 Elastic Cloud 托管或 Elastic Cloud Enterprise,则这已包含在 Elasticsearch 升级中。

  5. 通过完成以下检查来验证 Elasticsearch 和 Kibana 是否按预期运行

    1. 对于 Elasticsearch

      1. 检查集群的状态,并通过运行 GET _cat/health API 请求来确保它们处于绿色状态。有关更多信息,请参阅cat health API 文档

      2. 确保索引和搜索速率接近升级前的水平。转到堆栈监控Elasticsearch概览

        您还可以使用cat index API检查索引文档计数。

      3. 通过检查 SLM 历史记录来验证 SLM 是否正在创建快照。
      4. 如果您使用机器学习,请确保它已启动并正在运行。

    2. 对于 Kibana

      1. 确保您和您的用户可以成功登录 Kibana 并访问所需的页面。
      2. 检查Discover并验证您通常使用的索引模式是否可用。
      3. 验证您常用的仪表板是否可用并正常工作。
      4. 如果您使用任何基于 Watcher 的 Kibana 定期报告,请确保它正常工作。
  6. 升级您的摄取组件(例如 Logstash、Fleet 和 Elastic Agent、Beats 等)。有关详细信息,请参阅Elastic Stack 升级文档

  7. 验证 Ingest 是否正常运行。

    1. 打开Discover,浏览每个预期摄取数据流的数据视图,并确保数据以预期格式和数量被摄取。

  8. 验证 Elastic Security 是否正常运行。

    1. 重新启用您想要的 SIEM 检测规则(规则管理),并确保启用的规则运行时没有错误或警告(规则监控)。
    2. 确保任何使用警报的 SOAR 工作流都在工作。
    3. 验证您的团队创建的任何自定义仪表板是否正常工作,尤其是在它们对警报文档进行操作的情况下。
  9. 如果您在非生产部署上执行了这些步骤,请在您的生产环境中重复这些步骤。如果您使用的是跨集群搜索环境并在您的远程集群上执行了这些步骤,请在您的其他部署上重复这些步骤。
  10. 与您的相关利益相关者确认升级过程是否成功。

升级后步骤编辑

以下部分介绍了将 Elastic Security 升级到 8.x 后要完成的过程。

重新启用已禁用的规则编辑

当您从 7.17 升级到 8.0.1 或更高版本时,任何活动的规则都会自动禁用,并且会为这些规则添加名为 auto_disabled_8.0 的标签以进行跟踪。升级完成后,您可以按新标签过滤规则,然后使用批量操作重新启用它们

  1. 转到“规则”页面(检测 → 规则)。
  2. 标签下拉列表中,搜索 auto_disabled_8.0
  3. 单击选择所有 *x* 个规则,或单独选择要重新启用的规则。
  4. 单击批量操作 → 启用以重新启用规则。

或者,您可以使用批量规则操作 API 来重新启用规则。

Elastic Endpoint 的完全磁盘访问权限 (FDA) 批准edit

手动安装 Elastic Endpoint 时,必须批准系统扩展、内核扩展并启用完全磁盘访问权限 (FDA)。8.x 中有一个新的 FDA 要求。请参阅Elastic Endpoint 要求 以查看所需的权限。

在 Elastic Security 应用中显示数据视图的要求edit

要在具有旧版警报的环境中显示数据视图选项,拥有提升角色权限的用户必须访问 Elastic Security 应用,打开显示警报数据的页面(至少必须存在一个警报),然后刷新页面。用户的角色权限必须允许他们在 Kibana 空间中启用检测功能。有关更多信息,请参阅启用和访问检测

新的警报架构edit

检测警报的系统索引已从 .siem-signals-<space-id> 重命名为 .alerts-security.alerts-<space-id>,现在是隐藏索引。因此,Elastic Security 中用于警报文档的架构已更改。使用 Elastic Security API 访问 .siem-signals 索引中的文档的用户必须修改其 API 查询和脚本,以便在新 8.x 警报文档上正常运行。请参阅如何查询警报索引并查看新的警报架构

查看警报和预览规则所需的新权限edit

  • 要查看警报,用户需要对两个新索引 .alerts-security.alerts.internal.alerts-security.alerts 拥有 managewritereadview_index_metadata 权限。升级到 8.x 的现有用户可以保留其对 .siem-signals 索引的权限。
  • 预览规则,用户需要对新的 .preview.alerts-security.alerts 索引具有 read 访问权限。有关更多信息,请参阅检测先决条件和要求

指标匹配规则的更新edit

指标匹配规则类型的默认威胁指标路径的更改可能要求您在升级到 8.x 后更新现有规则或创建新规则。请注意以下事项

  • 如果在升级之前未定义指标匹配规则的默认威胁指标路径,则升级后它将默认为 threatintel.indicator。这允许规则继续使用 Filebeat 7.x 版本提取的指标数据。如果在升级之前定义了自定义值,则该值不会更改。
  • 如果现有指标匹配规则配置为使用 Filebeat 7.x 版本生成的威胁指标索引,则在升级到 Elastic Stack 8.x 版本和 Elastic Agent 或 Filebeat 8.x 版本后,将默认威胁指标路径更新为 threat.indicator 会将规则配置为使用由这些更高版本生成的威胁指标索引。
  • 您必须创建单独的规则来查询由 Filebeat 7.x 版本和 8.x 版本创建的威胁情报索引,因为每个版本都需要不同的默认威胁指标路径值。查看有关查询警报索引的建议。
« 将 Elastic Security 升级到 8.14.3 升级后步骤(可选) »