Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
Elastic在Elastic上:配置安全应用程序以使用跨集群搜索
💡
原文英文,约1600词,阅读约需6分钟。
📝
内容提要
Elastic的安全应用程序与跨集群搜索(CCS)集成,允许用户在多个远程集群中查看安全事件。配置过程包括更新索引模式和导入预构建检测规则。用户可通过Kibana管理检测规则,利用机器学习和自动化工具提升安全性和响应速度。
🎯
关键要点
- Elastic的安全应用程序与跨集群搜索(CCS)集成,允许用户查看多个远程集群中的安全事件。
- 配置过程包括更新安全应用程序的索引模式,以匹配CCS索引模式。
- 用户可以通过Kibana管理检测规则,创建自定义检测规则时可以选择CCS索引模式。
- 使用内置的500多个检测规则时,需要导入、复制并批量编辑规则以更改索引模式为CCS。
- 机器学习与CCS的集成需要更新每个数据源以使用CCS索引模式,内置的安全机器学习作业也需要进行相应修改。
❓
延伸问答
如何配置Elastic的安全应用程序以使用跨集群搜索?
需要在Kibana的‘高级设置’中更新安全应用程序的索引模式,以匹配CCS索引模式。
使用内置的检测规则时,如何将其与CCS结合使用?
需要导入、复制并批量编辑规则,将索引模式更改为CCS。
在Kibana中如何管理检测规则?
用户可以通过Kibana的‘管理检测’页面加载和管理检测规则。
机器学习如何与跨集群搜索集成?
需要更新每个数据源以使用CCS索引模式,并修改内置的安全机器学习作业。
如何创建自定义检测规则?
在创建新检测规则时,可以选择CCS索引模式,无需额外步骤。
使用CCS时,EQL支持有什么要求?
EQL支持要求所有远程集群升级到Elastic 7.14或更新版本。
➡️
