配置跨集群搜索(CCS)
使安全应用支持CCS仅需少量调整。首先需在Kibana的“高级设置”中更新安全应用的Elasticsearch索引模式,将其替换为CCS格式(如 *:auditbeat-*、*:filebeat-*)。完成后,安全应用的“概览”“主机”“网络”页面将展示来自所有远程集群的事件。
调整内置检测规则
新建自定义检测规则时可直接选择CCS索引模式。若需将500+内置规则迁移至CCS,需按以下步骤操作:
- 导入预置规则:在安全应用的“检测”页面加载所有预置规则。
- 批量复制与修改:全选规则并复制,导出为NDJSON文件后替换原索引模式为CCS格式(如将
"auditbeat-*"改为"*:auditbeat-*")。 - 重新导入规则:覆盖现有规则并激活适用项。
注意:若远程集群版本低于7.14,需禁用依赖EQL(Elastic查询语言)的规则。
机器学习任务适配
自定义机器学习任务可直接选择CCS索引模式。对于内置安全机器学习任务,需通过Kibana Devtools或API修改数据源的索引模式:
- 停止所有任务,通过API获取数据源配置。
- 更新索引模式为CCS格式后重新提交配置。
- 重启任务并启用相关检测规则。
总结
本文演示了安全应用与机器学习任务如何适配CCS,实现多集群数据的集中分析。未来将分享更多某机构信息安全团队的技术实践。
