跳至主内容

Illuminate处理管理

可在核心模块内使用Illuminate查找表 安全数据湖 处理流程。这意味着运行Illuminate的用户现在可以在自有管道中使用Illuminate查找表。

所有Illuminate查找表、数据适配器和缓存均为只读,可通过导航至 系统 > 查找表 .

概述

当安装或激活Illuminate处理包时, 安全数据湖 会自动处理所需数据流、索引集的创建以及新Elastic模板的安装。

您选择的处理包会自动应用于匹配的消息,并且您将不再在管道管理页面上看到Illuminate处理管道和规则。

先决条件

  • 升级到 安全数据湖 4.2版本(如果当前运行的是较早版本)。

  • 移除旧的 处理管道 和规则。

  • 按照 删除包 .

查找表自定义

Illuminate配备了包含重要主机名、账户和用户名等内容的预定义数据列表(查找表)。这些数据由一个键列和对应的值列组成。

在用户界面中,您可以更改或覆盖Illuminate提供的默认表。此外,您还可以向所需的表添加数据。

msdefender-severity-map-adapter 为例,按照以下说明修改或编辑这些表:

  1. 企业 菜单项导航至"Illuminate"屏幕。

  2. 点击 自定义 按钮;这将带您进入标题为 Illuminate自定义 .

  3. 通过 标题 标识您要修改的查找表,例如 msdefender-severity-map-adapter .

  4. 点击 编辑 按钮(位于 操作 列下);此时将生成一个名为* 自定义值: msdefender-severity-map-adapter*的模态窗口。

  5. 字段中分别添加内容。

  6. 点击绿底白字的 + 按钮可添加更多键值数据(可选)。

  7. 点击红底白字的垃圾桶按钮可删除各值(可选)。

本节内容 :