跳至主内容

Illuminate处理管理

可在核心安全数据湖处理中调用Illuminate查找表 安全数据湖 这意味着运行Illuminate的用户现在可以在自有管道中使用Illuminate查找表。

所有Illuminate查找表、数据适配器和缓存均为只读,可通过导航至 系统 > 查找表 .

概述

当安装或激活Illuminate处理包时, 安全数据湖 自动处理所需数据流、索引集的创建以及新Elastic模板的安装。

您选择的处理包将自动应用于匹配的消息,且您将不再在管道管理页面看到Illuminate处理管道和规则。

先决条件

  • 升级至 安全数据湖 4.2版本(若当前运行较早版本需搭载Illuminate)。

  • 移除旧的 处理管道 及规则。

  • 按照 删除内容包 .

查找表自定义

Illuminate配备有预定义数据(查找表)列表,包含重要主机名、账户和用户名等内容。数据由键列及对应的值列组成。

在用户界面中,您可以更改或覆盖Illuminate自带的默认表。此外,您还可以向目标表添加数据。

msdefender-severity-map-adapter 为例,按以下说明修改或编辑这些表:

  1. 企业 菜单项进入"Illuminate"界面。

  2. 点击 自定义 按钮,进入标题为 Illuminate自定义 .

  3. 通过 标题 定位需要修改的查找表,例如 msdefender-severity-map-adapter .

  4. 点击对应的 编辑 按钮,位于 操作 列下;这将生成一个名为* 自定义值 msdefender-severity-map-adapter的模态框。

  5. 字段中添加内容。

  6. 点击绿白相间的 + 按钮可添加更多键值数据(可选)。

  7. 点击红白相间的垃圾桶按钮可删除各值(可选)。

本节内容 :