跨集群搜索在安全应用中的配置指南

配置跨集群搜索（CCS）

使安全应用支持 CCS 仅需少量调整。首先需在 Kibana 的“高级设置”中更新安全应用的 Elasticsearch 索引模式，将其替换为 CCS 格式（如 *:auditbeat-*、*:filebeat-*）。完成后，安全应用的“概览”“主机”“网络”页面将展示来自所有远程集群的事件。

调整内置检测规则

新建自定义检测规则时可直接选择 CCS 索引模式。若需将 500+内置规则迁移至 CCS，需按以下步骤操作：

1. 导入预置规则：在安全应用的“检测”页面加载所有预置规则。

2. 批量复制与修改：全选规则并复制，导出为 NDJSON 文件后替换原索引模式为 CCS 格式（如将 "auditbeat-*" 改为 "*:auditbeat-*"）。

3. 重新导入规则：覆盖现有规则并激活适用项。

注意：若远程集群版本低于 7.14，需禁用依赖 EQL（Elastic 查询语言）的规则。

机器学习任务适配

自定义机器学习任务可直接选择 CCS 索引模式。对于内置安全机器学习任务，需通过 Kibana Devtools 或 API 修改数据源的索引模式：

1. 停止所有任务，通过 API 获取数据源配置。

2. 更新索引模式为 CCS 格式后重新提交配置。

3. 重启任务并启用相关检测规则。

总结

本文演示了安全应用与机器学习任务如何适配 CCS，实现多集群数据的集中分析。未来将分享更多某机构信息安全团队的技术实践。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）或者 我的个人博客 https://blog.qife122.com/公众号二维码

办公AI智能小助手