安全分析设置
安全分析插件支持以下设置。此列表中的所有设置均为动态设置。
plugins.security_analytics.index_timeout (时间值):使用 REST API 创建检测器、发现、规则和自定义日志类型时的超时时间。默认值为 60 秒。
plugins.security_analytics.alert_history_enabled (布尔值):指定是否创建 .opensearch-sap-<detector_type>-alerts-history-<date> 索引。默认值为 true。
plugins.security_analytics.alert_finding_enabled (布尔值):指定是否创建 .opensearch-sap-<detector_type>-findings-<date> 索引。默认值为 true。
plugins.security_analytics.alert_history_rollover_period (时间值):指定警报历史索引的滚动和删除频率。默认值为 12 小时。
plugins.security_analytics.alert_finding_rollover_period (时间值):指定发现历史索引的滚动和删除频率。默认值为 12 小时。
plugins.security_analytics.correlation_history_rollover_period (时间值):指定关联历史索引的滚动和删除频率。默认值为 12 小时。
plugins.security_analytics.alert_history_max_age (时间值):在创建新索引之前,警报历史索引中存储的最旧文档。如果此时间段内的警报数量不超过 alert_history_max_docs,则会按周期创建新的警报历史索引(例如,每 30 天创建一个索引)。默认值为 30 天。
plugins.security_analytics.finding_history_max_age (时间值):在创建新索引之前,发现历史索引中存储的最旧文档。如果此时间段内的发现数量不超过 finding_history_max_docs,则会按周期创建新的发现历史索引(例如,每 30 天创建一个索引)。默认值为 30 天。
plugins.security_analytics.correlation_history_max_age (时间值):在创建新索引之前,关联历史索引中存储的最旧文档。如果此时间段内的关联数量不超过 correlation_history_max_docs,则会按周期创建新的关联历史索引(例如,每 30 天创建一个索引)。默认值为 30 天。
plugins.security_analytics.alert_history_max_docs (整数):在创建新索引之前,警报历史索引中存储的最大警报数量。默认值为 1,000。
plugins.security_analytics.alert_finding_max_docs (整数):在创建新索引之前,发现历史索引中存储的最大发现数量。默认值为 1,000。
plugins.security_analytics.correlation_history_max_docs (整数):在创建新索引之前,关联历史索引中存储的最大关联数量。默认值为 1,000。
plugins.security_analytics.alert_history_retention_period (时间值):在自动删除警报历史索引之前保留它们的时间量。默认值为 60 天。
plugins.security_analytics.finding_history_retention_period (时间值):在自动删除发现历史索引之前保留它们的时间量。默认值为 60 天。
plugins.security_analytics.correlation_history_retention_period (时间值):在自动删除关联历史索引之前保留它们的时间量。默认值为 60 天。
plugins.security_analytics.request_timeout (时间值):安全分析插件发送到 OpenSearch 其他部分的所有请求的超时时间。默认值为 10 秒。
plugins.security_analytics.action_throttle_max_value (时间值):您可以为操作节流设置的最大时间量。默认值为 24 小时。(此值在 OpenSearch Dashboards 中显示为 1440 分钟。)
plugins.security_analytics.filter_by_backend_roles (布尔值):当设置为 true 时,在启用后按后端角色限制对检测器、警报、发现和自定义日志类型的访问。默认值为 false。
plugins.security_analytics.enable_workflow_usage (布尔值):支持告警插件与安全分析的工作流集成。确定在安全分析中创建新的威胁检测器后是否为告警插件生成复合监控器工作流。当设置为 true 时,基于关联威胁检测器配置的复合监控器工作流将启用。当设置为 false 时,基于关联威胁检测器配置的复合监控器工作流将禁用。默认值为 true。有关告警插件与安全分析工作流集成的更多信息,请参阅集成告警插件工作流。
plugins.security_analytics.correlation_time_window (时间值):安全分析在时间窗口内生成关联。此设置指定文档必须在此时间窗口内被索引到索引中,才能包含在同一关联中。默认值为 5 分钟。
plugins.security_analytics.mappings.default_schema (字符串):用于配置安全分析检测器字段映射的默认映射模式。默认值为 ecs。
plugins.security_analytics.threatintel.tifjob.update_interval (时间值):威胁情报功能使用作业运行器定期获取新源。此设置是运行器获取和更新这些新源的速率。默认值为 1440 分钟。
plugins.security_analytics.threatintel.tifjob.batch_size (整数):在威胁情报源数据创建过程中,批量请求中要摄取的最大文档数量。默认值为 10,000。
plugins.security_analytics.threat_intel_timeout (时间值):创建和删除威胁情报源数据的超时值。默认值为 30 秒。
要了解有关静态和动态设置的更多信息,请参阅配置 OpenSearch。