elastic · dhurley14 · Oct 17, 2025 · Oct 17, 2025 · Oct 21, 2025 · Oct 21, 2025
@@ -27,6 +27,21 @@ xpack.features.overrides:
   securitySolutionSiemMigrations.hidden: true
 
   ## Fine-tune the security solution essentials feature privileges. These feature privilege overrides are set individually for each project type. Also, refer to `serverless.yml` for the project-agnostic overrides.
+  siemV5:
+    privileges:
+      all.composedOf:
+        ## Limited values so the fields from serverless.yml or serverless.security.yml are overwritten
+        ## We do not need to compose 4 from maps and visualizations because these functionalities are disabled in this tier
+        - feature: 'discover_v2'
+          privileges: ['all']
+          ## We need limited access to fleet (v1) in order to use integrations
+        - feature: 'fleet'
+          privileges: ['all']
+      read.composedOf:
+        - feature: 'discover_v2'
+          privileges: ['read']
+        - feature: 'fleet'
+          privileges: ['read']
   siemV4:
     privileges:
       all.composedOf:

@@ -29,6 +29,31 @@ xpack.features.overrides:
     category: "security"
     order: 1103
   ### Security's feature privileges are fine-tuned to grant access to Discover, Dashboard, Maps, and Visualize apps.
+  siemV5:
+    privileges:
+      ### Security's `All` feature privilege should implicitly grant `All` access to Discover, Dashboard, Maps, and
+      ### Visualize features.
+      all.composedOf:
+        - feature: 'discover_v2'
+          privileges: ['all']
+        - feature: 'dashboard_v2'
+          privileges: ['all']
+        - feature: 'visualize_v2'
+          privileges: ['all']
+        - feature: 'maps_v2'
+          privileges: ['all']
+      # Security's `Read` feature privilege should implicitly grant `Read` access to Discover, Dashboard, Maps, and
+      # Visualize features. Additionally, it should implicitly grant privilege to create short URLs in Discover,
+      ### Dashboard, and Visualize apps.
+      read.composedOf:
+        - feature: 'discover_v2'
+          privileges: ['read']
+        - feature: 'dashboard_v2'
+          privileges: ['read']
+        - feature: 'visualize_v2'
+          privileges: ['read']
+        - feature: 'maps_v2'
+          privileges: ['read']
   siemV4:
     privileges:
       ### Security's `All` feature privilege should implicitly grant `All` access to Discover, Dashboard, Maps, and

@@ -938,6 +938,137 @@ endpoint_policy_manager:
         - feature_savedQueryManagement.all
       resources: '*'
 
+# siemv4 roles to test new rules and exceptions subfeature
+readrules:
+  cluster: []
+  indices:
+    - names:
+        - '.alerts-security*'
+        - '.siem-signals-*'
+      privileges:
+        - read
+        - write
+        - maintenance
+    - names:
+        - .lists*
+        - .items*
+        - apm-*-transaction*
+        - traces-apm*
+        - auditbeat-*
+        - endgame-*
+        - filebeat-*
+        - logs-*
+        - packetbeat-*
+        - winlogbeat-*
+        - logstash-*
+        - metrics-endpoint.metadata_current_*
+        - '.fleet-agents*'
+        - '.fleet-actions*'
+        - risk-score.risk-score-*
+        - .asset-criticality.asset-criticality-*
+        - .entities.v1.latest.security_*
+        - .entities.v1.history.*.security_*
+        - .entities.v1.updates.security_*
+        - '.ml-anomalies-*'
+        - security_solution-*.misconfiguration_latest*
+        - .entity_analytics.monitoring*
+      privileges:
+        - read
+  applications:
+    - application: 'kibana-.kibana'
+      privileges:
+        - feature_ml.read
+        - feature_siemV4.read
+        - feature_siemV4.read_alerts
+        - feature_siemV4.endpoint_list_read
+        - feature_securitySolutionCasesV2.read
+        - feature_securitySolutionTimeline.read
+        - feature_securitySolutionNotes.read
+        - feature_actions.read
+        - feature_builtInAlerts.read
+        - feature_osquery.read
+        - feature_osquery.run_saved_queries
+        - feature_discover_v2.all
+        - feature_dashboard_v2.all
+        - feature_maps_v2.all
+        - feature_visualize_v2.all
+        - feature_savedQueryManagement.all
+      resources: '*'
+
+editrules:
+  cluster: ['manage_index_templates', 'manage_transform']
+  indices:
+    - names:
+        - apm-*-transaction*
+        - traces-apm*
+        - auditbeat-*
+        - endgame-*
+        - filebeat-*
+        - logs-*
+        - packetbeat-*
+        - winlogbeat-*
+        - logstash-*
+        - .lists*
+        - .items*
+        - .alerts-security*
+        - .siem-signals-*
+        - .preview.alerts-security*
+        - .internal.preview.alerts-security*
+        - .adhoc.alerts-security*
+        - .internal.adhoc.alerts-security*
+        - security_solution-*.misconfiguration_latest*
+      privileges:
+        - read
+        - write
+        - manage
+    - names:
+        - metrics-endpoint.metadata_current_*
+        - .fleet-agents*
+        - .fleet-actions*
+        - '.ml-anomalies-*'
+        - .entity_analytics.monitoring*
+      privileges:
+        - read
+    - names:
+        - risk-score.risk-score-*
+      privileges:
+        - all
+    - names:
+        - .asset-criticality.asset-criticality-*
+        - .entities.v1.latest.security_*
+        - .entities.v1.history.*.security_*
+        - .entities.v1.updates.security_*
+      privileges:
+        - read
+        - write
+    - names:
+        - .entities.v1.latest.security_*
+      privileges:
+        - delete
+  applications:
+    - application: 'kibana-.kibana'
+      privileges:
+        - feature_ml.all
+        - feature_siemV4.all
+        - feature_siemV4.read_alerts
+        - feature_siemV4.crud_alerts
+        - feature_siemV4.global_artifact_management_all
+        - feature_siemV4.endpoint_exceptions_all
+        - feature_securitySolutionCasesV2.all
+        - feature_securitySolutionAssistant.all
+        - feature_securitySolutionAttackDiscovery.all
+        - feature_securitySolutionTimeline.all
+        - feature_securitySolutionNotes.all
+        - feature_actions.all
+        - feature_builtInAlerts.all
+        - feature_dev_tools.all
+        - feature_discover_v2.all
+        - feature_dashboard_v2.all
+        - feature_maps_v2.all
+        - feature_visualize_v2.all
+        - feature_savedQueryManagement.all
+      resources: '*'
+
 # admin role defined in elasticsearch controller
 admin:
   cluster: ['all']

@@ -11,4 +11,5 @@ detections_admin:$2a$10$nN6sRtQl2KX9Gn8kV/.NpOLSk6Jwn8TehEDnZ7aaAgzyl/dy5PYzW
 platform_engineer:$2a$10$nN6sRtQl2KX9Gn8kV/.NpOLSk6Jwn8TehEDnZ7aaAgzyl/dy5PYzW
 endpoint_operations_analyst:$2a$10$nN6sRtQl2KX9Gn8kV/.NpOLSk6Jwn8TehEDnZ7aaAgzyl/dy5PYzW
 endpoint_policy_manager:$2a$10$nN6sRtQl2KX9Gn8kV/.NpOLSk6Jwn8TehEDnZ7aaAgzyl/dy5PYzW
-
+norules:$2a$10$nN6sRtQl2KX9Gn8kV/.NpOLSk6Jwn8TehEDnZ7aaAgzyl/dy5PYzW
+editrules:$2a$10$nN6sRtQl2KX9Gn8kV/.NpOLSk6Jwn8TehEDnZ7aaAgzyl/dy5PYzW
@@ -10,3 +10,5 @@ detections_admin:detections_admin
 platform_engineer:platform_engineer
 endpoint_operations_analyst:endpoint_operations_analyst
 endpoint_policy_manager:endpoint_policy_manager
+norules:norules
+editrules:editrules
diff --git a/x-pack/platform/plugins/private/translations/translations/de-DE.json b/x-pack/platform/plugins/private/translations/translations/de-DE.json
@@ -7131,49 +7131,35 @@
     "securitySolutionPackages.features.featureRegistry.subFeatures.assistant.description": "Ändern Sie die Standard-Felder, die vom KI-Assistenten und der Angriffserkennung verwendet werden dürfen. Anonymisieren Sie jeglichen Inhalt für die ausgewählten Felder.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.blockList": "Blockliste",
     "securitySolutionPackages.features.featureRegistry.subFeatures.blockList.description": "Erweitern Sie den Schutz von Elastic Defend gegen bösartige Prozesse und schützen Sie vor potenziell schädlichen Anwendungen.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.blockList.privilegesTooltip": "Für den Zugriff auf die Blocklist ist 'Alle Spaces' erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.endpointExceptions": "Endpoint-Ausnahmen",
     "securitySolutionPackages.features.featureRegistry.subFeatures.endpointExceptions.description": "Verwenden Sie Endpoint-Ausnahmen (dies ist eine Test-Unterfunktion).",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.endpointExceptions.privilegesTooltip": "Für den Zugriff auf Endpoint-Ausnahmen ist „Alle Bereiche“ erforderlich.A",
     "securitySolutionPackages.features.featureRegistry.subFeatures.endpointList": "Endpoint-Liste",
     "securitySolutionPackages.features.featureRegistry.subFeatures.endpointList.description": "Zeigt alle Hosts an, auf denen Elastic Defend läuft, sowie deren relevante Integrationsdetails.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.endpointList.privilegesTooltip": "Für den Zugriff auf die Endpoint-Liste ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.eventFilters": "Ereignisfilter",
     "securitySolutionPackages.features.featureRegistry.subFeatures.eventFilters.description": "Filtern Sie Endpoint-Ereignisse heraus, die Sie nicht in Elasticsearch speichern müssen oder möchten.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.eventFilters.privilegesTooltip": "Für den Zugriff auf Ereignisfilter ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.executeOperations": "Operationen ausführen",
     "securitySolutionPackages.features.featureRegistry.subFeatures.executeOperations.description": "Führen Sie Reaktionsmaßnahmen auf Skriptausführungen in der Antwortkonsole aus.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.executeOperations.privilegesTooltip": "Für den Zugriff auf „Operationen ausführen“ ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.fileOperations": "Dateioperationen",
     "securitySolutionPackages.features.featureRegistry.subFeatures.fileOperations.description": "Führen Sie dateibezogene Reaktionsmaßnahmen in der Antwortkonsole aus.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.fileOperations.privilegesTooltip": "Für den Zugriff auf Dateivorgänge sind alle Spaces erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.globalArtifactManagement": "Globale Artefaktverwaltung",
     "securitySolutionPackages.features.featureRegistry.subFeatures.globalArtifactManagement.description": "Verwalten Sie die globale Zuweisung von Endpoint-Artefakten (z. B. Trusted Applications, Ereignisfilter) über alle Richtlinien hinweg. Diese Berechtigung steuert nur die globalen Zuweisungsrechte; für die vollständige Verwaltung der Artefakte sind Berechtigungen für jeden Artefakttyp erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.hostIsolation": "Host-Isolierung",
     "securitySolutionPackages.features.featureRegistry.subFeatures.hostIsolation.description": "Führen Sie die Reaktionsmaßnahmen „Isolieren“ und „Freigeben“ durch.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.hostIsolation.privilegesTooltip": "Für den Zugriff auf die Host-Isolierung sind alle Spaces erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.hostIsolationExceptions": "Ausnahmen für die Host-Isolation",
     "securitySolutionPackages.features.featureRegistry.subFeatures.hostIsolationExceptions.description": "Fügen Sie spezifische IP-Adressen hinzu, mit denen isolierte Hosts weiterhin kommunizieren dürfen, selbst wenn sie vom Rest des Netzwerks isoliert sind.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.hostIsolationExceptions.privilegesTooltip": "Für den Zugriff auf Ausnahmen für die Host-Isolation ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.policyManagement": "Elastic Defend-Richtlinienverwaltung",
     "securitySolutionPackages.features.featureRegistry.subFeatures.policyManagement.description": "Greifen Sie auf die Elastic Defend-Integrationsrichtlinie zu, um Schutzmaßnahmen, Ereigniserfassung und erweiterte Elastic Features zu konfigurieren.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.policyManagement.privilegesTooltip": "Für den Zugriff auf die Richtlinienverwaltung ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.processOperations": "Prozessabläufe",
     "securitySolutionPackages.features.featureRegistry.subFeatures.processOperations.description": "Führen Sie prozessbezogene Reaktionsmaßnahmen in der Reaktionkonsole durch.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.processOperations.privilegesTooltip": "Für den Zugriff auf Prozessvorgänge sind alle Bereiche erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.readPrivilegeName": "Lesen",
     "securitySolutionPackages.features.featureRegistry.subFeatures.responseActionsHistory": "Verlauf der Reaktionsmaßnahmen",
     "securitySolutionPackages.features.featureRegistry.subFeatures.responseActionsHistory.description": "Greifen Sie auf den Verlauf der Reaktionsmaßnahmen zu, die auf Endpoints durchgeführt wurden.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.responseActionsHistory.privilegesTooltip": "Alle Spaces sind für den Zugriff auf den Verlauf der Reaktionsaktionen erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.scanOperations": "Scanvorgänge",
     "securitySolutionPackages.features.featureRegistry.subFeatures.scanOperations.description": "Führen Sie Bekämpfungsmaßnahmen für Ordnerscans in der Antwortkonsole aus.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.scanOperations.privilegesTooltip": "Für den Zugriff auf Scan-Vorgänge ist „Alle Spaces“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.trustedApplications": "Vertrauenswürdige Anwendungen",
     "securitySolutionPackages.features.featureRegistry.subFeatures.trustedApplications.description": "Hilft, Konflikte mit anderer Software zu mildern, normalerweise mit anderen Antiviren- oder Endpoint-Sicherheitsanwendungen.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.trustedApplications.privilegesTooltip": "Für den Zugriff auf vertrauenswürdige Anwendungen ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.features.featureRegistry.subFeatures.workflowInsights": "Automatische Problembehebung",
     "securitySolutionPackages.features.featureRegistry.subFeatures.workflowInsights.description": "Zugriff auf die automatische Problembehebung.",
-    "securitySolutionPackages.features.featureRegistry.subFeatures.workflowInsights.privilegesTooltip": "Für den Zugriff auf die automatische Fehlerbehebung ist „Alle Bereiche“ erforderlich.",
     "securitySolutionPackages.markdown.insight.upsell": "Führen Sie ein Upgrade auf {requiredLicense} durch, um Einblicke in Untersuchungsleitfäden zu erhalten",
     "securitySolutionPackages.markdown.investigationGuideInteractions.upsell": "Aktualisieren Sie auf {requiredLicense}, um die Interaktionen des Untersuchungsleitfadens nutzen zu können.",
     "securitySolutionPackages.navigation.landingLinks": "Security-Ansichten",
@@ -35107,7 +35093,6 @@
     "xpack.securitySolution.detectionEngine.rules.allRules.actions.editRuleSettingsDescription": "Regel-Einstellungen bearbeiten",
     "xpack.securitySolution.detectionEngine.rules.allRules.actions.exportRuleDescription": "Regel exportieren",
     "xpack.securitySolution.detectionEngine.rules.allRules.actions.lackOfKibanaActionsFeaturePrivileges": "Sie verfügen nicht über Kibana Actions-Berechtigungen",
-    "xpack.securitySolution.detectionEngine.rules.allRules.actions.lackOfKibanaSecurityPrivileges": "Sie haben keine Berechtigungen für Kibana Security",
     "xpack.securitySolution.detectionEngine.rules.allRules.actions.manualRuleRunDescription": "Manuelle Ausführung",
     "xpack.securitySolution.detectionEngine.rules.allRules.actions.manualRuleRunTooltip": "Manuelles Ausführen nur für aktivierte Regeln verfügbar",
     "xpack.securitySolution.detectionEngine.rules.allRules.batchActionsTitle": "Massenaktionen",
@@ -38524,7 +38509,6 @@
     "xpack.securitySolution.siemMigrations.rulesService.polling.successLinkText": "Zu den übersetzten Regeln",
     "xpack.securitySolution.siemMigrations.rulesService.polling.successTitle": "Regelübersetzung abgeschlossen.",
     "xpack.securitySolution.siemMigrations.service.capabilities.connectorsRead": "Management > Aktionen und Konnektoren: Lesen",
-    "xpack.securitySolution.siemMigrations.service.capabilities.securityAll": "Security > Security: Alle",
     "xpack.securitySolution.siemMigrations.service.capabilities.siemMigrationsAll": "Security > SIEM-Migrationen: Alle",
     "xpack.securitySolution.socTrends.properties.lockDatePickerDescription": "Globale Datumsauswahl bei der SOC Trends-Datumsauswahl sperren",
     "xpack.securitySolution.socTrends.properties.lockDatePickerTooltip": "Synchronisierung des Datums-/Zeitbereichs zwischen der aktuell angezeigten Seite und SOC-Trends deaktivieren",