异常检测
Elastic Stack 无服务器安全性
当您拥有适当的角色、订阅、使用 云部署 或正在试用 免费试用版 时,可以使用机器学习 功能。 有关更多信息,请参阅机器学习作业和规则要求。
您可以在主机、网络和相关详细信息页面上显示的 Anomalies 表格小部件中查看检测到的异常的详细信息,甚至可以从主机和 IP 的详细信息页面的概述中的 Max anomaly score by job 字段中缩小到异常的特定日期范围。 这些界面还允许您将异常的详细信息拖放到时间线,例如 Entity 本身或任何相关的 Influencers。
如果您具有适当的角色,则可以使用 Alerts、Rules 和 Rule Exceptions 页面上的 ML job settings 界面来查看、启动和停止 Elastic Security 机器学习作业。
您还可以检查机器学习检测规则的状态,并启动或停止其相关的机器学习作业
在 Rules 页面上,Last response 列显示规则的当前状态。 如果所需的机器学习作业未运行,也会显示一个指示器图标 (
)。 单击该图标以列出受影响的作业,然后单击 Visit rule details page to investigate 以打开规则的详细信息页面。
在规则的详细信息页面上,检查 Definition 部分以确认所需的机器学习作业是否正在运行。 切换开关以运行或停止每个作业。
Elastic Security 附带预构建的机器学习异常检测作业,用于自动检测主机和网络异常。 作业显示在 Anomaly Detection 界面中。 当满足以下任一条件时,这些作业可用:
- 您使用 Beats 或 Elastic Agent 传输数据,并且 Kibana 在 Data Views 页面上配置了所需的索引模式(例如
auditbeat-*、filebeat-*、packetbeat-*或winlogbeat-*)。 要查找此页面,请导航到导航菜单中的 Data Views 或使用全局搜索字段。
或
- 您传输的数据符合 ECS 规范,并且 Kibana 在 Data Views 页面上配置了传输数据的索引模式。
或
- 您安装了一个或多个高级分析集成。
安全异常检测配置 描述了所有可用的机器学习作业,并列出了当您不使用 Beats 或 Elastic Agent 传输数据时,您的主机上所需的 ECS 字段。 有关调整异常结果以减少误报数量的信息,请参阅优化异常结果。
机器学习作业会回顾并分析启用之前的两周历史数据。 作业启用后,它们会持续分析传入的数据。 如果作业在两周的时间范围内停止并重新启动,则之前分析的数据不会再次处理。
要查看 Anomalies 表格小部件和 Max Anomaly Score By Job 详细信息,用户必须具有 machine_learning_admin 或 machine_learning_user 角色。
要调整确定显示哪些异常的 score 阈值,您可以修改 securitySolution:defaultAnomalyScore 高级设置。