查看实体详情
Elastic Stack Serverless Security
您可以从实体详情浮窗中了解有关实体(主机、用户或服务)的更多信息,该浮窗在整个 Elastic Security 应用程序中都可用。要访问此浮窗,请单击实体名称,例如:
- 警报表
- 实体分析仪表板
- 用户和用户详情页面
- 主机和主机详情页面
实体详情浮窗包含以下部分:
要求
只有在开启风险评分引擎后,实体风险概要部分才可用。
实体风险概要部分包含风险概要可视化和表格。
风险概要可视化显示实体风险评分和风险等级。将鼠标悬停在可视化上以显示选项菜单。使用此菜单检查可视化的查询,将其添加到新的或现有的案例,将其保存到您的可视化库,或在 Lens 中打开以进行自定义。
风险概要表格显示了确定实体风险评分的类别、评分和风险输入数量。将鼠标悬停在表格上以显示检查按钮,该按钮允许您检查表格的查询。
要展开实体风险概要部分,请单击查看风险贡献。左侧面板显示有关实体风险输入的其他详细信息
- 来自最新风险评分计算的资产重要性等级和贡献评分。
- 为最新风险评分计算做出贡献的前 10 个警报,以及每个警报的贡献评分。
如果超过 10 个警报为风险评分计算做出了贡献,则剩余警报的合计贡献评分将显示在警报表格下方。
资产重要性部分显示所选实体的资产重要性等级。 资产重要性有助于整体实体风险评分。 重要性等级定义了在计算风险评分时实体的影响程度。
单击分配以将重要性等级分配给所选实体,或单击更改以更改当前分配的重要性等级。
洞察部分显示主机的漏洞发现或用户的错误配置发现。 单击漏洞或错误配置以展开浮窗并查看此数据。
本节显示实体 ID、首次和最后一次看到实体的时间以及相关的 IP 地址和操作系统等详细信息。
