正在加载

实体分析仪表板

Elastic Stack 无服务器安全

实体分析仪表板提供了一个集中视图,用于查看新兴的内部威胁,包括主机风险、用户风险和网络内部的异常情况。 使用它可以对这些新出现的威胁进行分类、调查和响应。

要求

在 Elastic Stack 中,需要 Platinum 订阅或更高级别。

该仪表板包含以下部分

显示关键主机、关键用户和异常的总数。 选择链接可跳转到主机页面、用户页面或异常表。

要求

要显示用户风险评分,您必须启用风险评分引擎

显示您的环境的用户风险评分数据,包括用户总数以及最近记录的五个用户风险评分,以及它们关联的用户名、风险数据和检测到的警报数量。 与主机风险评分类似,用户风险评分使用加权总和计算,范围从 0(最低)到 100(最高)。

User risk table

与表格交互以过滤数据、查看更多详细信息并采取操作

  • 选择用户风险级别菜单以按所选级别过滤图表。
  • 单击用户名链接以打开实体详细信息弹出窗口。
  • 将鼠标悬停在用户名链接上以显示内联操作:添加到时间线,将所选值添加到时间线,以及复制到剪贴板,复制用户名值以供您稍后粘贴。
  • 单击右上角的查看全部以在“用户”页面上显示所有用户风险信息。
  • 单击警报列中的数字链接以在“警报”页面上查看警报。 将鼠标悬停在该数字上,然后选择在时间线中调查 (在时间线中调查图标) 以启动时间线,其中包含包含关联用户名值的查询。

有关用户风险评分的更多信息,请参阅实体风险评分

要求

要显示主机风险评分,您必须启用风险评分引擎

显示您的环境的主机风险评分数据,包括主机总数以及最近记录的五个主机风险评分,以及它们关联的主机名、风险数据和检测到的警报数量。 主机风险评分使用加权总和计算,范围从 0(最低)到 100(最高)。

Host risk scores table

与表格交互以过滤数据、查看更多详细信息并采取操作

  • 选择主机风险级别菜单以按所选级别过滤图表。
  • 单击主机名链接以打开实体详细信息弹出窗口。
  • 将鼠标悬停在主机名链接上以显示内联操作:添加到时间线,将所选值添加到时间线,以及复制到剪贴板,复制主机名值以供您稍后粘贴。
  • 单击右上角的查看全部以在“主机”页面上显示所有主机风险信息。
  • 单击警报列中的数字链接以在“警报”页面上查看警报。 将鼠标悬停在该数字上,然后选择在时间线中调查 (在时间线中调查图标) 以启动时间线,其中包含包含关联主机名值的查询。

有关主机风险评分的更多信息,请参阅实体风险评分

要求

要显示服务风险评分,您必须启用风险评分引擎

显示您的环境的服务风险评分数据,包括服务总数以及最近记录的五个服务风险评分,以及它们关联的服务名称、风险数据和检测到的警报数量。 服务风险评分使用加权总和计算,范围从 0(最低)到 100(最高)。

Service risk scores table

与表格交互以过滤数据、查看更多详细信息并采取操作

  • 选择服务风险级别菜单以按所选级别过滤图表。
  • 单击服务名称链接以打开服务详细信息弹出窗口。
  • 将鼠标悬停在服务名称链接上以显示内联操作:添加到时间线,将所选值添加到时间线,以及复制到剪贴板,复制服务名称值以供您稍后粘贴。
  • 单击警报列中的数字链接以在“警报”页面上查看警报。 将鼠标悬停在该数字上,然后选择在时间线中调查 (在时间线中调查图标) 以启动时间线,其中包含包含关联服务名称值的查询。

有关服务风险评分的更多信息,请参阅实体风险评分

要求

要显示实体部分,您必须启用实体存储

实体部分提供了一个集中视图,用于查看环境中的所有主机、用户和服务。 它显示来自实体存储的实体,这些实体满足以下任何条件

  • 已由 Elastic Security 观察到
  • 具有资产重要性分配
  • 已通过集成添加到 Elastic Security,例如 Active Directory 或 Okta
注意

实体表仅显示每个实体可用数据的子集。 您可以查询 .entities.v1.latest.security_user_<space-id>.entities.v1.latest.security_host_<space-id>.entities.v1.latest.security_service_<space-id> 索引,以查看实体存储中每个实体的所有字段。

Entities section

来自不同来源的实体数据会根据以下时间线显示在实体部分中

  • 首次启用实体存储时,只会处理最近 24 小时内存储的数据。 之后,数据会持续处理。
  • 来自 Elastic Security 默认数据视图的观察到的事件以近乎实时的速度进行处理。
  • 实体分析数据,例如实体风险评分和资产重要性(包括批量资产重要性上传),也以近乎实时的速度进行处理。
  • 从实体分析集成中提取的实体的可用性取决于具体的集成。 有关更多详细信息,请参阅Active Directory 实体分析Microsoft Entra ID 实体分析Okta 实体分析

与表格交互以过滤数据和查看更多详细信息

  • 选择风险级别下拉列表以按所选用户、主机或服务风险级别过滤表格。
  • 选择重要性下拉列表以按所选资产重要性级别过滤表格。
  • 选择来源下拉列表以按数据来源过滤表格。
  • 单击查看详细信息图标 (查看详细信息图标) 以打开实体详细信息弹出窗口。

异常检测作业可识别可疑或不规则的行为模式。 “异常”表显示了这些预构建的机器学习作业(在“异常名称”列中命名)识别出的异常总数。

要求

要显示异常结果,您必须安装并运行一个或多个预构建的异常检测作业。 您无法将自定义异常检测作业添加到实体分析仪表板。

Anomalies table

与表格交互以查看更多详细信息

  • 单击查看所有主机异常以转到“主机”页面上的“异常”表。
  • 点击查看所有用户异常,前往“用户”页面上的“异常”表。
  • 点击查看所有,以显示和管理“异常检测任务”页面上的所有机器学习任务。
提示

要了解有关机器学习的更多信息,请参阅什么是 Elastic 机器学习?

© . All rights reserved.