查看检测警报详情

Elastic Stack Serverless Security

要了解有关警报的更多信息，请单击“警报”表中的 查看详情 按钮。这会打开警报详情浮出层，帮助您了解和管理警报。

×

使用警报详情浮出层开始调查、打开案例或计划响应。单击浮出层底部的 采取行动 ，查找更多与警报交互的选项。

警报详情浮出层具有右侧面板、预览面板和左侧面板。每个面板提供警报的不同视角。

右侧面板提供警报的概览。展开任何折叠的部分以了解有关警报的更多信息。您还可以将鼠标悬停在 概览 和 表格 选项卡上的字段上，以显示可用的 内联操作。

×

从右侧面板，您还可以

• 单击 展开详情 以打开 左侧面板，其中显示右侧面板中各部分的更多信息。

• 单击历史记录图标 () 以显示您从警报详情浮出层访问的位置的列表，例如，其他警报或用户的浮出层。该列表最多可以包含 10 个唯一条目。单击任何列表条目以快速访问该条目的详细信息。

• 单击 聊天 图标 () 以访问 AI 助手。

• 单击 共享警报 图标 () 以获取可共享的警报 URL。我们不建议从浏览器的地址栏复制 URL，如果您为“警报”页面设置了过滤器或相对时间范围，这可能会导致结果不一致。

  注意

  仅适用于 Elastic Stack 用户：如果您在 kibana.yml 文件中配置了 server.publicBaseUrl 设置，则可共享的 URL 也位于 kibana.alert.url 字段中。您可以通过在 表格 选项卡上搜索 kibana.alert.url 来找到该字段。

  重要提示

  如果您在“警报”页面上启用了分组，则只有在展开折叠的组并选择单个警报后，才会打开警报详情浮出层。

• 单击 浮出层设置 图标 () 以访问用于显示警报详情浮出层的选项。默认情况下选择 覆盖 选项（该选项将浮出层显示在“警报”表上方）。选择 推送 以将浮出层显示在表格的侧面。在任何显示中，您都可以根据自己的喜好调整浮出层面板的大小。单击 重置大小 会将浮出层恢复为其默认尺寸。

• 查找有关警报的基本详细信息，例如

  • 关联的规则
  • 警报状态以及警报的创建时间
  • 警报严重性和风险评分（这些是从生成警报的规则继承的）
  • 分配给警报的用户（单击 分配警报 图标以分配更多用户）
  • 附加到警报的注释（单击 添加注释 图标以创建新注释）

• 单击 表格 或 JSON 选项卡以表格或 JSON 格式显示警报详情。在表格格式中，警报详情显示为字段-值对。

浮出层中的某些区域在您单击时会提供预览。例如，单击规则描述中的 显示规则摘要 会显示规则详情的预览。要关闭预览，请单击 返回 或 x。

×

左侧面板提供了右侧面板中显示内容的展开视图。要打开左侧面板，请执行以下操作之一

• 单击右侧面板顶部的 展开详情。

  
  ×

• 单击右侧面板中 概览 选项卡上的某个部分标题。

  
  ×

“关于”部分位于右侧面板的 概览 选项卡上。它提供了与警报相关的规则的简要描述以及生成警报的说明。

×

“关于”部分包含以下信息

• 规则描述：描述规则的目的或检测目标。单击 显示规则摘要 以显示规则详情的预览。在预览中，单击 显示规则详情 以查看规则的详情页面。

• 警报原因：描述生成警报的源事件。事件详情以纯文本显示，并按逻辑顺序排列，以便为警报提供上下文。单击 显示完整原因 以在 预览面板 中以事件呈现格式显示警报原因。

  注意

  只有在警报类型存在事件呈现器时，才会显示事件呈现器。字段是交互式的；将鼠标悬停在其上方可访问可用的操作。

• 上次警报状态更改：显示上次更改警报状态的时间，以及更改它的用户。

“调查”部分位于右侧面板的 概览 选项卡上。它提供了几种开始调查警报的方法。

×

“调查”部分提供以下信息

• 调查指南：如果与警报关联的规则具有调查指南，则会显示 显示调查指南 按钮。单击该按钮以在左侧面板中打开展开的“调查”视图。

  提示

  在创建新的自定义规则或修改现有自定义规则的设置时，向规则添加一个 调查指南。

• 高亮字段：显示警报的相关字段，以及您添加到规则中的任何自定义高亮字段。具有值的自定义高亮字段会添加到此部分。没有值的字段不会添加。

“可视化”部分位于右侧面板的概览选项卡中。它提供了导致警报发生以及警报发生后发生的流程的概览。

×

单击可视化以显示以下预览

• 会话视图预览：显示会话视图数据的预览。单击会话查看器预览以在时间线中打开会话视图选项卡。
• 分析器预览：显示可视化分析器图的预览。该预览最多显示分析事件的三个级别的祖先，以及事件的三个级别的后代和子级。省略号 (...) 表示该事件有更多祖先和后代需要检查。单击分析器预览以在时间线中打开事件分析器选项卡。

通过可视化选项卡，您可以在事件分析器或会话视图中调查警报时，保持“警报”表的上下文。要打开该选项卡，请单击右侧面板中的会话查看器预览或分析器预览。

×

在您检查与警报相关的流程时，您还可以预览与这些流程关联的警报和事件。然后，如果您想了解有关特定警报或事件的更多信息，您可以单击显示完整警报详细信息以打开完整的详细信息浮出框。

×

“洞察”部分位于右侧面板的概览选项卡中。它提供了您可以评估警报的不同视角。单击洞察以显示相关实体、威胁情报、关联数据以及主机和用户流行度的概览。

×

“实体”概览提供了与警报相关的用户和主机的高级详细信息。主机和用户风险分类也可通过 Elastic Stack 中的Platinum 订阅或更高版本，或 Serverless 中的 Security Analytics Complete 项目功能获得。

×

从右侧面板中，单击实体以打开与警报关联的主机和用户的详细视图。展开的视图还包括风险评分和分类，以及相关主机和用户上的活动。对这些功能的访问需要 Elastic Stack 中的 Platinum 订阅或更高版本，或 Serverless 中的 Security Analytics Complete 项目功能。

×

“威胁情报”概览显示匹配的指标，这些指标提供了与警报相关的威胁情报。

×

“威胁情报”概览提供以下信息

• 检测到威胁匹配：仅在检查从指标匹配规则生成的警报时可用。显示警报文档中存在的匹配指标的数量。如果没有匹配的指标，或者您正在检查由另一种类型的规则生成的警报，则显示零。
• 使用威胁情报丰富的字段：显示未从指标匹配规则生成的警报中存在的匹配指标的数量。如果不存在，则匹配指标的总数为零。

从右侧面板中，单击威胁情报以在左侧面板中打开展开的“威胁情报”视图。

×

展开的“威胁情报”视图显示警报文档中的各个指标。您可以通过单击指标标签末尾的箭头按钮来展开和折叠指标详细信息。每个指标都标有来自 matched.field 和 matched.atomic 字段的值，并显示威胁情报提供商。

匹配的威胁被组织成两个部分，如下所述。在每个部分中，匹配的威胁按时间倒序显示，最近的威胁位于顶部。为每个匹配的威胁显示所有映射的字段。

检测到威胁匹配

如果您正在检查从指标匹配规则生成的警报，则“检测到威胁匹配”部分仅填充指标匹配详细信息。当警报字段值与您已摄取的威胁情报数据匹配时，会发生指标匹配。

使用威胁情报丰富的字段

在未从指标匹配规则生成的警报中也可以找到威胁情报。要查找此信息，Elastic Security 会查询过去 30 天的警报文档，并搜索包含已知威胁情报的字段。如果找到任何字段，它们将记录在此部分中。

在搜索威胁情报时，Elastic Security 会查询警报文档的以下字段

• file.hash.md5：MD5 哈希
• file.hash.sha1：SHA1 哈希
• file.hash.sha256：SHA256 哈希
• file.pe.imphash：PE 文件中的导入
• file.elf.telfhash：ELF 文件中的导入
• file.hash.ssdeep：SSDEEP 哈希
• source.ip：源的 IP 地址（IPv4 或 IPv6）
• destination.ip：事件的目标 IP 地址
• url.full：事件源的完整 URL
• registry.path：完整的注册表路径，包括 Hive、Key 和 Value

“关联”概览显示警报与其他警报的关联方式，并提供了调查相关警报的方法。使用此信息可以快速查找警报之间的模式，然后采取措施。

×

“关联”概览提供以下信息

• 已抑制的警报：指示警报是使用警报抑制创建的，并显示抑制了多少重复警报。只有为规则启用了警报抑制，此信息才会显示。

• 按源事件相关的警报：显示由同一源事件创建的警报的数量。

• 与警报相关的案例：显示已将警报添加到的案例的数量。

• 按会话 ID 相关的警报：显示由同一会话生成的警报的数量。

• 按进程沿袭相关的警报：显示在同一线性分支上通过进程事件相关的警报的数量。

  注意

  要访问有关按进程沿袭相关的警报的数据，您必须拥有 Elastic Stack 中的 Platinum 或更高版本的订阅，或相应的 Serverless 项目层级。

从右侧面板中，单击关联以在左侧面板中打开展开的“关联”视图。

×

在展开的视图中，关联数据被组织成几个表

• 已抑制的警报：显示抑制了多少重复警报。只有为规则启用了警报抑制，此信息才会显示。
• 相关案例：显示已将警报添加到的案例。单击案例的名称以打开其详细信息。
• 按源事件相关的警报：显示由同一源事件创建的警报。这可以帮助您查找具有共享来源的警报，并提供有关源事件的更多上下文。单击在时间线中调查按钮以在时间线中检查相关警报。
• 按会话关联的告警：显示在同一会话期间生成的告警。这些告警共享同一个会话 ID，该 ID 是用于跟踪给定 Linux 会话的唯一 ID。要使用此功能，您必须在 Elastic Defend 集成策略中启用 收集会话数据 设置。有关更多信息，请参阅 启用会话视图数据。
• 按溯源关联的告警：显示在同一线性分支上通过进程事件关联的告警。 请注意，不会显示从子分支或相关分支上的进程生成的告警。 要进一步检查告警，请单击 在时间线中调查。

普遍性概览显示在过去 30 天内，告警中的数据是否经常在其他主机事件中观察到。 普遍性计算使用告警的突出显示字段中的值。 在您的环境中，如果突出显示的字段值在少于 10% 的主机上观察到，则被认为是不常见的（不普遍），并在普遍性概览中单独列出。 在您的环境中，如果突出显示的字段值在超过 10% 的主机上观察到，则被认为是常见的（普遍的），并在普遍性概览中被描述为经常观察到。

从右侧面板中，单击 普遍性 以在左侧面板中打开展开的普遍性视图。 检查该表以了解告警与其他告警、事件、用户和主机之间的关系。

×

展开的普遍性视图提供以下详细信息

• 字段：显示告警的 突出显示的字段 以及已添加到告警规则的任何自定义突出显示的字段。
• 值：显示突出显示的字段的值以及已添加到告警规则的任何自定义突出显示的字段的值。
• 告警计数：显示具有相同突出显示字段值的告警文档的总数，包括您当前正在检查的告警。 例如，如果 host.name 字段的告警计数为 5，则表示总共有五个告警具有相同的 host.name 值。 “告警计数”列仅检索包含 event.kind:signal 字段-值对的文档。
• 文档计数：显示具有相同字段值的事件文档的总数。 如果没有与字段值匹配的事件文档，则显示破折号 (——)。 “文档计数”列仅检索不包含 event.kind:signal 字段-值对的文档。

以下功能需要在 Elastic Stack 中具有 Platinum 订阅 或更高版本，或者需要相应的 无服务器项目层

• 主机普遍性：显示具有相同字段值的唯一主机的百分比。 突出显示字段的主机普遍性是通过获取具有相同突出显示字段值的唯一主机的数量，然后将该数量除以您的环境中唯一主机的总数来计算的。
• 用户普遍性：显示具有相同突出显示字段值的唯一用户的百分比。 突出显示字段的用户普遍性是通过获取具有相同字段值的唯一用户的数量，然后将该数量除以您的环境中唯一用户的总数来计算的。

响应 部分位于右侧面板的 概览 选项卡上。 它显示了已添加到与告警关联的规则的 响应操作。 单击 响应 以在左侧面板中显示响应操作的结果。

×

注释 选项卡（位于左侧面板中）显示附加到告警的所有注释，以及创建注释的用户以及创建时间。 当您添加新注释时，告警的摘要也会更新，并显示附加到告警的注释数量。

×