可视化检测告警
Elastic Stack Serverless Security
通过告警页面中的可视化部分,按特定参数对检测告警进行可视化和分组。
使用左侧的按钮选择视图类型(摘要、趋势、计数或树状图),并使用右侧的菜单选择用于分组的 ECS 字段。
- 前几位的告警依据或分组依据:用于分组告警的主要字段。
- 按前几位分组(如果可用):用于进一步细分分组告警的次要字段。
例如,您可以先按规则名称 (Group by: kibana.alert.rule.name) 分组,然后按主机名称 (Group by top: host.name) 分组,以可视化哪些检测规则生成了告警,以及哪些主机触发了每个规则。 对于具有大量唯一值的分组,将显示前 1,000 个结果。
某些视图类型没有 按前几位分组 选项。 您也可以将 按前几位分组 留空,仅按 分组依据 中的主要字段进行分组。
要将视图重置为默认设置,请将鼠标悬停在视图上,然后单击出现的选项菜单 (
),然后选择 重置分组依据字段。
选项菜单还允许您检查可视化的查询。 对于趋势和计数视图,您可以将可视化添加到新的或现有的案例中,或者在 Lens 中打开它。
单击折叠图标 (
) 以最小化可视化部分,并显示关键信息的摘要。
在“告警”页面上,摘要可视化默认显示,并显示告警如何在这些指标之间分布
- 严重程度级别:每个严重程度级别中有多少告警。
- 按名称的告警:每个检测规则创建了多少告警。
- 前几位的告警依据:具有指定字段值的告警百分比:
host.name(默认值)、user.name、source.ip或destination.ip。
您可以将鼠标悬停并单击摘要中的元素(例如严重程度级别、规则名称和主机名称)以向“告警”页面添加带有这些值的过滤器。
趋势视图显示告警随时间发生的频率。 默认情况下,它按检测规则名称 (kibana.alert.rule.name) 对告警进行分组。
按前几位分组 菜单不适用于趋势视图。
计数视图显示每个组中告警的计数。 默认情况下,它首先按检测规则名称 (kibana.alert.rule.name),然后按主机名称 (host.name) 对告警进行分组。
树状图视图将告警的分布显示为嵌套的、按比例调整大小的图块。 此视图可以帮助您快速查明最普遍和最关键的告警。
较大的图块代表更频繁的告警,每个图块的颜色都基于告警的风险评分
- 绿色:低风险 (
0-46) - 黄色:中风险 (
47-72) - 橙色:高风险 (
73-98) - 红色:危急风险 (
99-100)
默认情况下,树状图首先按检测规则名称 (kibana.alert.rule.name),然后按主机名称 (host.name) 对告警进行分组。 这显示了哪些规则生成了最多的告警,以及哪些主机负责。
根据告警的数量,某些图块和文本可能非常小。 将鼠标悬停在树状图上可在工具提示中显示信息。
您可以单击树状图以缩小树状图和下方告警表中显示的告警范围。 单击组上方的标签以显示该组中的告警,或单击单个图块以显示与该图块相关的告警。 这将在 KQL 搜索栏下添加过滤器,您可以编辑或删除这些过滤器以进一步自定义视图。
