主机页面
Elastic Stack Serverless Security
“主机”页面提供所有主机和主机相关的安全事件的全面概述。关键绩效指标 (KPI) 图表、数据表和交互式窗口小部件可让您查看特定数据、向下钻取以获得更深入的见解,以及与时间线交互以进行进一步调查。
“主机”页面包含以下部分
KPI 图表显示在日期选择器中指定的时间范围内的主机和唯一 IP 的指标。此数据使用线性图或条形图进行可视化。
提示
将鼠标悬停在 KPI 图表内以显示操作菜单 (…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新的或现有的案例。
KPI 图表下方是数据表,按各个选项卡分类,这些选项卡对于查看和调查特定类型的数据非常有用。选择相关的选项卡以查看以下数据
- 事件:所有主机事件。要显示从外部监控工具收到的警报,请向下滚动到“事件”表,然后在右侧选择仅显示外部警报。
- 所有主机:高级主机详细信息。
- 异常进程:主机上运行的异常进程。
- 异常:机器学习作业发现的异常。
- 主机风险:每个主机的最新记录的主机风险评分及其主机风险分类。 在 Elastic Stack 中,此功能需要 Platinum 订阅 或更高版本。 在 serverless 中,此功能需要 Security Analytics Complete 项目功能。 单击 主机风险 选项卡上的 启用 以开始使用。 要了解更多信息,请参阅我们的 实体风险评分文档。
- 会话:您可以在 会话视图中打开的 Linux 进程事件,会话视图是一种调查工具,可让您在分层级别检查 Linux 进程数据。
事件 和 会话 选项卡中的表包括内联操作和多个自定义选项。 要了解有关可以使用这些表中的数据执行的操作的更多信息,请参阅 管理检测警报。
主机的详细信息页面显示所选主机的全部相关信息。要查看主机的详细信息页面,请单击 所有主机 表中的 主机名 链接。
主机详细信息页面包含以下部分
- 资产重要性:此部分显示主机当前的 资产重要性级别。
- 摘要:详细信息,例如主机 ID、首次和上次看到主机的时间、关联的 IP 地址和关联的操作系统。如果启用了主机风险评分功能,此部分还会显示主机风险评分数据。
- 警报指标:按严重性、规则和状态(
打开、已确认或已关闭)显示的警报总数。 - 数据表:与主“主机”页面上的数据表相同,只不过值是所选主机的,而不是所有主机的。
