网络页面
Elastic Stack 无服务器安全
“网络”页面在交互式地图中提供关键的网络活动指标,以及支持与时间轴交互的网络事件表。您可以将感兴趣的项目从“网络”视图拖放到时间轴以进行进一步调查。
该地图提供了网络流量的交互式可视化概览。将鼠标悬停在源点和目标点上,以显示更多信息,例如主机名和 IP 地址。
要在 Elastic Stack 中访问交互式地图,您需要对 Maps 具有 Read 或 All 权限(**Kibana 权限** → **分析** → **Maps**)。在无服务器环境中,您必须具有相应的用户角色。要了解有关地图设置的更多信息,请参阅配置网络地图数据。
有几种向下钻取的方法
- 单击一个点,将鼠标悬停在主机名或目标 IP 上,然后使用过滤器图标将字段添加到过滤器栏。
- 将字段从地图拖到时间轴。
- 单击主机名转到“主机”页面。
- 单击 IP 地址以打开其详细信息页面。
您可以使用地图开始调查,并且地图会在您运行查询或更新时间范围时刷新以显示相关数据。
要添加和删除图层,请单击地图右上角的**选项**菜单 (…)。
交互式小组件让您可以深入了解
- 网络事件
- DNS 查询
- 唯一流 ID
- TLS 握手
- 唯一私有 IP
还有用于查看和调查特定数据类型的选项卡
- **事件**:所有网络事件。要显示从外部监控工具收到的警报,请向下滚动到事件表,然后在右侧选择**仅显示外部警报**。
- **流**:源 IP 地址和目标 IP 地址以及国家/地区。
- **DNS**:DNS 网络查询。
- **HTTP**:收到的 HTTP 请求(默认情况下会监控使用 Elastic APM 的应用程序的 HTTP 请求)。
- **TLS**:握手详细信息。
- **异常**:由机器学习作业发现的异常。
“事件”表包括内联操作和多个自定义选项。要了解有关使用这些表中的数据可以执行的操作的更多信息,请参阅管理检测警报。
IP 的详细信息页面显示所选 IP 地址的相关网络信息。
要查看 IP 的详细信息页面,请单击其在“源 IP”或“目标 IP”表中的 IP 地址链接。
IP 的详细信息页面包括以下部分
**摘要**:一般详细信息,例如位置、首次和最后一次看到 IP 地址的时间、关联的主机 ID 和主机名,以及用于验证 IP 地址信誉的外部站点链接。
注意默认情况下,外部站点为 Talos 和 VirusTotal。请参阅在 IP 详细信息页面上显示信誉链接,以了解如何配置 IP 信誉链接。
**警报指标**:按严重性、规则和状态(
Open、Acknowledged或Closed)划分的警报总数。**数据表**:与主“网络”页面上的数据表相同,但使用所选 IP 地址的值,而不是所有 IP 地址的值。
