用户页面
Elastic Stack Serverless Security
用户页面提供了用户数据的全面概览,帮助您了解环境中的身份验证和用户行为。关键绩效指标 (KPI) 图表、数据表和交互式小部件使您可以查看特定数据并进行深入分析。
用户页面包含以下部分
KPI 图表显示在日期选择器中指定的时间范围内,用户的总数以及成功和失败的用户身份验证次数。KPI 图表中的数据通过线性图和条形图进行可视化。
提示
将鼠标悬停在 KPI 图表内部以显示操作菜单 (…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新的或现有的案例。
KPI 图表下方是数据表,它们对于查看和调查特定类型的数据非常有用。选择相关的选项卡以查看以下详细信息
- 事件:包含
user.name字段的已提取事件。您可以按event.action、event.dataset或event.module字段进行堆叠。要显示从外部监控工具收到的警报,请向下滚动到“事件”表,然后选择右侧的仅显示外部警报。 - 所有用户:唯一的用户名、上次活动时间和相关域的按时间顺序排列的列表。
- 身份验证:用户身份验证事件和相关详细信息(例如成功和失败的次数)以及上次成功的目标主机名的按时间顺序排列的列表。
- 异常:包含用户数据的机器学习作业发现的异常活动。
- 用户风险:每个用户的最新记录的用户风险评分及其用户风险分类。在 Elastic Stack 中,此功能需要 Platinum 订阅或更高版本。 在无服务器环境中,此功能需要 Security Analytics Complete 项目功能。 单击用户风险选项卡上的启用即可开始使用。 要了解更多信息,请参阅我们的实体风险评分文档。
“事件”表包括内联操作和多个自定义选项。 要了解有关如何使用这些表中的数据的更多信息,请参阅管理检测警报。
用户的详细信息页面显示所选用户的所有相关信息。 要查看用户的详细信息页面,请单击所有用户表中的用户名链接。
用户详细信息页面包括以下部分
- 资产重要性:此部分显示用户当前的资产重要性级别。
- 摘要:详细信息,例如用户 ID、首次和上次看到用户的时间、相关的 IP 地址以及操作系统。 如果启用了用户风险评分功能,则此部分还会显示用户风险评分数据。
- 警报指标:按严重程度、规则和状态(
Open、Acknowledged或Closed)显示的警报总数。 - 数据表:与主“用户”页面上的数据表相同,只不过值为所选用户的值,而不是所有用户的值。
