Elastic Security UI
Elastic Stack Serverless Security
Elastic Security 应用程序是一个高度交互式的工作区,专为安全分析师设计,可清晰地概述来自您环境的事件和警报。您可以使用交互式 UI 深入了解感兴趣的领域。
通过在搜索栏中输入 Kibana 查询语言 (KQL) 查询,来筛选警报、事件、进程和其他重要的安全数据。日期/时间筛选器默认设置为“今天”,但可以更改为任何时间范围。
- 要细化您的搜索结果,请选择“添加筛选器”(
),然后输入您的筛选器的字段、运算符(例如is not或is between)和值。 - 要保存当前的 KQL 查询和任何应用的筛选器,请选择“保存的查询菜单”(
),输入保存的查询的名称,然后选择“保存保存的查询”。
导航菜单包含直接链接和可展开的组,由组图标标识 (
)。
- 单击顶级链接以直接转到其着陆页,其中包含相关页面的链接和信息。
- 单击组的图标 () 以打开其弹出菜单,其中显示指向该组内相关页面的链接。单击弹出菜单中的链接以导航到其着陆页。
- 单击“折叠侧边导航”图标 (
) 以折叠和展开主导航菜单。
许多 Elastic Security 直方图、图形和表格在您将鼠标悬停在其上方时会显示“检查”按钮 (
)。单击以检查用于在整个应用程序中检索数据的 Elasticsearch 查询。
其他可视化会显示一个选项菜单 (
),您可以使用它来检查可视化的查询、将其添加到新的或现有的案例中,或者在 Lens 中打开它以进行自定义。
在整个 Elastic Security 应用程序中,您可以将鼠标悬停在许多数据字段和值上以显示内联操作,您可以使用这些操作来定制您的视图或根据该字段或值进行进一步调查。
在某些可视化中,这些操作在图例中可用,方法是单击值的选项图标 (
)。
内联操作包括以下内容(某些操作在某些上下文中不可用)
- 筛选包含:添加包含所选值的筛选器。
- 筛选排除:添加排除所选值的筛选器。
- 添加到时间线:将所选值的筛选器添加到时间线。
- 切换表中的列:在警报或事件表中添加或删除所选字段作为列。(此操作仅在警报或事件的详细信息弹出窗口中可用。)
- 显示前x个:显示一个弹出窗口,其中显示所选字段的前几个事件或检测警报。
- 复制到剪贴板:复制所选的字段-值对以粘贴到其他位置。
Elastic Security 应用程序包含以下页面,使分析师能够查看、分析和管理安全数据。
使用 Discover UI 筛选您的数据或了解其结构。
展开此部分以访问以下仪表盘,这些仪表盘提供总结您的数据的交互式可视化
- 概览
- 检测与响应
- Kubernetes (在 Elastic Stack 中)
- 云安全态势
- 云原生漏洞管理
- 实体分析
- 数据质量。
您还可以创建和查看自定义仪表盘。有关更多信息,请参阅 仪表盘。
展开此部分以访问以下页面
规则:创建和管理规则以监视可疑事件。
基准:查看、设置或配置云安全基准。
共享例外列表:查看和管理规则例外和共享例外列表。
MITRE ATT&CK® 覆盖率:根据已安装的规则,查看您对 MITRE ATT&CK® 战术和技术的覆盖率。
查看和管理警报以监视您网络中的活动。有关更多信息,请参阅 检测和警报。
识别云基础设施中的错误配置和漏洞。有关设置说明,请参阅 云安全态势管理、Kubernetes 安全态势管理或 云原生漏洞管理。
打开和跟踪安全问题。有关更多信息,请参阅 案例。
展开此部分以访问以下页面
时间线:调查网络中的警报和复杂威胁(例如横向移动)。时间线是交互式的,允许您与其他团队成员分享您的发现。
提示单击 Elastic Security 应用程序底部的“时间线”按钮以开始调查。
Osquery:使用 Elastic Agent 部署 Osquery,然后运行和计划查询。
“情报”部分包含“指标”页面,该页面从已启用的威胁情报源收集数据,并提供入侵指标 (IoC) 的集中视图。请参阅入侵指标以了解更多信息。
展开此部分以访问以下页面
主机:使用图形、图表和交互式数据表检查与主机相关的安全事件的关键指标。
网络:浏览交互式地图,发现关键网络活动指标,并在时间线中进一步调查网络事件。
用户:访问用户数据的全面概述,以帮助您了解环境中的身份验证和用户行为。
“资产”部分允许您管理以下功能
-
- 端点:查看和管理运行 Elastic Defend 的主机。
- 策略:查看和管理 Elastic Defend 集成策略。
- 受信任的应用程序:查看和管理受信任的 Windows、macOS 和 Linux 应用程序。
- 事件过滤器:查看和管理事件过滤器,这些过滤器允许您过滤掉不需要存储在 Elasticsearch 中的端点事件。
- 主机隔离例外:查看和管理主机隔离例外,这些例外指定了即使主机被阻止访问您的网络,也可以与您的主机通信的 IP 地址。
- 阻止列表:查看和管理阻止列表,该列表允许您阻止指定的应用程序在主机上运行,从而扩展了 Elastic Defend 认为恶意的进程列表。
- 响应操作历史记录:查找对主机执行的响应操作的历史记录。
管理机器学习作业和设置。 有关更多信息,请参阅机器学习文档。
快速添加可以摄取数据并监视您的主机的安全集成。
使用其他 API 和分析工具与您的数据交互。
Elastic Stack
展开此部分以访问和管理
无服务器
展开此部分以访问和管理
辅助功能(例如键盘焦点和屏幕阅读器支持)已内置到 Elastic Security UI 中。 这些功能提供了其他导航 UI 和与应用程序交互的方式。
使用键盘与 Elastic Security UI 中的可拖动元素进行交互
按
Tab键将键盘焦点应用于表格中的元素。 或者,使用鼠标单击元素并将键盘焦点应用于它。
在具有键盘焦点的元素上按
Enter以显示其菜单,然后按Tab以将焦点顺序应用于菜单选项。 在此过程中会自动启用f、o、a、t、c热键,并提供与菜单选项交互的替代方法。
按一次空格键开始将元素拖动到其他位置,然后再次按空格键将其放下。 使用方向键在 UI 中移动元素。
如果事件具有事件渲染器,请按
Shift键和向下方向键将键盘焦点应用于事件渲染器,然后按Tab或Shift+Tab在字段之间导航。 要返回到当前行中的单元格,请按向上方向键。 要移动到下一行,请按向下方向键。
使用键盘在 Elastic Security UI 中浏览行、列和菜单选项
使用方向键在表格中向右、向左、向上和向下移动键盘焦点。
按
Tab键浏览具有多个元素的表格单元格,例如按钮、字段名称和菜单。 按Tab键会将键盘焦点按顺序应用于表格单元格中的每个元素。
使用
CTRL + Home将键盘焦点移动到行中的第一个单元格。 同样,使用CTRL + End将键盘焦点移动到行中的最后一个单元格。
使用
Page Up和Page Down键滚动页面。