加载中

Elastic Security UI

Elastic Stack Serverless Security

Elastic Security 应用是一个高度交互式的工作区,专为安全分析师设计,可提供对您环境中事件和警报的清晰概览。您可以使用交互式 UI 深入钻取感兴趣的区域。

通过在应用的每个页面的顶部搜索栏中输入 Kibana 查询语言 (KQL) 查询,来过滤警报、事件、进程和其他重要的安全数据。默认启用的日期/时间过滤器设置为“今天”,但可以更改为任何时间范围。

search bar
  • 要优化搜索结果,请选择“添加过滤器”( 添加过滤器图标 ),然后输入过滤器字段、运算符(例如“不等于”或“介于之间”)和值。
  • 要保存当前的 KQL 查询和所有应用的过滤器,请选择“保存的查询菜单”( 保存的查询菜单图标 ),输入保存的查询名称,然后选择“保存已保存的查询”。

导航菜单包含直接链接和可展开组,由组图标 (组图标) 标识。

  • 点击顶级链接可直接进入其着陆页,其中包含相关页面的链接和信息。
  • 点击组的图标 (组图标) 可打开其弹出菜单,其中显示该组内相关页面的链接。点击弹出菜单中的链接可导航到其着陆页。
  • 点击“折叠侧边导航”图标 (侧边菜单折叠图标) 可折叠和展开主导航菜单。

在许多 Elastic Security 直方图、图表和表格中,当您将鼠标悬停在上面时,会显示“检查”按钮 (检查图标)。点击可检查用于检索整个应用数据的 Elasticsearch 查询。

Inspect icon

其他可视化会显示一个选项菜单 (三点菜单图标),允许您检查可视化查询、将其添加到新案例或现有案例,或在 Lens 中打开以进行自定义。

Options menu opened

在整个 Elastic Security 应用中,您可以将鼠标悬停在许多数据字段和值上以显示内联操作,这些操作允许您自定义视图或基于该字段或值进行进一步调查。

Inline additional actions menu

在某些可视化中,可以通过点击值的选项图标 (垂直三点图标) 在图例中访问这些操作。

Actions in a visualization legend

内联操作包括以下内容(某些操作在某些上下文中不可用)

  • 过滤器包含:添加一个包含所选值的过滤器。
  • 过滤器排除:添加一个排除所选值的过滤器。
  • 添加到时间轴:为所选值添加到时间轴的过滤器。
  • 在表中切换列:将所选字段添加或移除为警报或事件表中的列。(此操作仅在警报或事件详细信息弹出窗口中可用。)
  • 显示前 x 个:显示一个弹出窗口,其中显示所选字段的前 N 个事件或检测警报。
  • 复制到剪贴板:复制所选字段-值对以粘贴到其他位置。

Elastic Security 应用页面

Elastic Security 应用包含以下页面,使分析师能够查看、分析和管理安全数据。

使用 Discover UI 来过滤您的数据或了解其结构。

仪表板

展开此部分以访问以下仪表板,这些仪表板提供交互式可视化以总结您的数据

  • 概览
  • 检测与响应
  • Kubernetes (在 Elastic Stack 中)
  • 云安全态势
  • 云原生漏洞管理
  • 实体分析
  • 数据质量。

您还可以创建和查看自定义仪表板。有关更多信息,请参阅 仪表板

规则

展开此部分以访问以下页面

  • 规则:创建和管理规则以监控可疑事件。

  • 基准:查看、设置或配置云安全基准。

  • 共享例外列表:查看和管理规则例外和共享例外列表。

  • MITRE ATT&CK® 覆盖率:根据安装的规则,查看您对 MITRE ATT&CK® 策略和技术的覆盖率。

警报

查看和管理警报以监控您网络内的活动。有关更多信息,请参阅 检测和警报

Findings

识别云基础设施中的错误配置和漏洞。有关设置说明,请参阅 云安全态势管理Kubernetes 安全态势管理云原生漏洞管理

案例

打开并跟踪安全问题。有关更多信息,请参阅 案例

展开此部分以访问以下页面

  • 时间轴:调查网络中的警报和复杂威胁(如横向移动)。时间轴是交互式的,允许您与其他团队成员分享您的发现。

    提示

    点击 Elastic Security 应用底部的“时间轴”按钮开始调查。

  • Osquery:部署 Osquery 并使用 Elastic Agent,然后运行和安排查询。

情报

情报部分包含“指标”页面,该页面收集来自已启用威胁情报源的数据,并提供指标(IoCs)的集中视图。有关更多信息,请参阅 泄露指标

探索

展开此部分以访问以下页面

  • 主机:使用图表、图形和交互式数据表检查与主机相关的安全事件的关键指标。

  • 网络:探索交互式地图以发现关键网络活动指标,并在时间轴中进一步调查网络事件。

  • 用户:访问全面的用户数据概览,以帮助您了解环境中身份验证和用户行为。

资产部分允许您管理以下功能

  • Fleet

  • 终端保护

    • 终端:查看和管理运行 Elastic Defend 的主机。
    • 策略:查看和管理 Elastic Defend 集成策略。
    • 受信任的应用程序:查看和管理 Windows、macOS 和 Linux 的受信任应用程序。
    • 事件过滤器:查看和管理事件过滤器,这允许您过滤掉您不想存储在 Elasticsearch 中的终端事件。
    • 主机隔离例外:查看和管理主机隔离例外,这些例外指定了即使主机被阻止与您的网络通信,也可以与其通信的 IP 地址。
    • 阻止列表:查看和管理阻止列表,它允许您阻止指定应用程序在主机上运行,从而扩展了 Elastic Defend 认为恶意进程的列表。
    • 响应操作历史记录:查找在主机上执行的响应操作的历史记录。

  • 云安全

管理机器学习作业和设置。有关更多信息,请参阅 机器学习文档

入门

快速添加可以摄取数据和监控主机的安全集成。

使用其他 API 和分析工具与您的数据进行交互。

管理

Elastic Stack

展开此部分以访问和管理

Serverless

展开此部分以访问和管理

Elastic Security UI 内置了辅助功能,如键盘焦点和屏幕阅读器支持。这些功能提供了导航 UI 和与应用程序交互的附加方式。

使用键盘与 Elastic Security UI 中的可拖动元素进行交互

  • Tab 键将键盘焦点应用到表中的元素。或者,使用鼠标单击元素以应用键盘焦点。

    timeline accessiblity keyboard focus

  • 在具有键盘焦点的元素上按 Enter 可显示其菜单,按 Tab 可按顺序将焦点应用于菜单选项。在此过程中,会自动启用 foatc 热键,它们提供了与菜单选项交互的替代方法。

    timeline accessiblity keyboard focus hotkeys

  • 按空格键一次开始将元素拖动到另一个位置,再按一次将其放下。使用方向箭头在 UI 中移动元素。

    timeline ui accessiblity drag n drop

  • 如果事件有事件渲染器,请按 Shift 键和向下方向箭头将键盘焦点应用到事件渲染器,按 TabShift + Tab 在字段之间导航。要返回到当前行中的单元格,请按向上方向箭头。要移至下一行,请按向下方向箭头。

    timeline accessiblity event renderers

使用键盘在 Elastic Security UI 的行、列和菜单选项中导航

  • 使用方向箭头在表中向右、向左、向上和向下移动键盘焦点。

    timeline accessiblity directional arrows

  • Tab 键可在包含多个元素(如按钮、字段名和菜单)的表单元格中导航。按下 Tab 键会按顺序将键盘焦点应用到表单元格中的每个元素。

    timeline accessiblity tab keys

  • 使用 CTRL + Home 将键盘焦点移至行中的第一个单元格。同样,使用 CTRL + End 将键盘焦点移至行中的最后一个单元格。

    timeline accessiblity shifting keyboard focus

  • 使用 Page UpPage Down 键滚动浏览页面。

    timeline accessiblity page up n down
© . This site is unofficial and not affiliated with Elasticsearch BV.