时间线
Elastic Stack 无服务器安全
使用时间线作为您进行调查和威胁搜寻的工作区。您可以将来自多个索引的警报添加到时间线,以促进高级调查。
您可以将感兴趣的字段拖动或发送到时间线,以创建所需的查询。例如,您可以从概览、警报、主机和网络页面以及其他时间线上的表格和直方图中添加字段。或者,您可以通过展开查询构建器并单击+ 添加字段,直接在时间线中添加查询。
除了时间线,您还可以创建时间线模板并将其附加到检测规则。时间线模板允许您定义在时间线中调查警报时使用的源事件字段。您可以选择字段是使用预定义的值还是从警报中检索的值。有关更多信息,请参阅时间线模板。
您可以通过设置 安全 下的 时间线 功能的 Kibana 权限来控制对时间线的访问。
要创建新的时间线,请选择以下选项之一
- 在主菜单中找到 时间线,或使用 全局搜索字段,然后单击 创建新的时间线。
- 转到时间线栏(位于大多数页面的底部),单击
按钮,然后单击 创建新的时间线模板。 - 从打开的时间线或时间线模板中,单击 新建 → 新建时间线。
要打开现有时间线,请选择以下选项之一
- 转到时间线页面,然后单击时间线的标题。
- 转到时间线栏,单击 按钮,然后单击 打开时间线。
- 从打开的时间线或时间线模板中,单击 打开,然后选择适当的时间线。
为了避免丢失更改,您必须先保存时间线,然后才能移动到不同的 Elastic Security 应用程序页面。 如果您更改了现有时间线,则可以使用 另存为新时间线 开关来创建时间线的新副本,而不会覆盖原始时间线。
单击星形图标 (
) 以收藏您的时间线,以便以后快速找到它。
您可以选择时间线是显示检测警报和其他原始事件,还是仅显示警报。 默认情况下,时间线同时显示原始事件和警报。 要隐藏原始事件并仅显示警报,请单击 KQL 查询栏左侧的 数据视图,然后选择 仅显示检测警报。
要进一步检查事件或检测警报,请单击 查看详细信息 按钮。 将出现一个包含事件或 警报详细信息的弹出窗口。
许多类型的事件会自动出现在提供相关上下文信息的预配置视图中,称为 事件渲染器。 默认情况下,所有事件渲染器都已关闭。 要打开它们,请使用结果窗格顶部的 事件渲染器 开关。 要仅打开特定的事件渲染器,请单击开关旁边的齿轮 (
) 图标,然后选择要启用的事件渲染器。 完成后,关闭 自定义事件渲染器 窗格。 您的更改会自动应用于时间线。
上面的示例显示了流程事件渲染器,该渲染器突出显示了数据在其源和目标之间的移动。 如果您看到渲染事件的某个特定部分让您感兴趣,则可以将其拖到查询栏下方的放置区以进行进一步调查。
您还可以通过其他方式修改时间线的显示
- 在时间线中添加和删除字段
- 创建 运行时字段并在时间线中显示它们
- 重新排序和调整列大小
- 将列名或值复制到剪贴板
- 更改字段的名称、值或描述在时间线中的显示方式
- 以全屏模式查看时间线
- 添加或删除附加到警报、事件或时间线的注释
- 将有趣的事件固定到时间线
时间线表显示所选数据视图中可用于警报和事件的字段。 您可以修改表以显示您感兴趣的字段。 使用侧边栏搜索特定字段或滚动浏览它以查找感兴趣的字段。 您选择的字段将显示为表中的列。
要从侧边栏添加字段,请将鼠标悬停在其上,然后单击 将字段添加为列 按钮 (
),或将字段拖放到表中。 要删除字段,请将鼠标悬停在其上,然后单击 删除字段作为列 按钮 (
)。
通过单击 KQL 查询栏右侧的查询构建器按钮 (
) 来展开查询构建器。 放入字段以构建过滤时间线结果的查询。 这些字段的相对位置指定了它们的逻辑关系:水平相邻的过滤器使用 AND,而垂直相邻的过滤器使用 OR。
通过单击查询构建器按钮 () 来折叠查询构建器,并为时间线结果提供更多空间。
单击过滤器以访问其他操作,例如 添加过滤器、全部清除、加载已保存的查询 等
以下是各种类型过滤器的示例
- 具有值的字段
-
筛选具有指定字段值的事件
- 字段存在
-
筛选包含指定字段的事件
- 排除结果
-
筛选不包含指定字段值(
具有值的字段过滤器)或指定字段(字段存在过滤器)的事件
- 暂时禁用
-
在再次启用之前,过滤器不会在查询中使用
- 筛选字段是否存在
- 将
具有值的字段过滤器转换为字段存在过滤器。
要将时间线附加到新的或现有的案例,请打开它,单击右上角的 附加到案例 ,然后选择 附加到新案例 或 附加到现有案例 。
要了解有关案例的更多信息,请参阅案例。
您可以从现有的时间线查看、复制、导出、删除和创建模板。
在导航菜单中找到 时间线,或使用全局搜索字段。
单击所需行中的 所有操作 菜单,然后选择一个操作。
要对多个时间线执行操作,请首先选择时间线,然后从 批量操作 菜单中选择一个操作。
您可以导出和导入时间线,这使您可以将时间线从一个空间或 Elastic Security 实例共享到另一个。导出的时间线保存为 .ndjson 文件。
导出时间线的方法
- 在导航菜单中找到 时间线,或使用全局搜索字段。
- 单击相关行中的 所有操作 菜单并选择 导出所选 ,或选择多个时间线,然后单击 批量操作 → 导出所选 。
导入时间线的方法
单击 导入 ,然后选择或拖放相关的
.ndjson文件。注意多个时间线对象用换行符分隔。
使用 关联 选项卡,通过 EQL 查询 来调查时间线结果。
编写 EQL 查询时,您可以编写基本查询以返回事件和警报的列表。或者,您可以创建 EQL 查询序列,以查看跨多个事件类别匹配的、已排序的事件。序列查询对于识别和预测相关事件非常有用。它们还可以提供您环境中潜在对手行为的更完整画面,您可以用来创建或更新规则和检测警报。
下图显示了时间线表格中匹配的已排序事件的外观。属于同一序列的事件在组中匹配在一起,并以红色或蓝色阴影显示。匹配的事件也在每个序列中从旧到新排序。
从 关联 选项卡中,您还可以执行以下操作:
- 指定您要调查的日期和时间范围。
- 重新排序列并选择要显示的字段。
- 选择数据视图以及是否仅显示检测警报。
ES|QL 默认在 Kibana 中启用。可以使用高级设置中的 enableESQL 设置禁用它。这将从各种应用程序中隐藏 ES|QL 用户界面。但是,用户将能够访问现有的 ES|QL 项目,如保存的搜索和可视化。
Elasticsearch 查询语言 (ES|QL) 提供了一种强大的方法来过滤、转换和分析存储在 Elasticsearch 中的事件数据。 ES|QL 查询使用“管道”以逐步方式操作和转换数据。 这种方法允许您组合一系列操作,其中一个操作的输出成为下一个操作的输入,从而实现复杂的数据转换和分析。
您可以通过打开 ES|QL 选项卡在时间线中使用 ES|QL。 从那里,您可以:
编写 ES|QL 查询以探索您的事件。 例如,从以下查询开始,然后对其进行迭代以定制您的结果:
FROM .alerts-security.alerts-default,apm-*-transaction*,auditbeat-*,endgame-*,filebeat-*,logs-*,packetbeat-*,traces-apm*,winlogbeat-*,-*elastic-cloud-logs-* | LIMIT 10 | KEEP @timestamp, message, event.category, event.action, host.name, source.ip, destination.ip, user.name此查询执行以下操作:
它首先查询安全警报索引(
.alerts-security.alerts-default)和安全数据视图中指定的索引中的文档。然后,该查询将输出限制为前 10 个结果。
最后,它保留输出中的默认时间线字段(
@timestamp、message、event.category、event.action、host.name、source.ip、destination.ip和user.name)。提示查询往往很大的索引(例如,
logs-*)时,性能可能会受到输出中返回的字段数量的影响。 为了优化性能,我们建议使用KEEP命令来指定要返回的字段。 例如,在查询末尾添加子句KEEP @timestamp, user.name,以指定您只想返回@timestamp和user.name字段。
- 当查询栏为空时,会显示一条错误消息。
- 为 ES|QL 查询指定数据源时,自动完成不会建议隐藏索引,例如
.alerts-*。 您必须手动输入索引名称或模式。
- 单击查询编辑器最右侧的帮助图标(
)以打开产品内的参考文档,其中包含所有 ES|QL 命令和函数。 - 使用 Discover 功能可视化查询结果。
要开始使用 ES|QL,请阅读在 Kibana 中使用 ES|QL的教程。 Kibana 中提供的许多功能在时间线中也可用。
要查找使用 ES|QL 进行威胁搜寻的示例,请查看我们的博客。