可视化事件分析器
Elastic Stack 无服务器安全
Elastic Security 允许使用基于进程的可视化分析器来分析 Elastic Endpoint 检测到的任何事件,该分析器显示一个图形时间轴,其中显示了导致警报的进程以及之后立即发生的事件。在可视化事件分析器中检查事件有助于确定潜在恶意活动的来源以及环境中可能被入侵的其他区域。它还使安全分析人员能够深入研究所有相关主机、进程和其他事件,以协助他们的调查。
如果您遇到性能下降,您可以从分析器查询中排除冷层和冻结层数据。此设置仅适用于 Elastic Stack。
您只能可视化由配置了 Elastic Defend 集成或来自 winlogbeat 的任何 sysmon 数据的主机触发的事件。
在 KQL 中,这转化为任何 agent.type 设置为以下任一值的事件
endpointwinlogbeat,其中event.module设置为sysmon
查找可以进行可视化分析的事件
首先,通过执行以下操作之一来显示事件列表
通过在 KQL 搜索栏中输入以下任一查询来筛选可以进行可视化分析的事件,然后选择 输入
agent.type:"endpoint" and process.entity_id :*或者
agent.type:"winlogbeat" and event.module: "sysmon" and process.entity_id : *
可以进行可视化分析的事件用立方体 分析事件 图标表示。 选择此选项以在可视化分析器中打开该事件。 可以从 主机、警报 和 时间线 页面以及警报详细信息浮出框访问事件分析器。
注意无法分析的事件将没有可用的 分析事件 选项。 如果事件具有不兼容的字段映射,则可能会发生这种情况。
您还可以从时间线分析事件。
在可视化分析器中,每个立方体代表一个进程,例如可执行文件或网络事件。 在分析器中单击并拖动以探索所有进程关系的分层结构。
要了解用于创建进程的字段,请选择 进程树 以显示创建图形视图的架构。 包含的字段为
SOURCE: 可以是endpoint或winlogbeatID: 唯一标识节点的事件字段EDGE: 指示两个节点之间关系的事件字段
单击 图例 以显示每个进程节点的状态。
使用日期和时间筛选器在特定时间范围内分析事件。 默认情况下,所选时间范围与您从中打开警报的表的时间范围匹配。
选择其他数据视图以进一步筛选警报的相关事件。
要将分析器扩展到全屏,请选择左侧面板上方的 全屏 图标。
左侧面板包含与事件相关的所有进程的列表,从事件链的第一个进程开始。 分析的事件(您选择从事件列表或时间线分析的事件)在立方体周围用浅蓝色轮廓突出显示。
在图形视图中,您可以
- 使用最右侧的滑块放大和缩小图形视图
- 在图形视图中单击并拖动以了解更多进程关系
- 观察从父进程派生的子进程事件
- 确定每个进程之间经过了多少时间
- 识别与每个进程相关的所有事件
要了解有关每个相关进程的更多信息,请在左侧面板或图形视图中选择该进程。 左侧面板显示进程详细信息,例如
- 与该进程关联的事件数
- 执行该进程的时间戳
- 主机中进程的文件路径
process-pid- 运行该进程的用户名和域
- 任何其他相关的进程信息
- 任何关联的警报
首次选择进程时,它会显示为正在加载状态。 如果给定进程的数据加载失败,请单击该进程下方的 重新加载 {{process-name}} 以重新加载数据。
通过选择进程详细信息视图顶部的该事件的 URL 或选择图形视图中的事件药丸来访问事件详细信息。
事件根据 event.category 值进行分类。
选择 event.category 药丸时,该类别中的所有事件都会在左侧面板中列出。 要显示有关特定事件的更多详细信息,请从列表中选择它。
- 您必须拥有相应的Elastic Stack 订阅或无服务器项目层才能检查与事件关联的警报。
- 与进程关联的事件数量没有限制。
要检查与该事件关联的警报,请选择警报药丸(x 个警报)。 左侧窗格列出了关联的警报总数,警报从旧到新排序。 每个警报都显示了生成它的事件类型 (event.category)、事件时间戳 (@timestamp) 和生成警报的规则 (kibana.alert.rule.name)。 单击规则名称以打开警报的详细信息。
在下面的示例屏幕截图中,分析的事件 (lsass.exe) 生成了五个警报。 左侧窗格显示了关联的警报以及有关每个警报的基本信息。
