威胁地图
编辑威胁地图
编辑威胁地图仪表板使用定向路径和动画可视化区域之间的网络流量流。它包括指示方向的箭头和目标位置的脉冲弧线。
动画可能会增加浏览器 CPU 使用率。
先决条件
编辑要使用威胁地图仪表板,请确保以下事项
-
时间戳字段:文档必须包含
@timestamp字段才能进行时间范围筛选。 -
GeoIP 处理器:将 GeoIP 处理器应用于 IP 字段。生成的文档应包含
source.geo和destination.geo字段。-
以下是一个提取管道示例,该管道根据
ip字段将地理信息添加到geo字段。PUT _ingest/pipeline/geoip { "description" : "Add ip geolocation info", "processors" : [ { "geoip" : { "field" : "source.ip", "target_field" : "source.geo" } }, { "geoip" : { "field" : "destination.ip", "target_field" : "destination.geo" } } ] }
-
-
数据视图:使用通过
logs-*数据视图访问的文档。
数据格式
编辑数据使用 _all 索引搜索端点从 Elasticsearch 中检索。确保每个文档中都存在以下字段
| 字段 | 描述 | 必需/可选 | 默认值 |
|---|---|---|---|
|
源的纬度 |
必需 |
|
|
源的经度 |
必需 |
|
|
源的国家/地区名称 |
必需 |
|
|
源的 IP 地址 |
必需 |
|
|
目标的纬度 |
必需 |
|
|
目标的经度 |
必需 |
|
|
目标的国家/地区名称 |
必需 |
|
|
目标的 IP 地址 |
必需 |
|
|
弧线颜色 |
可选 |
|
|
确定弧线是否动画显示 |
可选 |
|
|
弧线粗细 |
可选 |
|
|
源位置的标签 |
可选 |
|
|
目标位置的标签 |
可选 |
|
|
如果为 true,则脉冲从源开始而不是目标开始 |
可选 |
|
可以使用
自定义管道添加或修改这些字段。阅读更多。
使用
编辑可以通过两种方式将威胁地图可视化添加到其他仪表板
1. 复制仪表板
编辑- 单击仪表板右上角的复制按钮。
- 将创建一个仪表板克隆,供您自定义。
2. 将可视化复制到仪表板
编辑- 单击可视化右上角的三个点,然后选择复制到仪表板。
-
选择以下选项之一
- 现有仪表板:从下拉列表中选择一个现有仪表板,然后单击复制并转到仪表板。
- 新仪表板:创建一个包含可视化的新仪表板。
[role="screenshot"]
编辑
可视化
编辑威胁地图仪表板包括以下可视化
1. 地图
编辑2. 面板
编辑包括四个用于分析流量流的表
- 源/目标国家/地区:显示流量最高的 5 个国家/地区。
- 源/目标 IP:显示流量最高的 5 个 IP。
可以通过单击计数列标题对面板中的数据进行排序。
筛选数据
编辑全局筛选器
编辑- 在仪表板顶部的查询栏中使用 KQL(Kibana 查询语言)。
- 使用右上角的选择器调整时间范围(默认:最近 30 分钟)。
- 显示的最大记录数:10,000。
特定于可视化的筛选器
编辑- 单击地图右上角的三个点,然后选择编辑可视化。
- 使用查询栏应用筛选器。
- 单击保存并返回以应用更改。
[role="screenshot"]
编辑
自定义选项
编辑以下选项可用于自定义
| 选项 | 描述 | 默认值 |
|---|---|---|
|
设置地图的 EMS 层。 |
|
|
地图的起始纬度 |
|
|
地图的起始经度 |
|
|
地图的起始缩放级别 |
|
|
如果为 true,则禁用鼠标滚轮缩放以避免意外缩放 |
|
要自定义这些选项,请从可视化右上角的下拉列表中单击编辑可视化。将打开一个 Vega 编辑器,您可以在其中修改以下配置。
有关其他自定义选项,请参阅Vega Kibana 指南。
[role="screenshot"]
编辑
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
0.1.0 |
增强功能 (查看拉取请求) |
— |