主机页面
编辑主机页面编辑
主机页面提供了所有主机和与主机相关的安全事件的全面概述。关键绩效指标 (KPI) 图表、数据表和交互式小部件使您可以查看特定数据、深入挖掘以获得更深入的见解以及与时间线交互以进行进一步调查。
主机页面包含以下部分
主机 KPI (关键绩效指标) 图表编辑
KPI 图表显示了在日期选择器中指定的时间范围内主机和唯一 IP 的指标。这些数据使用线性图或条形图进行可视化。
将鼠标悬停在 KPI 图表内部以显示操作菜单 (…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新案例或现有案例。
数据表编辑
KPI 图表下方是数据表,按各个选项卡分类,这些选项卡有助于查看和调查特定类型的数据。选择相关选项卡以查看以下数据
事件 和 会话 选项卡中的表包含内联操作和一些自定义选项。要详细了解您可以使用这些表中的数据执行的操作,请参考 管理检测警报。
主机详细信息页面编辑
主机的详细信息页面显示了所选主机的所有相关信息。要查看主机的详细信息页面,请在 所有主机 表中点击其 主机名称 链接。
主机详细信息页面包含以下部分
主机详细信息弹出窗口编辑
除了主机详细信息页面外,相关的主机信息还可以在 Elastic Security 应用程序中的主机详细信息弹出窗口中找到。您可以从以下位置访问此弹出窗口
- 警报页面,通过点击警报中的主机名称
- 实体分析仪表板,通过点击主机风险评分表中的主机名称
- 用户和用户详细信息页面上的 事件 选项卡,通过点击事件表中的主机名称
- 用户详细信息页面上的 用户风险 选项卡,通过点击最高风险评分贡献者表中的主机名称
- 主机和主机详细信息页面上的 事件 选项卡,通过点击事件表中的主机名称
- 主机详细信息页面上的 主机风险 选项卡,通过点击最高风险评分贡献者表中的主机名称
主机详细信息弹出窗口包含以下部分
主机风险摘要编辑
主机风险摘要 部分包含一个风险摘要可视化和表格。
风险摘要可视化显示主机风险评分和主机风险级别。将鼠标悬停在可视化上以显示 选项 菜单。使用此菜单检查可视化查询、将其添加到新案例或现有案例、将其保存到可视化库或将其打开到 Lens 中进行自定义。
风险摘要表格显示类别、评分以及决定主机风险评分的风险输入数量。将鼠标悬停在表格上以显示 检查 按钮,它允许您检查表格的查询。
要展开 主机风险摘要 部分,请点击 查看风险贡献。左面板显示有关主机的风险输入的更多详细信息
- 最新风险评分计算的资产关键性级别和贡献评分。
- 导致最新风险评分计算的排名前 10 的警报,以及每个警报的贡献评分。
如果超过 10 个警报导致风险评分计算,则剩余警报的聚合贡献评分将显示在 警报 表格下方。
资产关键性编辑
资产关键性 部分显示所选主机的 资产关键性级别。资产关键性有助于整体 主机风险评分。关键性级别定义了在计算风险评分时主机的影响力。
点击 分配 为所选主机分配关键性级别,或点击 更改 更改当前分配的关键性级别。
观察到的数据编辑
此部分显示详细信息,例如主机 ID、主机首次和最后出现的时间、关联的 IP 地址和操作系统,以及相关的 Endpoint 集成策略信息。
