异常检测编辑

当您拥有相应的订阅,使用 云部署,或正在试用 免费试用版 时,机器学习 功能可用。有关更多信息,请参阅 机器学习作业和规则要求

您可以在主机、网络和关联的详细信息页面上显示的 Anomalies 表格小部件中查看检测到的异常的详细信息,甚至可以从主机和 IP 的详细信息页面概述中的 Max anomaly score by job 字段中缩小到异常的特定日期范围。这些界面还提供了将异常的详细信息拖放到时间线的功能,例如 Entity 本身或任何关联的 Influencers

管理机器学习作业编辑

如果您拥有 machine_learning_admin 角色,则可以使用 ML 作业设置 接口在 警报规则规则例外 页面上查看、启动和停止 Elastic 安全机器学习作业。

ML job settings UI on the Alerts page
管理机器学习检测规则编辑

您还可以检查机器学习检测规则的状态,并启动或停止其关联的机器学习作业。

  • 规则 页面上,上次响应 列显示规则的当前 状态。如果所需的机器学习作业未运行,也会出现一个指示器图标 (规则表中的错误图标)。单击该图标以列出受影响的作业,然后单击 访问规则详细信息页面以调查 以打开规则的详细信息页面。

    Rules table machine learning job error
  • 在规则的详细信息页面上,检查 定义 部分以确认所需的机器学习作业是否正在运行。切换开关以打开或关闭以运行或停止每个作业。

    Rule details page with ML job stopped
预构建作业编辑

Elastic 安全附带预构建的机器学习异常检测作业,用于自动检测主机和网络异常。这些作业显示在 Anomaly Detection 接口中。当以下任一条件满足时,它们可用

  • 您使用 BeatsElastic Agent 发送数据,并且 Kibana 配置了所需的索引模式(例如 auditbeat-*filebeat-*packetbeat-*winlogbeat-*Kibana堆栈管理数据视图 中)。

或者

  • 您发送的数据符合 ECS 规范,并且 Kibana 配置了在 Kibana堆栈管理数据视图 中发送的数据的索引模式。

或者

预构建作业参考 描述了所有可用的机器学习作业,并列出了当您未使用 Beats 或 Elastic Agent 发送数据时,主机上所需的 ECS 字段。有关调整异常结果以减少误报数量的信息,请参阅 优化异常结果

机器学习作业会回顾并分析启用之前两周的历史数据。启用作业后,它们会持续分析传入数据。如果作业在两周时间范围内停止并重新启动,则之前分析的数据不会再次处理。

查看检测到的异常编辑

要查看 Anomalies 表格小部件和 Max Anomaly Score By Job 详细信息,用户必须具有 machine_learning_adminmachine_learning_user 角色。

要调整确定显示哪些异常的 score 阈值,您可以修改 Kibana堆栈管理高级设置securitySolution:defaultAnomalyScore