网络页面
编辑网络页面编辑
网络页面以交互式地图的形式提供关键的网络活动指标,以及可与时间轴交互的网络事件表。您可以将感兴趣的项目从网络视图拖放到时间轴以进行进一步调查。
地图编辑
地图提供网络流量的交互式可视化概览。将鼠标悬停在源点和目标点上可显示更多信息,例如主机名和 IP 地址。
要访问交互式地图,您需要拥有 读取 或 所有 地图的权限(Kibana 权限 → 分析 → 地图)。要详细了解地图设置,请参阅 配置网络地图数据。
有几种方法可以深入了解
- 单击某个点,将鼠标悬停在主机名或目标 IP 上,然后使用筛选器图标将字段添加到筛选器栏。
- 将字段从地图拖放到时间轴。
- 单击主机名以转到主机页面。
- 单击 IP 地址以打开其详细信息页面。
您可以使用地图开始调查,并且当您运行查询或更新时间范围时,地图会刷新以显示相关数据。
要添加和删除图层,请单击地图右上角的 选项 菜单(…)。
小部件和数据表编辑
交互式小部件可让您深入了解更深入的见解
- 网络事件
- DNS 查询
- 唯一流 ID
- TLS 握手
- 唯一私有 IP
还有一些选项卡用于查看和调查特定类型的数据
- 事件:所有网络事件。要显示从外部监控工具接收到的警报,请向下滚动到事件表,然后选择右侧的 仅显示外部警报。
- 流:源和目标 IP 地址和国家/地区。
- DNS:DNS 网络查询。
- HTTP:接收到的 HTTP 请求(默认情况下会监控使用 Elastic APM 的应用程序的 HTTP 请求)。
- TLS:握手详细信息。
- 异常:机器学习作业 发现的异常。
“事件”表包含内联操作和多个自定义选项。要详细了解您可以使用这些表中的数据执行的操作,请参阅 管理检测警报。
IP 详细信息页面编辑
IP 的详细信息页面显示所选 IP 地址的相关网络信息。
要查看 IP 的详细信息页面,请从“源 IP”或“目标 IP”表中单击其 IP 地址链接。
IP 的详细信息页面包含以下部分
-
摘要:常规详细信息,例如位置、首次和最后一次看到 IP 地址的时间、关联的主机 ID 和主机名,以及用于验证 IP 地址信誉的外部站点链接。
默认情况下,外部站点为 Talos 和 VirusTotal。请参阅 在 IP 详细信息页面上显示信誉链接 以了解如何配置 IP 信誉链接。
-
警报指标:按严重性、规则和状态(
打开、已确认或已关闭)分类的警报总数。 - 数据表:与主网络页面上的数据表相同,只是使用所选 IP 地址的值而不是所有 IP 地址的值。
