« 调查 关于时间线模板 »
Elastic 文档 Elastic 安全解决方案 [8.14] 调查

在时间线中调查事件

编辑

在时间线中调查事件编辑

将时间线用作调查和威胁狩猎的工作空间。您可以将来自多个索引的警报添加到时间线以促进高级调查。

您可以将感兴趣的字段拖动或发送到时间线以创建所需的查询。例如,您可以从概述警报主机网络页面以及其他时间线上的表格和直方图中添加字段。或者,您也可以通过扩展查询构建器并单击+ 添加字段来直接在时间线中添加查询。

example Timeline with several events

除了时间线外,您还可以创建时间线模板并将其附加到检测规则。时间线模板允许您定义在时间线中调查警报时使用的源事件字段。您可以选择字段使用预定义的值还是从警报中检索的值。有关更多信息,请参阅关于时间线模板

创建新的或打开现有的时间线编辑

要创建一个新的时间线,请选择以下选项之一

  • 转到时间线,然后单击创建新的时间线
  • 转到时间线栏(位于大多数页面的底部),单击单击添加新按钮按钮,然后单击创建新的时间线模板
  • 从打开的时间线或时间线模板中,单击新建新建时间线

要打开现有的时间线,请选择以下选项之一

  • 转到时间线页面,然后单击时间线的标题。
  • 转到时间线栏,单击单击添加新按钮按钮,然后单击打开时间线
  • 从打开的时间线或时间线模板中,单击打开,然后选择一个时间线。

为了避免丢失更改,请在移动到其他 Elastic 安全应用程序页面之前保存时间线。如果您更改了现有的时间线,则可以使用另存为新时间线切换以创建时间线的副本,而不会覆盖原始时间线。

单击星形图标(单击收藏图标)以收藏您的时间线并稍后快速找到它。

查看和优化时间线结果编辑

您可以选择时间线是显示检测警报和其他原始事件,还是只显示警报。默认情况下,时间线显示原始事件和警报。要隐藏原始事件并仅显示警报,请单击 KQL 查询栏左侧的数据视图,然后选择仅显示检测警报

检查事件或警报编辑

要进一步检查事件或检测警报,请单击查看详细信息按钮。将出现包含事件或警报详细信息的弹出窗口。

配置时间线事件上下文和显示编辑

许多类型的事件会自动出现在预配置视图中,这些视图提供相关的上下文信息,称为事件渲染器。您可以使用结果窗格左上角的“设置”菜单显示和打开或关闭它们

example timeline with the event renderer highlighted

上面的示例显示了“流量”事件渲染器,它突出显示了数据在其源和目标之间移动的过程。如果您看到渲染的事件的某个特定部分,您可以将其拖动到查询栏下方的放置区域以进行进一步调查。

您也可以通过其他方式修改时间线的显示

  • 添加、删除、重新排序或调整列大小
  • 创建运行时字段并在时间线中显示它们
  • 以全屏模式查看时间线
  • 在单个事件上添加或删除注释
  • 在整个时间线上添加或删除调查注释
  • 将有趣的事件固定到时间线

使用时间线查询构建器编辑

通过单击 KQL 查询栏右侧的查询构建器按钮(单击查询构建器按钮)来扩展查询构建器。放入字段以构建过滤时间线结果的查询。字段的相对位置指定了它们的逻辑关系:水平相邻的过滤器使用AND,而垂直相邻的过滤器使用OR

通过单击查询构建器按钮(单击查询构建器按钮)来折叠查询构建器,为时间线结果提供更多空间。

编辑现有过滤器编辑

单击过滤器以访问其他操作,例如添加过滤器清除所有加载保存的查询

timeline ui filter options

以下是各种类型过滤器的示例

带有值的字段

过滤具有指定字段值的事件

timeline filter value
字段存在

过滤包含指定字段的事件

timeline field exists
排除结果

过滤不包含指定字段值(带有值的字段过滤器)或指定字段(字段存在过滤器)的事件

timeline filter exclude
临时禁用

该过滤器不会在查询中使用,直到再次启用它

timeline disable filter
过滤存在字段
带有值的字段过滤器转换为字段存在过滤器。

当您将时间线模板转换为时间线时,某些字段可能被禁用。有关更多信息,请参阅时间线模板图例

将时间线附加到案例编辑

要将时间线附加到新的或现有的案例,请打开它,单击右上角的附加到案例,然后选择附加到新的案例附加到现有的案例

要了解有关案例的更多信息,请参阅案例

管理现有的时间线编辑

您可以查看、复制、导出、删除现有的时间线,并从现有的时间线创建模板

  1. 转到时间线

  2. 单击所需行中的所有操作菜单,然后选择一个操作

    • 从时间线创建模板(请参阅关于时间线模板
    • 复制时间线
    • 导出所选(请参阅导出和导入时间线
    • 删除所选
    • 从时间线创建查询规则(仅在时间线包含 KQL 查询时可用)
    • 从时间线创建 EQL 规则(仅在时间线包含 EQL 查询时可用)

要对多个时间线执行操作,请先选择时间线,然后从批量操作菜单中选择一个操作。

导出和导入时间线编辑

您可以导出和导入时间线,这使您能够从一个 Kibana 空间或实例共享时间线到另一个空间或实例。导出的时间线将保存为.ndjson文件。

要导出时间线

  • 转到时间线
  • 单击相关行中的所有操作菜单并选择导出所选,或者选择多个时间线,然后单击批量操作导出所选

要导入时间线

  • 单击导入,然后选择或拖放相关的.ndjson文件。

    多个时间线对象用换行符分隔。

使用 EQL 过滤时间线结果编辑

使用关联选项卡使用EQL 查询调查时间线结果。

在形成 EQL 查询时,您可以编写一个基本查询以返回事件和警报列表。或者,您可以创建一系列 EQL 查询以查看跨多个事件类别匹配的排序事件。序列查询对于识别和预测相关事件很有用。它们还可以提供对环境中潜在攻击者行为的更完整了解,您可以使用它们创建或更新规则和检测警报。

下图显示了时间线表中匹配的排序事件的外观。属于同一序列的事件在组中匹配并以红色或蓝色阴影显示。匹配的事件还在每个序列中按从旧到新的顺序排序。

a Timeline’s correlation tab

关联选项卡中,您还可以执行以下操作

  • 指定要调查的日期和时间范围。
  • 重新排序列并选择要显示的字段。
  • 选择数据视图,以及是否仅显示检测警报。

使用 ES|QL 调查事件编辑

ES|QL 在 Kibana 中默认启用。它可以使用高级设置中的enableESQL设置禁用。这将隐藏各种应用程序中的 ES|QL 用户界面。但是,用户将能够访问现有的 ES|QL 工件,例如保存的搜索和可视化。

Elasticsearch 查询语言 (ES|QL) 提供了一种强大的方法来过滤、转换和分析存储在 Elasticsearch 中的事件数据。ES|QL 查询使用“管道”以逐步的方式操作和转换数据。这种方法允许您组合一系列操作,其中一个操作的输出成为下一个操作的输入,从而实现复杂的数据转换和分析。

您可以在时间线中使用 ES|QL,方法是打开 ES|QL 选项卡。从那里,您可以

  • 编写 ES|QL 查询来探索您的事件。例如,从以下查询开始,然后对其进行迭代以调整您的结果

    FROM .alerts-security.alerts-default,apm-*-transaction*,auditbeat-*,endgame-*,filebeat-*,logs-*,packetbeat-*,traces-apm*,winlogbeat-*,-*elastic-cloud-logs-*
| LIMIT 10
| KEEP @timestamp, message, event.category, event.action, host.name, source.ip, destination.ip, user.name

    此查询执行以下操作

    • 它首先查询 Security 警报索引 (.alerts-security.alerts-default) 和安全数据视图中指定的索引。 安全数据视图.
    • 然后,查询将输出限制为前 10 个结果。

    • 最后,它保留默认的时间线字段 (@timestamp, message, event.category, event.action, host.name, source.ip, destination.ipuser.name) 在输出中。

      当查询通常很大的索引(例如 logs-*)时,输出中返回的字段数量可能会影响性能。为了优化性能,我们建议使用 KEEP 命令来指定您想要返回的字段。例如,在查询的末尾添加子句 KEEP @timestamp, user.name 以指定您只希望返回 @timestampuser.name 字段。

当查询栏为空时,将显示错误消息。

  • 单击查询编辑器最右侧的帮助图标 (单击 ES|QL 参考按钮) 以打开所有 ES|QL 命令和函数的产品内参考文档。
  • 使用 Discover 功能可视化查询结果。
a Timeline’s ES|QL tab

其他 ES|QL 资源编辑

要开始使用 ES|QL,请阅读有关 在 Kibana 中使用 ES|QL 的教程。Kibana 中提供的许多功能也适用于时间线。

要查找有关使用 ES|QL 进行威胁狩猎的示例,请查看 我们的博客

« 调查 关于时间线模板 »