用户页面
编辑用户页面编辑
用户页面提供用户数据的综合概述,以帮助您了解环境中的身份验证和用户行为。关键绩效指标 (KPI) 图表、数据表和交互式小部件可让您查看特定数据并深入挖掘以获取更深入的见解。
用户页面包含以下部分
用户 KPI(关键绩效指标)图表编辑
KPI 图表显示在日期选择器中指定的时间范围内,用户总数以及用户身份验证成功和失败次数。KPI 图表中的数据通过线性和条形图进行可视化。
将鼠标悬停在 KPI 图表内以显示操作菜单(…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新案例或现有案例中。
数据表编辑
在 KPI 图表下方是数据表,这些数据表有助于查看和调查特定类型的数据。选择相关的选项卡以查看以下详细信息
-
事件:包含
user.name字段的已摄取事件。您可以按event.action、event.dataset或event.module字段进行堆叠。要显示从外部监控工具接收的警报,请向下滚动到事件表并选择右侧的 仅显示外部警报。 - 所有用户:唯一用户名的按时间顺序排列的列表,以及他们的最后活动时间和关联的域。
- 身份验证:用户身份验证事件和关联详细信息(例如成功和失败次数以及最后一个成功目标的主机名)的按时间顺序排列的列表。
- 异常:机器学习作业发现的包含用户数据的异常活动。
- 用户风险:每个用户的最新记录的用户风险评分及其用户风险分类。此功能需要 铂金订阅 或更高版本,并且必须启用才能显示数据。点击 启用 在 用户风险 选项卡上开始使用。要了解更多信息,请参阅我们的 用户风险评分文档。
事件表包含内联操作和多个自定义选项。要详细了解您可以在这些表中的数据上执行的操作,请参阅 管理检测警报。
用户详细信息页面编辑
用户的详细信息页面显示了所选用户的全部相关信息。要查看用户的详细信息页面,请从 所有用户 表中点击其 用户名 链接。
用户详细信息页面包含以下部分
用户详细信息浮动窗口编辑
除了用户详细信息页面外,相关用户信息还可以在整个 Elastic Security 应用程序的用户详细信息浮动窗口中找到。您可以从以下位置访问此浮动窗口
- 警报页面,通过点击警报表中的用户名
- 实体分析仪表板,通过点击用户风险评分表中的用户名
- 用户和用户详细信息页面上的 事件 选项卡,通过点击事件表中的用户名
- 用户详细信息页面上的 用户风险 选项卡,通过点击顶级风险评分贡献者表中的用户名
- 主机和主机详细信息页面上的 事件 选项卡,通过点击事件表中的用户名
- 主机详细信息页面上的 主机风险 选项卡,通过点击顶级风险评分贡献者表中的用户名
用户详细信息浮动窗口包含以下部分
用户风险摘要编辑
用户风险摘要 部分包含一个风险摘要可视化和表格。
风险摘要可视化显示用户风险评分和用户风险级别。将鼠标悬停在可视化上以显示 选项 菜单。使用此菜单检查可视化的查询、将其添加到新案例或现有案例中、将其保存到“可视化库”或在 Lens 中打开以进行自定义。
风险摘要表显示类别、评分和确定用户风险评分的风险输入数量。将鼠标悬停在表格上以显示 检查 按钮,该按钮允许您检查表格的查询。
要展开 用户风险摘要 部分,请点击 查看风险贡献。左面板显示有关用户风险输入的更多详细信息
- 来自最新风险评分计算的资产重要性级别和贡献评分。
- 对最新风险评分计算做出贡献的前 10 个警报,以及每个警报的贡献评分。
如果超过 10 个警报对风险评分计算做出了贡献,则其余警报的汇总贡献评分将显示在 警报 表格下方。
资产重要性编辑
资产重要性 部分显示所选用户的 资产重要性级别。资产重要性对整体 用户风险评分 有贡献。重要性级别定义了在计算风险评分时用户的影響程度。
点击 分配 为所选用户分配重要性级别,或点击 更改 更改当前分配的重要性级别。
观察到的数据编辑
此部分显示详细信息,例如用户 ID、用户首次和最后出现的时间以及关联的 IP 地址和操作系统。
