查看和分析风险评分数据
编辑查看和分析风险评分数据
编辑Elastic Security 应用提供了多个选项来监控环境中主机和用户的风险态势变化。请使用 Elastic Security 应用中的以下位置来查看和分析风险评分数据:
我们建议您优先处理告警分类以识别异常或异常行为模式。
实体分析仪表盘
编辑在实体分析仪表盘中,您可以访问实体关键性能指标 (KPI)、风险评分和级别。您也可以点击告警列中的数字链接,在告警页面上调查和分析告警。
如果您已启用实体存储,仪表盘还会显示实体部分,您可以在其中查看所有主机和用户及其风险和资产重要性数据。
告警分类
编辑您可以优先处理告警分类,使用 Elastic Security 应用中的以下功能来分析与高风险或业务关键实体相关的告警。
告警页面
编辑使用告警表格来调查和分析:
- 主机和用户风险级别
- 主机和用户风险评分
- 资产重要性
要在告警表格中显示实体风险评分和资产重要性数据,请选择字段,然后添加以下内容:
-
user.risk.calculated_level或host.risk.calculated_level -
user.risk.calculated_score_norm或host.risk.calculated_score_norm -
user.asset.criticality或host.asset.criticality
了解更多关于自定义告警表格的信息。
对与高风险或业务关键实体相关的告警进行分类
编辑要分析与高风险或业务关键实体相关的告警,您可以按实体风险级别或资产重要性级别对其进行过滤或分组。
如果您在生成告警后更改了实体的重要级别,则该告警文档将包含原始重要级别,并且不会反映新的重要级别。
-
使用下拉筛选控件按实体风险级别或资产重要性级别筛选告警。为此,编辑默认控件以按以下内容筛选:
-
user.risk.calculated_level或host.risk.calculated_level(实体风险级别)
-
user.asset.criticality或host.asset.criticality(资产重要性级别)
-
-
要按实体风险级别或资产重要性级别对告警进行分组,请选择按告警分组,然后选择自定义字段并搜索:
-
host.risk.calculated_level或user.risk.calculated_level(实体风险级别)
-
host.asset.criticality或user.asset.criticality(资产重要性级别)
-
您可以进一步按最高实体风险评分对分组后的告警进行排序。
- 展开风险级别组(例如,高)或资产重要性组(例如,高影响)。
- 选择排序字段 → 选择要排序的字段。
-
按以下顺序选择字段:
-
host.risk.calculated_score_norm或user.risk.calculated_score_norm:高-低 -
风险评分:高-低 -
@timestamp:新-旧
-
-
告警详情浮层
编辑要在告警详情浮层中访问风险评分数据,请选择洞察 → 实体(在概述选项卡上)。
主机和用户页面
编辑在主机和用户页面上,您可以访问风险评分数据:
-
在所有主机或所有用户选项卡上的主机风险级别或用户风险级别列中。
-
在主机风险或用户风险选项卡上。
主机和用户详情页面
编辑在主机详情和用户详情页面上,您可以访问风险评分数据:
-
在概述部分。
-
在主机风险或用户风险选项卡上。
主机和用户详情浮层
编辑在主机详情和用户详情浮层中,您可以在风险摘要部分访问风险评分数据。
