实体分析仪表盘
编辑实体分析仪表盘
编辑实体分析仪表盘提供了一个集中视图,用于查看新出现的内部威胁,包括主机风险、用户风险以及网络内部的异常情况。使用它来分类、调查和响应这些新出现的威胁。
仪表盘包含以下部分
实体 KPI(关键绩效指标)
编辑显示关键主机、关键用户和异常的总数。选择链接跳转到 主机 页面、用户 页面或 异常 表格。
用户风险评分
编辑显示您环境中的用户风险评分数据,包括用户总数以及最近记录的五个用户风险评分,以及关联的用户名称、风险数据和检测警报数量。与主机风险评分一样,用户风险评分是根据 0(最低)到 100(最高)的量表上的加权总和计算得出的。
与表格交互以筛选数据、查看更多详细信息并采取措施
- 选择 用户风险级别 菜单,按所选级别筛选图表。
- 单击用户名称链接以打开用户详细信息浮出层。
- 将鼠标悬停在用户名称链接上以显示内联操作:添加到时间线,将所选值添加到时间线,以及 复制到剪贴板,为您复制用户名称值以便稍后粘贴。
- 单击右上角的 查看全部 以在“用户”页面上显示所有用户风险信息。
- 单击 警报 列中的数字链接以在“警报”页面上查看警报。将鼠标悬停在数字上并选择 在时间线中调查 (
) 以启动包含关联用户名称值查询的时间线。
有关用户风险评分的更多信息,请参阅 实体风险评分。
主机风险评分
编辑显示您环境中的主机风险评分数据,包括主机总数以及最近记录的五个主机风险评分,以及关联的主机名称、风险数据和检测警报数量。主机风险评分是根据 0(最低)到 100(最高)的量表上的加权总和计算得出的。
与表格交互以筛选数据、查看更多详细信息并采取措施
- 选择 主机风险级别 菜单,按所选级别筛选图表。
- 单击主机名称链接以打开主机详细信息浮出层。
- 将鼠标悬停在主机名称链接上以显示内联操作:添加到时间线,将所选值添加到时间线,以及 复制到剪贴板,为您复制主机名称值以便稍后粘贴。
- 单击右上角的 查看全部 以在“主机”页面上显示所有主机风险信息。
- 单击 警报 列中的数字链接以在“警报”页面上查看警报。将鼠标悬停在数字上并选择 在时间线中调查 () 以启动包含关联主机名称值查询的时间线。
有关主机风险评分的更多信息,请参阅 实体风险评分。
实体
编辑此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将致力于解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
实体 部分提供了您环境中所有主机和用户的集中视图。它显示来自 实体存储 的实体,这些实体满足以下任何条件
- 已被 Elastic Security 观察到
- 具有资产关键性分配
- 已通过集成(如 Active Directory 或 Okta)添加到 Elastic Security
实体 表格仅显示每个实体可用数据的一个子集。您可以查询 .entities.v1.latest.security_user_<space-id> 和 .entities.v1.latest.security_host_<space-id> 索引以查看实体存储中每个实体的所有字段。
来自不同来源的实体数据根据以下时间线显示在 实体 部分中
- 首次启用实体存储时,仅处理过去 24 小时内存储的数据。之后,数据将持续处理。
- 来自 Elastic Security 默认数据视图的观察到的事件会近乎实时地处理。
- 实体分析数据(例如实体风险评分和资产关键性(包括批量资产关键性上传))也会近乎实时地处理。
- 从实体分析集成中提取的实体的可用性取决于具体的集成。有关更多详细信息,请参阅 Active Directory 实体分析、Microsoft Entra ID 实体分析 和 Okta 实体分析。
与表格交互以筛选数据和查看更多详细信息
- 选择 风险级别 下拉列表,按所选用户或主机风险级别筛选表格。
- 选择 关键性 下拉列表,按所选资产关键性级别筛选表格。
- 选择 来源 下拉列表,按数据源筛选表格。
- 单击 查看详细信息 图标 (
) 以打开实体详细信息浮出层。
异常
编辑异常检测作业识别可疑或不规则的行为模式。“异常”表格显示这些预构建机器学习作业(在 异常名称 列中命名)识别的异常总数。
与表格交互以查看更多详细信息
- 单击 查看所有主机异常 以转到“主机”页面上的“异常”表格。
- 单击 查看所有用户异常 以转到“用户”页面上的“异常”表格。
- 单击 查看全部 以在“异常检测作业”页面上显示和管理所有机器学习作业。
要了解有关机器学习的更多信息,请参阅 什么是 Elastic 机器学习?