主机页面
编辑主机页面
编辑主机页面提供所有主机和与主机相关的安全事件的全面概述。关键绩效指标 (KPI) 图表、数据表和交互式小部件允许您查看特定数据,深入了解以获取更深入的见解,并与时间线交互以进行进一步调查。
主机页面包含以下部分
主机 KPI(关键绩效指标)图表
编辑KPI 图表显示了在日期选择器中指定的时间范围内主机和唯一 IP 的指标。此数据使用线性图或条形图进行可视化。
将鼠标悬停在 KPI 图表内以显示操作菜单(…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新的或现有的案例中。
数据表
编辑KPI 图表下方是数据表,按各个选项卡分类,有助于查看和调查特定类型的数据。选择相关选项卡以查看以下数据
事件和会话选项卡中的表包含内联操作和多个自定义选项。要详细了解您可以使用这些表中的数据执行的操作,请参阅管理检测警报。
主机详细信息页面
编辑主机的详细信息页面显示所选主机的所有相关信息。要查看主机的详细信息页面,请在所有主机表中点击其主机名链接。
主机详细信息页面包含以下部分
- 资产关键性:此部分显示主机的当前资产关键性级别。
- 摘要:详细信息,例如主机 ID、主机首次和最后出现的时间、关联的 IP 地址和关联的操作系统。如果启用了主机风险评分功能,此部分还会显示主机风险评分数据。
-
警报指标:按严重性、规则和状态(
已打开、已确认或已关闭)划分的警报总数。 - 数据表:与主机页面上的数据表相同,但使用所选主机的值而不是所有主机的值。
主机详细信息浮出层
编辑除了主机详细信息页面外,相关主机信息在整个 Elastic Security 应用程序中的主机详细信息浮出层中也可用。您可以从以下位置访问此浮出层
- 警报页面,点击警报中的主机名
- 实体分析仪表板,点击主机风险评分表中的主机名
- 用户和用户详细信息页面上的事件选项卡,点击事件表中的主机名
- 用户详细信息页面上的用户风险选项卡,点击顶级风险评分贡献者表中的主机名
- 主机和主机详细信息页面上的事件选项卡,点击事件表中的主机名
- 主机详细信息页面上的主机风险选项卡,点击顶级风险评分贡献者表中的主机名
主机详细信息浮出层包含以下部分
主机风险摘要
编辑主机风险摘要部分包含风险摘要可视化和表格。
风险摘要可视化显示主机风险评分和主机风险级别。将鼠标悬停在可视化上以显示选项菜单。使用此菜单检查可视化的查询、将其添加到新的或现有的案例中、将其保存到您的可视化库中或在 Lens 中打开以进行自定义。
风险摘要表显示类别、评分和确定主机风险评分的风险输入的数量。将鼠标悬停在表格上以显示检查按钮,该按钮允许您检查表格的查询。
要展开主机风险摘要部分,请点击查看风险贡献。左侧面板显示有关主机的风险输入的其他详细信息
- 来自最新风险评分计算的资产关键性级别和贡献评分。
- 导致最新风险评分计算的前 10 个警报,以及每个警报的贡献评分。
如果超过 10 个警报导致风险评分计算,则剩余警报的汇总贡献评分将显示在警报表下方。
资产关键性
编辑资产关键性部分显示所选主机的资产关键性级别。资产关键性有助于整体主机风险评分。关键性级别定义了在计算风险评分时主机的影响程度。
点击分配为所选主机分配关键性级别,或点击更改更改当前分配的关键性级别。
见解
编辑见解部分显示主机的漏洞发现。点击漏洞展开浮出层并查看此数据。
观察到的数据
编辑此部分显示详细信息,例如主机 ID、主机首次和最后出现的时间、关联的 IP 地址和操作系统,以及相关的端点集成策略信息。
