检测规则监控仪表盘
编辑检测规则监控仪表盘
编辑检测规则监控仪表盘提供可视化功能,帮助您监控 Elastic Security 检测规则的整体健康状况和性能。查阅此仪表盘,可以获得规则是否成功运行以及运行、搜索数据和创建警报所需时间的概览。
可视化数据和类型
编辑此仪表盘显示有关检测规则的各种信息。可视化功能在仪表盘顶部选择的时间范围和筛选器内显示和计算数据。
此仪表盘还包含来自所有 Kibana 空间的数据。要仅显示来自特定空间的数据,请在 Kibana 中打开仪表盘(分析 → 仪表盘),然后使用 Kibana 空间 下拉筛选器。
包含以下可视化功能
- 规则 KPI(关键绩效指标):已启用的规则总数、规则总共运行的次数以及它们的响应状态。
- 按规则类型划分的执行情况:按规则类型细分的随时间推移的规则执行情况。
- 按状态划分的执行情况:按状态细分的随时间推移的规则执行情况。
- 规则总执行时长:规则从开始到结束的运行时长。
- 规则计划延迟:规则计划的开始时间与实际开始运行时间之间的延迟。
- 搜索/查询时长:规则查询源索引或数据视图所需的时间。
-
索引时长:规则生成警报并将其写入
.alerts-security.alerts-*索引所需的时间。 - 前 10 名规则:总体最慢的规则、延迟最大的规则以及响应状态为 失败 和 警告 的规则列表。
可视化面板操作
编辑打开面板的选项菜单(
)自定义面板或将其数据用于进一步分析和调查
- 编辑面板设置:自定义面板的显示设置。选项因可视化类型而异。
- 检查:检查面板的基础数据和查询。
- 在 Discover 中探索数据:打开 Discover,并使用预加载筛选器显示面板的数据。
- 最大化面板:展开面板。
- 下载为 CSV:将面板的数据下载为 CSV 文件。
- 复制到仪表盘:将面板复制到现有或新的仪表盘。
- 添加到现有案例:将面板添加到现有案例。
- 添加到新案例:创建新案例并将其添加到其中。
- 创建异常检测作业:使用面板的数据创建机器学习异常检测作业。
克隆和编辑仪表盘
编辑此仪表盘由 Kibana 管理,因此您对其进行的任何更改都不会持久保存。要进行持久更改,您可以克隆仪表盘并编辑克隆的副本,但您的副本不会从 Elastic 获取更新。
- 点击 编辑,然后点击 另存为。
- 在 保存仪表盘 对话框中,为您的克隆副本输入新的 标题。
- 确保选中 另存为新仪表盘,然后点击 保存。您现在可以进行其他更改并将它们保存到您的副本中。