« 时间线 可视化事件分析器 »
Elastic 文档 Elastic 安全解决方案 [8.16] 调查工具 时间线

时间线模板

编辑

时间线模板

编辑

您可以将时间线模板附加到检测规则。附加后,规则的警报在时间线中进行调查时将使用该模板。这使您在开始调查时能够立即查看警报中最有趣的字段。

模板可以包含两种类型的过滤器

  • 常规过滤器:与其他 Kibana KQL 过滤器一样,定义数据源事件字段及其值。例如:host.name : "win-server"
  • 模板过滤器:仅定义事件字段,并使用占位符表示字段的值。在时间线中调查警报时,字段的值将取自警报。

例如,如果您定义了 host.name: "{host.name}" 模板过滤器,则当在时间线中调查该规则生成的警报时,警报的 host.name 值将用于过滤器。如果警报的 host.name 值为 Linux_stafordshire-061,则时间线过滤器为:host.name: "Linux_stafordshire-061"

有关如何将时间线模板添加到规则的信息,请参阅 创建检测规则

加载 Elastic Security 预构建规则时,Elastic Security 还会加载一系列预构建的时间线模板,您可以将其附加到检测规则。通用 模板使用广泛的 KQL 查询检索事件数据,而 全面 模板使用详细的 KQL 查询检索其他信息。以下预构建模板默认显示

  • 涉及单个主机的警报时间线:调查涉及单个主机的检测警报。
  • 涉及单个用户的警报时间线:调查涉及单个用户的检测警报。
  • 通用端点时间线:调查 Elastic Endpoint 检测警报。
  • 通用网络时间线:调查与网络相关的检测警报。
  • 通用进程时间线:调查与进程相关的检测警报。
  • 通用威胁匹配时间线:调查威胁指标匹配检测警报。
  • 全面文件时间线:调查与文件相关的检测警报。
  • 全面网络时间线:调查与网络相关的检测警报。
  • 全面进程时间线:调查与进程相关的检测警报。
  • 全面注册表时间线:调查与注册表相关的检测警报。

您可以 复制预构建模板 并将其用作您自己的自定义模板的起点。

时间线模板图例

编辑

将过滤器添加到时间线模板时,项目将使用颜色编码以指示添加了哪种类型的过滤器。此外,您可以在构建模板时将时间线过滤器更改为模板过滤器。

常规时间线过滤器

单击 转换为模板字段 将过滤器更改为模板过滤器

template filter value
模板过滤器
timeline template filter

当您 将模板转换为时间线 时,带有占位符的模板过滤器将被禁用

invalid filter

要启用过滤器,请指定值或将其更改为字段的现有过滤器(请参阅 编辑现有过滤器)。

创建时间线模板

编辑

  1. 选择以下选项之一

    • 在主菜单中或使用 全局搜索字段 查找 时间线。接下来,选择 模板 选项卡,然后单击 创建新的时间线模板
    • 转到时间线栏(位于大多数页面底部),单击 单击添加新按钮 按钮,然后单击 创建新的时间线模板
    • 从打开的时间线或时间线模板中,单击 新建新的时间线模板

  2. 要添加过滤器,请单击 添加字段,然后选择所需的选项

    • 添加字段:添加常规时间线过滤器。

    • 添加模板字段:添加带有值占位符的模板过滤器。

      Shows an example of a Timeline template

      您还可以从 概述主机网络警报 页面拖动并将项目发送到模板。

  3. 单击 保存 为模板指定标题和描述。

示例

要为特定主机上的与进程相关的警报创建模板

  • 添加主机名的常规过滤器:host.name: "Linux_stafordshire-061"
  • 添加进程名称的模板过滤器:process.name: "{process.name}"
template query example

当在时间线中调查与该模板关联的规则生成的警报时,主机名为 Linux_stafordshire-061,而进程名称值从警报的 process.name 字段中检索。

管理现有时间线模板

编辑

您可以查看、复制、导出、删除和从现有时间线创建模板

  1. 在主菜单中或使用 全局搜索字段 查找 时间线,然后选择 模板 选项卡。

    all actions timeline ui

  2. 单击相关行中的 所有操作 图标,然后选择操作

    • 从模板创建时间线(请参阅 创建时间线模板
    • 复制模板
    • 导出所选(请参阅 导出和导入时间线模板
    • 删除所选
    • 从时间线创建查询规则(仅当时间线包含 KQL 查询时可用)
    • 从时间线创建 EQL 规则(仅当时间线包含 EQL 查询时可用)

要在多个模板上执行相同的操作,请选择模板,然后从 批量操作 菜单中选择所需的操作。

您无法删除预构建模板。

导出和导入时间线模板

编辑

您可以导入和导出时间线模板,这使得能够将模板从一个空间或 Elastic Security 实例导入到另一个实例。导出的模板保存在 ndjson 文件中。

  1. 在主菜单中或使用 全局搜索字段 查找 时间线,然后选择 模板 选项卡。

  2. 要导出模板,请执行以下操作之一

    • 要导出一个模板,请单击相关行中的 所有操作 图标,然后选择 导出所选
    • 要导出多个模板,请选择所有所需的模板,然后单击 批量操作导出所选

  3. 要导入模板,请单击 导入,然后选择或拖放模板 ndjson 文件。

    文件中每个模板对象都必须在一行中表示。多个模板对象以换行符分隔。

您无法导出预构建模板。

« 时间线 可视化事件分析器 »