时间线
编辑时间线
编辑将时间线用作调查和威胁狩猎的工作区。您可以将来自多个索引的警报添加到时间线,以促进高级调查。
您可以将感兴趣的字段拖动或发送到时间线以创建所需的查询。例如,您可以从 概览、警报、主机 和 网络 页面以及其他时间线上的表格和直方图中添加字段。或者,您可以通过展开 查询构建器 并点击 + 添加字段 直接在时间线中添加查询。
除了时间线外,您还可以创建时间线模板并将其附加到 检测规则。时间线模板允许您定义在时间线中调查警报时使用的源事件字段。您可以选择字段使用预定义值还是从警报中检索的值。有关更多信息,请参阅 时间线模板。
创建新的或打开现有的时间线
编辑要创建新的时间线,请选择以下选项之一
- 在主菜单中或使用 全局搜索字段 查找 时间线,然后点击 创建新的时间线。
- 转到时间线栏(位于大多数页面的底部),点击
按钮,然后点击 创建新的时间线模板。 - 从打开的时间线或时间线模板中,点击 新建 → 新的时间线。
要打开现有时间线,请选择以下选项之一
- 转到时间线页面,然后点击时间线的标题。
- 转到时间线栏,点击 按钮,然后点击 打开时间线。
- 从打开的时间线或时间线模板中,点击 打开,然后选择一个时间线。
为避免丢失更改,请在切换到其他 Elastic Security 应用程序页面之前保存时间线。如果您更改了现有时间线,则可以使用 另存为新的时间线 切换以创建时间线的新的副本,而不会覆盖原始时间线。
点击星形图标 (
) 以收藏您的时间线并在以后快速找到它。
查看和优化时间线结果
编辑您可以选择时间线是否显示检测警报和其他原始事件,或者仅显示警报。默认情况下,时间线同时显示原始事件和警报。要隐藏原始事件并仅显示警报,请点击 KQL 查询栏左侧的 数据视图,然后选择 仅显示检测警报。
检查事件或警报
编辑要进一步检查事件或检测警报,请点击 查看详细信息 按钮。将出现一个包含事件或 警报详细信息 的浮出窗口。
配置时间线事件上下文和显示
编辑许多类型的事件会自动出现在预配置视图中,这些视图提供相关的上下文信息,称为 事件渲染器。默认情况下,所有事件渲染器都处于关闭状态。要打开它们,请使用结果窗格顶部的 事件渲染器 切换按钮。要仅打开特定的事件渲染器,请点击切换按钮旁边的齿轮 (
) 图标,然后选择您要启用的渲染器。完成后,关闭 自定义事件渲染器 窗格。您的更改将自动应用于时间线。
上面的示例显示了 Flow 事件渲染器,它突出显示数据在其源和目标之间移动的情况。如果您看到渲染事件的特定部分让您感兴趣,您可以将其拖动到查询栏下方的放置区域以进行进一步调查。
您还可以通过其他方式修改时间线的显示
- 从时间线添加和删除字段
- 创建 运行时字段 并将其显示在时间线中
- 重新排序和调整列大小
- 将列名称或值复制到剪贴板
- 更改字段的名称、值和描述在时间线中的显示方式
- 以全屏模式查看时间线
- 添加或删除附加到警报、事件或时间线的 注释
- 将有趣的事件固定到时间线
从时间线添加和删除字段
编辑时间线表格显示在选定的数据视图中可用于警报和事件的字段。您可以修改表格以显示您感兴趣的字段。使用侧边栏搜索特定字段或滚动浏览它以查找感兴趣的字段。您选择的字段将显示为表格中的列。
要从侧边栏添加字段,请将鼠标悬停在该字段上,然后点击 添加字段作为列 按钮 (
),或将字段拖放到表格中。要删除字段,请将鼠标悬停在该字段上,然后点击 删除字段作为列 按钮 (
)。
使用时间线查询构建器
编辑通过点击 KQL 查询栏右侧的查询构建器按钮 (
) 展开查询构建器。放入字段以构建筛选时间线结果的查询。字段的相对位置指定它们的逻辑关系:水平相邻的筛选器使用 AND,而垂直相邻的筛选器使用 OR。
通过点击查询构建器按钮 () 折叠查询构建器,为时间线结果提供更多空间。
编辑现有筛选器
编辑点击筛选器以访问其他操作,例如 添加筛选器、清除所有、加载已保存的查询 等
以下是各种类型筛选器的示例
- 带值的字段
-
筛选具有指定字段值的事件
- 字段存在
-
筛选包含指定字段的事件
- 排除结果
-
筛选不包含指定字段值 (
带值的字段筛选器) 或指定字段 (字段存在筛选器) 的事件
- 临时禁用
-
在再次启用之前,筛选器不会用于查询
- 筛选字段存在
- 将
带值的字段筛选器转换为字段存在筛选器。
将时间线附加到案例
编辑要将时间线附加到新的或现有的案例,请打开它,点击右上角的 附加到案例,然后选择 附加到新案例 或 附加到现有案例。
要了解有关案例的更多信息,请参阅 案例。
管理现有时间线
编辑您可以查看、复制、导出、删除和从现有时间线创建模板
- 转到 时间线。
-
点击所需行中的 所有操作 菜单,然后选择一个操作
要对多个时间线执行操作,请首先选择时间线,然后从 批量操作 菜单中选择一个操作。
导出和导入时间线
编辑您可以导出和导入时间线,这使您能够在不同的空间或 Elastic Security 实例之间共享时间线。导出的时间线保存为 .ndjson 文件。
要导出时间线
- 在主菜单中或使用 全局搜索字段 查找 时间线。
- 点击相关行中的 所有操作 菜单并选择 导出所选,或者选择多个时间线,然后点击 批量操作 → 导出所选。
要导入时间线
-
点击 导入,然后选择或拖放相关的
.ndjson文件。多个时间线对象用换行符分隔。
使用 EQL 筛选时间线结果
编辑使用 关联 选项卡使用 EQL 查询 调查时间线结果。
在形成 EQL 查询时,您可以编写基本查询以返回事件和警报列表。或者,您可以创建一系列 EQL 查询以查看跨多个事件类别的匹配、排序的事件。序列查询可用于识别和预测相关事件。它们还可以提供有关环境中潜在攻击者行为的更完整视图,您可以使用这些视图来创建或更新规则和检测警报。
下图显示了时间线表格中匹配的排序事件的外观。属于同一序列的事件在组中匹配在一起并以红色或蓝色阴影显示。匹配的事件还在每个序列中按从旧到新的顺序排序。
从 关联 选项卡,您还可以执行以下操作
- 指定要调查的日期和时间范围。
- 重新排序列并选择要显示的字段。
- 选择数据视图以及是否仅显示检测警报。
使用 ES|QL 调查事件
编辑Kibana 默认启用 ES|QL。可以通过高级设置中的 enableESQL 设置禁用它 高级设置。这将隐藏 ES|QL 用户界面,使其无法在各种应用程序中使用。但是,用户仍然可以访问现有的 ES|QL 工件,例如保存的搜索和可视化。
Elasticsearch 查询语言 (ES|QL) 提供了一种强大的方法来过滤、转换和分析存储在 Elasticsearch 中的事件数据 Elasticsearch 查询语言 (ES|QL)。ES|QL 查询使用“管道”以逐步的方式操作和转换数据。这种方法允许您组合一系列操作,其中一个操作的输出成为下一个操作的输入,从而实现复杂的数据转换和分析。
您可以在时间线中通过打开 ES|QL 选项卡来使用 ES|QL。
-
编写一个 ES|QL 查询来探索您的事件。例如,从以下查询开始,然后对其进行迭代以调整您的结果。
FROM .alerts-security.alerts-default,apm-*-transaction*,auditbeat-*,endgame-*,filebeat-*,logs-*,packetbeat-*,traces-apm*,winlogbeat-*,-*elastic-cloud-logs-* | LIMIT 10 | KEEP @timestamp, message, event.category, event.action, host.name, source.ip, destination.ip, user.name
此查询执行以下操作:
- 它首先查询安全警报索引 (
.alerts-security.alerts-default) 和在 安全数据视图 中指定的索引中的文档。 - 然后,查询将输出限制为前 10 个结果。
-
最后,它保留输出中的默认时间线字段 (
@timestamp、message、event.category、event.action、host.name、source.ip、destination.ip和user.name)。当查询往往较大的索引(例如,
logs-*)时,输出中返回的字段数量可能会影响性能。为了优化性能,我们建议使用KEEP命令指定您希望返回的字段。例如,在查询末尾添加子句KEEP @timestamp, user.name以指定您只希望返回@timestamp和user.name字段。
- 它首先查询安全警报索引 (
- 当查询栏为空时,会显示错误消息。
- 在为 ES|QL 查询指定数据源时,自动完成功能不会建议隐藏的索引,例如
.alerts-*。您必须手动输入索引名称或模式。
- 单击查询编辑器最右侧的帮助图标 (
) 以打开所有 ES|QL 命令和函数的产品内参考文档。 - 使用 发现 功能可视化查询结果。
其他 ES|QL 资源
编辑要开始使用 ES|QL,请阅读 在 Kibana 中使用 ES|QL 的教程。Kibana 中提供的大部分功能在时间线中也可用。
要查找使用 ES|QL 进行威胁狩猎的示例,请查看 我们的博客。