启用风险评分引擎
编辑启用风险评分引擎
编辑此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按现状提供,不提供任何担保。测试版功能不受正式 GA 功能支持 SLA 的约束。
要使用实体风险评分,您的角色必须具有相应的权限。有关更多信息,请参阅实体风险评分要求。
预览高风险实体
编辑您可以在安装最新的风险引擎之前预览高风险实体。预览显示在日期选择器中选择的时间范围内,在 1000 个采样实体中找到的风险最高的主机和用户。
预览限于每个 Kibana 实例两个风险评分。
要预览高风险实体,请在导航菜单中查找实体风险评分,或使用全局搜索字段。
启用最新的风险引擎
编辑- 要查看风险评分数据,您必须在您的环境中生成警报。
- 如果您之前安装了原始的用户和主机风险评分模块,并且您正在升级到 Elastic Stack 8.11 或更高版本,请参阅升级到最新的风险引擎。
如果您是第一次安装风险评分引擎
- 在导航菜单中查找实体风险评分。
- 启用实体风险评分开关。
升级到最新的风险引擎
编辑如果您从早期 Elastic Stack 版本升级到 8.11,并且已安装原始风险引擎,则可以升级到最新的风险引擎。在存在风险评分数据的地方(例如)会提示您升级。
- 实体分析仪表板
- 用户页面上的用户风险选项卡
- 用户详情页面上的用户风险选项卡
- 主机页面上的主机风险选项卡
- 主机详情页面上的主机风险选项卡
- 在升级提示中点击管理,或在导航菜单中查找实体风险评分。
-
在“实体风险评分”页面上,点击可用更新标签旁边的开始更新。
- 在确认消息中,点击是的,立即更新。旧转换将被删除,并安装最新的风险引擎。
-
安装完成后,确认实体风险评分开关已打开。
升级到最新的风险引擎时,将保留以前的风险评分数据。