用户页面
编辑用户页面
编辑用户页面提供了用户数据的全面概述,可帮助您了解环境中的身份验证和用户行为。关键绩效指标 (KPI) 图表、数据表和交互式小部件使您可以查看特定数据并深入挖掘以获得更深入的见解。
用户页面包含以下部分
用户 KPI(关键绩效指标)图表
编辑KPI 图表显示了在日期选择器中指定的时间范围内用户的总数以及用户身份验证成功和失败的次数。KPI 图表中的数据通过线性和条形图可视化。
将鼠标悬停在 KPI 图表内以显示操作菜单(…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新的或现有的案例。
数据表
编辑KPI 图表下方是数据表,这些数据表可用于查看和调查特定类型的数据。选择相关的选项卡以查看以下详细信息
-
事件:包含
user.name字段的已摄取事件。您可以按event.action、event.dataset或event.module字段进行堆叠。要显示从外部监控工具接收到的警报,请向下滚动到“事件”表,然后选择右侧的仅显示外部警报。 - 所有用户:按时间顺序排列的唯一用户名列表,其中包括上次活动时间和关联的域。
- 身份验证:按时间顺序排列的用户身份验证事件列表以及相关详细信息,例如成功和失败次数,以及上次成功目标的主机名。
- 异常:机器学习作业发现的包含用户数据的异常活动。
- 用户风险:每个用户的最新记录的用户风险评分及其用户风险分类。此功能需要白金订阅或更高版本,并且必须启用才能显示数据。单击启用位于用户风险选项卡上开始使用。要了解更多信息,请参阅我们的实体风险评分文档。
“事件”表包含内联操作和多个自定义选项。要了解有关您可以使用这些表中的数据执行的操作的更多信息,请参阅管理检测警报。
用户详细信息页面
编辑用户的详细信息页面显示所选用户的全部相关信息。要查看用户的详细信息页面,请单击所有用户表中的用户名链接。
用户详细信息页面包含以下部分
- 资产重要性:此部分显示用户的当前资产重要性级别。
- 摘要:详细信息,例如用户 ID、用户首次和最后出现的时间、关联的 IP 地址和操作系统。如果启用了用户风险评分功能,此部分还会显示用户风险评分数据。
-
警报指标:按严重性、规则和状态(
已打开、已确认或已关闭)划分的警报总数。 - 数据表:与主要用户页面上的数据表相同,只是显示所选用户的值,而不是所有用户的值。
用户详细信息浮层
编辑除了用户详细信息页面外,相关的用户信息也显示在 Elastic Security 应用程序中的用户详细信息浮层中。您可以从以下位置访问此浮层
- 警报页面,方法是单击“警报”表中的用户名
- 实体分析仪表板,方法是单击“用户风险评分”表中的用户名
- 用户和用户详细信息页面上的事件选项卡,方法是单击“事件”表中的用户名
- 用户详细信息页面上的用户风险选项卡,方法是单击“顶级风险评分贡献者”表中的用户名
- 主机和主机详细信息页面上的事件选项卡,方法是单击“事件”表中的用户名
- 主机详细信息页面上的主机风险选项卡,方法是单击“顶级风险评分贡献者”表中的用户名
用户详细信息浮层包含以下部分
用户风险摘要
编辑用户风险摘要部分包含风险摘要可视化和表格。
风险摘要可视化显示用户风险评分和用户风险级别。将鼠标悬停在可视化上以显示选项菜单。使用此菜单检查可视化的查询、将其添加到新的或现有的案例、将其保存到“可视化库”或在 Lens 中打开以进行自定义。
风险摘要表显示确定用户风险评分的类别、评分和风险输入的数量。将鼠标悬停在表格上以显示检查按钮,您可以使用此按钮检查表格的查询。
要展开用户风险摘要部分,请单击查看风险贡献。左侧面板显示有关用户风险输入的更多详细信息
- 来自最新风险评分计算的资产重要性级别和贡献评分。
- 导致最新风险评分计算的十大警报,以及每个警报的贡献评分。
如果超过 10 个警报导致风险评分计算,则剩余警报的总贡献评分将显示在警报表下方。
资产重要性
编辑资产重要性部分显示所选用户的资产重要性级别。资产重要性有助于计算整体用户风险评分。重要性级别定义了在计算风险评分时用户的影响程度。
单击分配可为所选用户分配重要性级别,或单击更改可更改当前分配的重要性级别。
见解
编辑见解部分显示用户的配置错误发现。单击配置错误以展开浮层并查看此数据。
观察到的数据
编辑此部分显示详细信息,例如用户 ID、用户首次和最后出现的时间以及关联的 IP 地址和操作系统。
