› › ›

查看检测警报详细信息

编辑

查看检测警报详细信息

编辑

要了解有关警报的更多信息，请从“警报”表中点击查看详细信息按钮。这将打开警报详细信息浮层，帮助您理解和管理警报。

使用警报详细信息浮层开始调查、打开案例或计划响应。点击浮层底部的采取行动以查找与警报交互的更多选项。

警报详细信息浮层 UI

编辑

警报详细信息浮层包含右侧面板、预览面板和左侧面板。每个面板都提供警报的不同视角。

右侧面板

编辑

右侧面板提供警报的概述。展开任何折叠的部分以了解有关警报的更多信息。您还可以将鼠标悬停在概述和表格选项卡上的字段上以显示可用的内联操作。

您还可以从右侧面板执行以下操作：

点击展开详细信息以打开左侧面板，其中显示了右侧面板中部分的更多信息。
点击聊天图标（）以访问AI 助手。
点击共享警报图标（）以获取可共享的警报 URL。我们不建议从浏览器地址栏复制 URL，因为如果您为“警报”页面设置了过滤器或相对时间范围，这可能会导致结果不一致。

如果您已在kibana.yml文件中配置了server.publicBaseUrl设置，则可共享的 URL 也位于kibana.alert.url字段中。您可以通过在表格选项卡上搜索kibana.alert.url来查找该字段。

如果您已在“警报”页面上启用了分组，则在展开折叠的组并选择单个警报之前，警报详细信息浮层不会打开。
点击浮层设置图标（）以访问显示警报详细信息浮层的选项。默认情况下，选择叠加选项（在“警报”表上显示浮层）。选择推送以改为在表的侧面显示浮层。在任一显示方式中，您都可以根据需要调整浮层面板的大小。点击重置大小将浮层恢复到其默认尺寸。
查找有关警报的基本详细信息，例如：
- 关联规则
- 警报状态和警报创建时间
- 警报严重性和风险评分（这些是从生成警报的规则继承的）
- 分配给警报的用户（点击分配警报图标以分配更多用户）
- 附加到警报的注释（点击添加注释图标以创建新注释）
点击表格或JSON选项卡以表格或 JSON 格式显示警报详细信息。在表格格式中，警报详细信息显示为字段-值对。

预览面板

编辑

浮层中的某些区域在您点击时会提供预览。例如，点击规则说明中的显示规则摘要将显示规则详细信息的预览。要关闭预览，请点击返回或x。

Preview panel of the alert details flyout

左侧面板

编辑

左侧面板提供右侧面板中显示内容的扩展视图。要打开左侧面板，请执行以下操作之一：

点击右侧面板顶部的展开详细信息。
点击右侧面板中概述选项卡上的某个部分标题。

关于

编辑

“关于”部分位于右侧面板的概述选项卡上。它提供了与警报相关的规则的简要说明以及生成警报的原因的解释。

“关于”部分包含以下信息：

规则说明：描述规则的目的或检测目标。点击显示规则摘要以显示规则详细信息的预览。在预览中，点击显示规则详细信息以查看规则的详细信息页面。
警报原因：描述生成警报的源事件。事件详细信息以纯文本格式显示，并按逻辑顺序排列，以提供警报的上下文。点击显示完整原因以在预览面板中以事件渲染格式显示警报原因。

只有在警报类型存在事件渲染器的情况下，才会显示事件渲染器。字段是交互式的；将鼠标悬停在它们上以访问可用的操作。
上次警报状态更改：显示警报状态上次更改的时间以及更改警报状态的用户。
MITRE ATT&CK：提供相关的MITRE ATT&CK框架策略、技术和子技术。

调查

编辑

“调查”部分位于右侧面板的概述选项卡上。它提供了几种开始调查警报的方法。

Investigation section of the Overview tab

“调查”部分提供以下信息：

调查指南：如果与警报关联的规则具有调查指南，则会显示显示调查指南按钮。点击该按钮可在左侧面板中打开扩展的“调查”视图。

在创建新的自定义规则或修改现有自定义规则的设置时，可以将调查指南添加到规则。
突出显示的字段：显示警报的相关字段以及您添加到规则的任何自定义突出显示字段。具有值的自定义突出显示字段将添加到此部分。没有值的字段不会添加。

可视化

编辑

“可视化”部分位于右侧面板的概述选项卡上。它提供了导致警报并发生在警报之后的进程的概览。

Visualizations section of the Overview tab

点击可视化以显示以下预览：

会话查看器预览：显示会话视图数据的预览。点击会话查看器预览以在“时间线”中打开会话视图选项卡。
分析器预览：显示可视化分析器图形的预览。预览显示分析事件的祖先最多三级，以及事件的后代和子代最多三级。省略号符号（...）表示事件还有更多祖先和后代需要检查。点击分析器预览以在“时间线”中打开事件分析器选项卡。

扩展的可视化视图

编辑

此功能处于技术预览阶段，可能会在将来的版本中更改或删除。Elastic 将致力于修复任何问题，但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。

可视化选项卡允许您保持“警报”表的上下文，同时提供您在事件分析器或会话视图中调查的警报的更详细视图。要打开该选项卡，请点击右侧面板中的会话查看器预览或分析器预览。

在检查警报的相关进程时，您还可以预览与这些进程关联的警报和事件。然后，如果您想了解有关特定警报或事件的更多信息，可以点击显示完整警报详细信息以打开完整详细信息浮层。

Examine alert details from event analyzer

见解

编辑

“见解”部分位于右侧面板的概述选项卡上。它提供了不同的视角，您可以从中评估警报。点击见解以显示相关实体、威胁情报、关联数据和主机和用户流行度的概述。

实体

编辑

“实体”概述提供了与警报相关的用户和主机的较高层级详细信息。主机和用户风险分类也适用于白金订阅或更高版本。

Overview of the entity details section in the right panel

扩展的实体视图

编辑

从右侧面板中，点击实体以打开与警报关联的主机和用户的详细视图。扩展视图还包括风险评分和分类（如果您有白金订阅或更高版本）以及相关主机和用户上的活动。

威胁情报

编辑

“威胁情报”概述显示匹配的指标，这些指标提供与警报相关的威胁情报。

Overview of threat intelligence on the alert

“威胁情报”概述提供以下信息：

检测到的威胁匹配：仅在检查从指标匹配规则生成的警报时可用。显示警报文档中存在的匹配指标的数量。如果没有任何匹配的指标，或者您正在检查由其他类型的规则生成的警报，则显示零。
使用威胁情报富化的字段：显示警报中匹配的指标数量，这些指标并非由指标匹配规则生成。如果不存在，则匹配指标总数为零。

扩展威胁情报视图

编辑

在右侧面板中，点击威胁情报，以在左侧面板中打开扩展的威胁情报视图。

扩展的威胁情报视图查询在securitySolution:defaultThreatIndex高级设置中指定的索引。请参阅更新默认 Elastic Security 威胁情报索引，以了解有关威胁情报索引的更多信息。

Expanded view of threat intelligence on the alert

扩展的威胁情报视图显示警报文档中的各个指标。您可以通过点击指标标签末尾的箭头按钮来展开和折叠指标详细信息。每个指标都用来自matched.field和matched.atomic字段的值进行标记，并显示威胁情报提供商。

匹配的威胁被组织成两个部分，如下所述。在每个部分中，匹配的威胁按反时间顺序显示，最新的威胁位于顶部。每个匹配威胁都显示所有映射字段。

检测到的威胁匹配

如果正在检查由指标匹配规则生成的警报，则“检测到的威胁匹配”部分仅填充指标匹配详细信息。当警报字段值与您已摄取的威胁情报数据匹配时，就会发生指标匹配。

使用威胁情报富化的字段

威胁情报也可以在并非由指标匹配规则生成的警报中找到。要查找此信息，Elastic Security 会查询过去 30 天的警报文档，并搜索包含已知威胁情报的字段。如果找到任何字段，则会将它们记录在此部分中。

使用日期时间选择器修改查询时间范围，默认情况下查看过去 30 天。您还可以点击检查按钮来检查“使用威胁情报富化的字段”部分使用的查询。

在搜索威胁情报时，Elastic Security 会查询警报文档中的以下字段

file.hash.md5：MD5 哈希值
file.hash.sha1：SHA1 哈希值
file.hash.sha256：SHA256 哈希值
file.pe.imphash：PE 文件中的导入
file.elf.telfhash：ELF 文件中的导入
file.hash.ssdeep：SSDEEP 哈希值
source.ip：源 IP 地址（IPv4 或 IPv6）
destination.ip：事件的目标 IP 地址
url.full：事件源的完整 URL
registry.path：完整的注册表路径，包括配置单元、键和值

关联

编辑

关联概述显示警报与其他警报之间的关系，并提供调查相关警报的方法。使用此信息快速查找警报之间的模式，然后采取行动。

关联概述提供以下信息

已抑制的警报：指示警报是在启用警报抑制的情况下创建的，并显示抑制了多少个重复警报。此信息仅在为规则启用了警报抑制时才会显示。
按源事件相关的警报：显示由相同源事件创建的警报数量。
与警报相关的案例：显示已将警报添加到其中的案例数量。
按会话 ID 相关的警报：显示由相同会话生成的警报数量。
按进程祖先相关的警报：显示在同一线性分支上由进程事件相关的警报数量。

要访问有关按进程祖先相关的警报的数据，您必须拥有白金或更高订阅。

扩展关联视图

编辑

在右侧面板中，点击关联，以在左侧面板中打开扩展的关联视图。

在扩展视图中，关联数据被组织到几个表中

已抑制的警报：显示抑制了多少个重复警报。此信息仅在为规则启用了警报抑制时才会显示。

此功能处于技术预览阶段，可能会在将来的版本中更改或删除。Elastic 将致力于修复任何问题，但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
相关的案例：显示已将警报添加到其中的案例。点击案例名称以打开其详细信息。
按源事件相关的警报：显示由相同源事件创建的警报。这可以帮助您查找具有共享来源的警报，并提供有关源事件的更多上下文。点击在时间线中调查按钮以在时间线中检查相关警报。
按会话相关的警报：显示在同一会话期间生成的警报。这些警报共享相同的会话 ID，这是一个用于跟踪给定 Linux 会话的唯一 ID。要使用此功能，您必须在 Elastic Defend 集成策略中启用收集会话数据设置。请参阅启用会话视图数据以获取更多信息。
按祖先相关的警报：显示在同一线性分支上由进程事件相关的警报。请注意，不会显示从子分支或相关分支上的进程生成的警报。要进一步检查警报，请点击在时间线中调查。

流行度

编辑

流行度概述显示警报中的数据在过去 30 天的其他主机事件中是否经常被观察到。流行度计算使用警报突出显示字段中的值。在您的环境中不到 10% 的主机上观察到的突出显示字段值被认为是不常见的（不流行），并在流行度概述中单独列出。在您的环境中超过 10% 的主机上观察到的突出显示字段值被认为是常见的（流行），并在流行度概述中描述为经常观察到。

扩展流行度视图

编辑

在右侧面板中，点击流行度，以在左侧面板中打开扩展的流行度视图。检查表格以了解警报与其他警报、事件、用户和主机之间的关系。

更新表格的日期时间选择器以显示来自不同时间范围的数据。

扩展的流行度视图提供以下详细信息

字段：显示警报的突出显示字段以及添加到警报规则的任何自定义突出显示字段。
值：显示突出显示字段的值以及添加到警报规则的任何自定义突出显示字段的值。
警报计数：显示具有相同突出显示字段值的警报文档总数，包括您当前正在检查的警报。例如，如果host.name字段的警报计数为 5，则表示共有 5 个警报具有相同的host.name值。警报计数列仅检索包含event.kind:signal字段值对的文档。
文档计数：显示具有相同字段值的事件文档总数。如果没有任何事件文档与字段值匹配，则显示短划线（——）。文档计数列仅检索不包含event.kind:signal字段值对的文档。

以下功能需要白金订阅或更高版本

主机流行度：显示具有相同字段值的唯一主机的百分比。突出显示字段的主机流行度是通过获取具有相同突出显示字段值的唯一主机数量，并将其除以环境中唯一主机总数来计算的。
用户流行度：显示具有相同突出显示字段值的唯一用户的百分比。突出显示字段的用户流行度是通过获取具有相同字段值的唯一用户数量，并将其除以环境中唯一用户总数来计算的。

响应

编辑

“响应”部分位于右侧面板的“概述”选项卡上。它显示添加到与警报关联的规则的响应操作。点击响应以在左侧面板中显示响应操作的结果。

备注

编辑

“备注”选项卡（位于左侧面板中）显示附加到警报的所有备注，以及创建它们的用户的姓名和创建日期。添加新备注时，警报摘要也会更新，并显示附加到警报的备注数量。

转到“备注”页面以查找添加到其他警报的备注。

« 可视化检测警报将检测警报添加到案例 »