可视化检测警报
编辑可视化检测警报
编辑在“警报”页面上的可视化部分中,通过特定参数可视化和分组检测警报。
使用左侧按钮选择视图类型(摘要、趋势、计数或树状图),并使用右侧菜单选择用于分组的 ECS 字段
- 按警报排序 或 按分组:用于对警报进行分组的主字段。
- 按顶部分组(如果可用):用于进一步细分分组警报的次要字段。
例如,您可以先按规则名称进行分组(按分组:kibana.alert.rule.name),然后按主机名进行分组(按顶部分组:host.name),以可视化哪些检测规则生成了警报,以及哪些主机触发了每个规则。对于具有大量唯一值的分组,将显示前 1000 个结果。
某些视图类型没有按顶部分组选项。您也可以将按顶部分组留空,以仅按按分组中的主字段进行分组。
要将视图重置为默认设置,请将鼠标悬停在其上并点击出现的选项菜单(
),然后选择重置按分组字段。
选项菜单还允许您检查可视化的查询。对于趋势和计数视图,您可以将可视化添加到新的或现有的案例中,或在 Lens 中打开它。
点击折叠图标(
)以最小化可视化部分,并改为显示关键信息的摘要。
摘要
编辑在“警报”页面上,默认情况下会显示摘要可视化,并显示警报如何在这些指标中分布
- 严重性级别:每个严重性级别有多少警报。
- 按名称查看警报:每个检测规则创建了多少警报。
-
按警报排序:具有指定字段值的警报百分比:
host.name(默认)、user.name、source.ip或destination.ip。
您可以将鼠标悬停在摘要中的元素(例如严重性级别、规则名称和主机名称)上并点击它们,以使用这些值向“警报”页面添加过滤器。
趋势
编辑趋势视图显示了警报随时间的发生情况。默认情况下,它按检测规则名称(kibana.alert.rule.name)对警报进行分组。
趋势视图中不可用按顶部分组菜单。
计数
编辑计数视图显示每个组中警报的计数。默认情况下,它首先按检测规则名称(kibana.alert.rule.name)对警报进行分组,然后按主机名(host.name)进行分组。
树状图
编辑树状图视图以嵌套的、按比例大小的图块显示警报的分布。此视图可以帮助您快速查明最普遍和最关键的警报。
较大的图块表示更频繁的警报,每个图块的颜色基于警报的风险评分
-
绿色:低风险(
0-46) -
黄色:中风险(
47-72) -
橙色:高风险(
73-98) -
红色:严重风险(
99-100)
默认情况下,树状图首先按检测规则名称(kibana.alert.rule.name)对警报进行分组,然后按主机名(host.name)进行分组。这显示了哪些规则生成了最多的警报,以及哪些主机是造成警报的原因。
根据警报的数量,某些图块和文本可能非常小。将鼠标悬停在树状图上以在工具提示中显示信息。
您可以点击树状图以缩小树状图和下面的警报表中显示的警报范围。点击组上方的标签以显示该组中的警报,或点击单个图块以显示与该图块相关的警报。这会在 KQL 搜索栏下方添加过滤器,您可以编辑或删除这些过滤器以进一步自定义视图。
