查看和分析风险评分数据
编辑查看和分析风险评分数据
编辑Elastic 安全应用提供了多种选项来监控环境中主机和用户的风险态势变化。可以使用 Elastic 安全应用中的以下位置来查看和分析风险评分数据:
我们建议您优先进行警报分类,以识别异常或不正常的行为模式。
实体分析仪表板
编辑从实体分析仪表板,您可以访问实体关键绩效指标 (KPI)、风险评分和等级。您还可以单击警报列中的数字链接,以在“警报”页面上调查和分析警报。
如果您启用了实体存储,则仪表板还会显示实体部分,您可以在其中查看所有主机和用户及其风险和资产关键性数据。
警报分类
编辑您可以使用 Elastic 安全应用中的以下功能,优先对与高风险或业务关键实体相关的警报进行分类。
警报页面
编辑使用“警报”表来调查和分析:
- 主机和用户风险等级
- 主机和用户风险评分
- 资产关键性
要在“警报”表中显示实体风险评分和资产关键性数据,请选择字段,并添加以下内容:
-
user.risk.calculated_level或host.risk.calculated_level -
user.risk.calculated_score_norm或host.risk.calculated_score_norm -
user.asset.criticality或host.asset.criticality
了解有关自定义“警报”表的更多信息。
分类与高风险或业务关键实体相关的警报
编辑要分析与高风险或业务关键实体相关的警报,您可以按实体风险等级或资产关键性等级对其进行筛选或分组。
如果您在生成警报后更改了实体的关键性等级,则该警报文档将包含原始关键性等级,而不会反映新的关键性等级。
-
使用下拉筛选控件按实体风险等级或资产关键性等级筛选警报。为此,请编辑默认控件以按以下内容筛选:
-
user.risk.calculated_level或host.risk.calculated_level(实体风险等级)
-
user.asset.criticality或host.asset.criticality(资产关键性等级)
-
-
要按实体风险等级或资产关键性等级对警报进行分组,请选择按警报分组,然后选择自定义字段并搜索:
-
host.risk.calculated_level或user.risk.calculated_level(实体风险等级)
-
host.asset.criticality或user.asset.criticality(资产关键性等级)
-
您可以进一步按最高的实体风险评分对分组的警报进行排序
- 展开风险等级组(例如,高)或资产关键性组(例如,高影响)。
- 选择排序字段→ 选择要排序的字段。
-
按以下顺序选择字段:
-
host.risk.calculated_score_norm或user.risk.calculated_score_norm: 高-低 -
风险评分: 高-低 -
@timestamp: 新-旧
-
-
警报详细信息弹出窗口
编辑要在警报详细信息弹出窗口中访问风险评分数据,请在概述选项卡上选择见解 → 实体
主机和用户页面
编辑在“主机”和“用户”页面上,您可以访问风险评分数据:
-
在所有主机或所有用户选项卡上的主机风险等级或用户风险等级列中
-
在主机风险或用户风险选项卡上
主机和用户详细信息页面
编辑在主机详细信息和用户详细信息页面上,您可以访问风险评分数据:
-
在“概述”部分中
-
在主机风险或用户风险选项卡上
主机和用户详细信息弹出窗口
编辑在主机详细信息和用户详细信息弹出窗口中,您可以在风险摘要部分中访问风险评分数据
