实体分析仪表板
编辑实体分析仪表板
编辑实体分析仪表板提供了一个集中视图,用于查看新兴的内部威胁,包括主机风险、用户风险以及网络中的异常情况。您可以使用它来分类、调查和响应这些新兴威胁。
该仪表板包括以下部分
实体 KPI(关键绩效指标)
编辑显示关键主机、关键用户和异常的总数。选择链接可跳转到 主机 页面、用户 页面或 异常 表格。
用户风险评分
编辑显示您环境中的用户风险评分数据,包括用户总数和最近记录的五个用户风险评分,以及其关联的用户名、风险数据和检测警报数。与主机风险评分类似,用户风险评分使用 0(最低)到 100(最高)的加权总和进行计算。
与表格进行交互以筛选数据、查看更多详细信息并采取行动
- 选择 用户风险级别 菜单,以按所选级别筛选图表。
- 单击用户名链接以打开用户详细信息浮出框。
- 将鼠标悬停在用户名链接上以显示内联操作:添加到时间线,将所选值添加到时间线;复制到剪贴板,复制用户名值以供稍后粘贴。
- 单击右上角的 查看全部,在“用户”页面上显示所有用户风险信息。
- 单击 警报 列中的数字链接,以在“警报”页面上查看警报。将鼠标悬停在该数字上,然后选择 在时间线中调查 (
),以启动时间线并显示包含关联用户名的查询。
有关用户风险评分的更多信息,请参阅实体风险评分。
主机风险评分
编辑显示您环境中的主机风险评分数据,包括主机总数和最近记录的五个主机风险评分,以及其关联的主机名、风险数据和检测警报数。主机风险评分使用 0(最低)到 100(最高)的加权总和进行计算。
与表格进行交互以筛选数据、查看更多详细信息并采取行动
- 选择 主机风险级别 菜单,以按所选级别筛选图表。
- 单击主机名链接以打开主机详细信息浮出框。
- 将鼠标悬停在主机名链接上以显示内联操作:添加到时间线,将所选值添加到时间线;复制到剪贴板,复制主机名值以供稍后粘贴。
- 单击右上角的 查看全部,在“主机”页面上显示所有主机风险信息。
- 单击 警报 列中的数字链接,以在“警报”页面上查看警报。将鼠标悬停在该数字上,然后选择 在时间线中调查 (),以启动时间线并显示包含关联主机名的查询。
有关主机风险评分的更多信息,请参阅实体风险评分。
实体
编辑此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。
实体 部分提供了环境中所有主机和用户的集中视图。它显示来自 实体存储 的实体,这些实体满足以下任一条件
- 已被 Elastic Security 观察到
- 具有资产关键性分配
- 通过集成(例如 Active Directory 或 Okta)已添加到 Elastic Security
实体 表仅显示每个实体可用数据的一个子集。您可以查询 .entities.v1.latest.security_user_<space-id> 和 .entities.v1.latest.security_host_<space-id> 索引,以查看实体存储中每个实体的所有字段。
来自不同来源的实体数据会根据以下时间线显示在 实体 部分中
- 首次启用实体存储时,只会处理过去 24 小时内存储的数据。之后,数据将持续处理。
- 来自 Elastic Security 默认数据视图的观察事件将以近乎实时的速度处理。
- 实体分析数据(例如实体风险评分和资产关键性(包括批量资产关键性上传))也以近乎实时的速度处理。
- 从实体分析集成中提取的实体的可用性取决于特定的集成。有关详细信息,请参阅 Active Directory 实体分析、Microsoft Entra ID 实体分析 和 Okta 实体分析。
与表格进行交互以筛选数据并查看更多详细信息
- 选择 风险级别 下拉列表,以按所选的用户或主机风险级别筛选表格。
- 选择 关键性 下拉列表,以按所选的资产关键性级别筛选表格。
- 选择 来源 下拉列表,以按数据源筛选表格。
- 单击 查看详细信息 图标 (
) 以打开实体详细信息浮出框。
异常
编辑异常检测作业会识别可疑或不规则的行为模式。“异常”表格会显示这些预构建的机器学习作业所识别的异常总数(在 异常名称 列中命名)。
与表格进行交互以查看更多详细信息
- 单击 查看所有主机异常 以转到“主机”页面上的“异常”表格。
- 单击 查看所有用户异常 以转到“用户”页面上的“异常”表格。
- 单击 查看全部 以在“异常检测作业”页面上显示和管理所有机器学习作业。
要了解有关机器学习的更多信息,请参阅什么是 Elastic 机器学习?