主机页面
编辑主机页面
编辑“主机”页面提供了所有主机和与主机相关的安全事件的全面概述。关键绩效指标 (KPI) 图表、数据表和交互式小部件使您可以查看特定数据,深入了解更深层次的见解,并与时间线进行交互以进行进一步调查。
“主机”页面包含以下部分
主机 KPI(关键绩效指标)图表
编辑KPI 图表显示了日期选择器中指定时间范围内的主机和唯一 IP 的指标。此数据使用线性图或条形图进行可视化。
将鼠标悬停在 KPI 图表内以显示操作菜单 (…),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新的或现有的案例。
数据表
编辑KPI 图表下方是数据表,按各个选项卡分类,这些选项卡对于查看和调查特定类型的数据非常有用。选择相关的选项卡以查看以下数据
事件和 会话选项卡中的表包括内联操作和多个自定义选项。要了解有关您可以对这些表中的数据执行的操作的更多信息,请参阅管理检测警报。
主机详细信息页面
编辑主机的详细信息页面显示所选主机的全部相关信息。要查看主机的详细信息页面,请单击 所有主机 表中的 主机名称 链接。
主机详细信息页面包含以下部分
- 资产关键性:此部分显示主机当前的资产关键性级别。
- 摘要:详细信息,例如主机 ID、主机首次和上次出现的时间、关联的 IP 地址以及关联的操作系统。如果启用了主机风险评分功能,此部分还会显示主机风险评分数据。
-
警报指标:按严重性、规则和状态(
打开、已确认或已关闭)的警报总数。 - 数据表:与主“主机”页面上的数据表相同,只不过是显示所选主机的值,而不是所有主机的值。
主机详细信息弹出窗口
编辑除了主机详细信息页面外,整个 Elastic Security 应用中还提供了相关的主机信息,这些信息在主机详细信息弹出窗口中提供。您可以从以下位置访问此弹出窗口
- “警报”页面,通过单击警报中的主机名称
- “实体分析”仪表板,通过单击“主机风险评分”表中的主机名称
- “用户”和用户详细信息页面上的 事件 选项卡,通过单击“事件”表中的主机名称
- 用户详细信息页面上的 用户风险 选项卡,通过单击“最高风险评分贡献者”表中的主机名称
- “主机”和主机详细信息页面上的 事件 选项卡,通过单击“事件”表中的主机名称
- 主机详细信息页面上的 主机风险 选项卡,通过单击“最高风险评分贡献者”表中的主机名称
主机详细信息弹出窗口包含以下部分
主机风险摘要
编辑主机风险摘要部分包含风险摘要可视化和表。
风险摘要可视化显示主机风险评分和主机风险级别。将鼠标悬停在可视化上以显示 选项 菜单。使用此菜单来检查可视化的查询、将其添加到新的或现有的案例、将其保存到“可视化库”,或在 Lens 中打开以进行自定义。
风险摘要表显示确定主机风险评分的类别、评分和风险输入数量。将鼠标悬停在表格上以显示 检查 按钮,您可以使用该按钮来检查表格的查询。
要展开 主机风险摘要 部分,请单击 查看风险贡献。左侧面板显示有关主机风险输入的其他详细信息
- 来自最新风险评分计算的资产关键性级别和贡献评分。
- 促成最新风险评分计算的前 10 个警报,以及每个警报的贡献评分。
如果超过 10 个警报促成了风险评分计算,则剩余警报的汇总贡献评分将显示在 警报 表下方。
资产关键性
编辑资产关键性部分显示所选主机的资产关键性级别。资产关键性有助于整体主机风险评分。关键性级别定义了在计算风险评分时主机的影响程度。
单击 分配 以将关键性级别分配给所选主机,或单击 更改 以更改当前分配的关键性级别。
见解
编辑见解部分显示主机的漏洞发现。单击 漏洞 以展开弹出窗口并查看此数据。
观察到的数据
编辑此部分显示诸如主机 ID、主机首次和上次出现的时间、关联的 IP 地址和操作系统以及相关的 Endpoint 集成策略信息等详细信息。
