« 时间线 可视化事件分析器 »
Elastic 文档 Elastic 安全解决方案 [8.17] 调查工具 时间线

时间线模板

编辑

时间线模板

编辑

您可以将时间线模板附加到检测规则。附加后,规则的告警在时间线中进行调查时会使用该模板。这使您在开始调查时可以立即查看告警中最感兴趣的字段。

模板可以包含两种类型的过滤器

  • 常规过滤器:与其他的 Kibana KQL 过滤器一样,定义源事件字段及其值。例如:host.name : "win-server"
  • 模板过滤器:仅定义事件字段,并使用占位符表示字段的值。在时间线中调查告警时,字段的值取自告警。

例如,如果您定义 host.name: "{host.name}" 模板过滤器,则当在时间线中调查由该规则生成的告警时,告警的 host.name 值将用于过滤器中。如果告警的 host.name 值是 Linux_stafordshire-061,则时间线过滤器将为:host.name: "Linux_stafordshire-061"

有关如何将时间线模板添加到规则的信息,请参阅创建检测规则

当您加载 Elastic Security 预构建规则时,Elastic Security 也会加载一系列预构建的时间线模板,您可以将其附加到检测规则。通用模板使用广泛的 KQL 查询来检索事件数据,而综合模板则使用详细的 KQL 查询来检索其他信息。默认情况下,会出现以下预构建模板

  • 涉及单个主机时间线的告警:调查涉及单个主机的检测告警。
  • 涉及单个用户时间线的告警:调查涉及单个用户的检测告警。
  • 通用端点时间线:调查 Elastic Endpoint 检测告警。
  • 通用网络时间线:调查与网络相关的检测告警。
  • 通用进程时间线:调查与进程相关的检测告警。
  • 通用威胁匹配时间线:调查威胁指示器匹配检测告警。
  • 综合文件时间线:调查与文件相关的检测告警。
  • 综合网络时间线:调查与网络相关的检测告警。
  • 综合进程时间线:调查与进程相关的检测告警。
  • 综合注册表时间线:调查与注册表相关的检测告警。

您可以复制预构建模板,并将其用作您自己的自定义模板的起点。

时间线模板图例

编辑

当您向时间线模板添加过滤器时,项目将进行颜色编码,以指示添加的过滤器类型。此外,您可以在构建模板时将时间线过滤器更改为模板过滤器。

常规时间线过滤器

单击转换为模板字段会将过滤器更改为模板过滤器

template filter value
模板过滤器
timeline template filter

当您将模板转换为时间线时,带有占位符的模板过滤器将被禁用

invalid filter

要启用过滤器,请指定一个值或将其更改为字段的现有过滤器(请参阅编辑现有过滤器)。

创建时间线模板

编辑

  1. 选择以下方法之一

    • 在主菜单中找到时间线,或使用全局搜索字段。接下来,选择模板选项卡,然后单击创建新的时间线模板
    • 转到时间线栏(位于大多数页面的底部),单击单击添加新按钮按钮,然后单击创建新的时间线模板
    • 从打开的时间线或时间线模板中,单击新建新的时间线模板

  2. 要添加过滤器,请单击添加字段,然后选择所需的选项

    • 添加字段:添加常规时间线过滤器。

    • 添加模板字段:添加带有值占位符的模板过滤器。

      Shows an example of a Timeline template

      您还可以将项目从概述主机网络告警页面拖放到模板中。

  3. 单击保存以给模板指定标题和描述。

示例

要为特定主机上与进程相关的告警创建模板

  • 为主机名添加常规过滤器:host.name: "Linux_stafordshire-061"
  • 为进程名称添加模板过滤器:process.name: "{process.name}"
template query example

当在时间线中调查由与此模板关联的规则生成的告警时,主机名为Linux_stafordshire-061,而进程名称值则从告警的process.name字段中检索。

管理现有时间线模板

编辑

您可以从现有时间线查看、复制、导出、删除和创建模板

  1. 在主菜单中找到时间线,或使用全局搜索字段,然后选择模板选项卡。

    all actions timeline ui

  2. 单击相关行中的所有操作图标,然后选择操作

    • 从模板创建时间线(请参阅创建时间线模板
    • 复制模板
    • 导出所选(请参阅导出和导入时间线模板
    • 删除所选
    • 从时间线创建查询规则(仅当时间线包含 KQL 查询时可用)
    • 从时间线创建 EQL 规则(仅当时间线包含 EQL 查询时可用)

要对多个模板执行相同的操作,请选择模板,然后从批量操作菜单中选择所需的操作。

您无法删除预构建的模板。

导出和导入时间线模板

编辑

您可以导入和导出时间线模板,这使您可以将模板从一个空间或 Elastic Security 实例导入到另一个空间或实例。导出的模板将保存在 ndjson 文件中。

  1. 在主菜单中找到时间线,或使用全局搜索字段,然后选择模板选项卡。

  2. 要导出模板,请执行以下操作之一

    • 要导出一个模板,请单击相关行中的所有操作图标,然后选择导出所选
    • 要导出多个模板,请选择所有需要的模板,然后单击批量操作导出所选

  3. 要导入模板,请单击导入,然后选择或拖放模板 ndjson 文件。

    文件中的每个模板对象必须以单行表示。多个模板对象使用换行符分隔。

您无法导出预构建的模板。

« 时间线 可视化事件分析器 »