时间线
编辑时间线
编辑使用时间线作为您进行调查和威胁搜寻的工作区。您可以将来自多个索引的警报添加到时间线,以方便进行高级调查。
您可以将感兴趣的字段拖动或发送到时间线以创建所需的查询。例如,您可以从概览、警报、主机和网络页面上的表格和直方图中添加字段,以及从其他时间线中添加字段。或者,您可以通过展开查询构建器并单击+ 添加字段,直接在时间线中添加查询。
除了时间线,您还可以创建时间线模板并将其附加到检测规则。时间线模板允许您定义在时间线中调查警报时使用的源事件字段。您可以选择字段是使用预定义的值还是从警报中检索的值。有关更多信息,请参阅时间线模板。
创建新时间线或打开现有时间线
编辑要创建新时间线,请选择以下方法之一
- 在主菜单中找到时间线,或使用全局搜索字段,然后单击创建新时间线。
- 转到时间线栏(位于大多数页面的底部),单击
按钮,然后单击创建新时间线模板。 - 从打开的时间线或时间线模板中,单击新建 → 新建时间线。
要打开现有时间线,请选择以下方法之一
- 转到时间线页面,然后单击时间线的标题。
- 转到时间线栏,单击按钮,然后单击打开时间线。
- 从打开的时间线或时间线模板中,单击打开,然后选择一个时间线。
为避免丢失您的更改,请在移动到其他 Elastic Security 应用程序页面之前保存时间线。如果您更改了现有时间线,可以使用另存为新时间线切换按钮来创建时间线的新副本,而不会覆盖原始时间线。
单击星形图标(
)将您的时间线标记为收藏,以便稍后快速找到它。
查看和优化时间线结果
编辑您可以选择时间线是显示检测警报和其他原始事件,还是仅显示警报。默认情况下,时间线会同时显示原始事件和警报。要隐藏原始事件并仅显示警报,请单击KQL查询栏左侧的数据视图,然后选择仅显示检测警报。
检查事件或警报
编辑要进一步检查事件或检测警报,请单击查看详情按钮。将显示包含事件或警报详情的弹出窗口。
配置时间线事件上下文和显示
编辑许多类型的事件会自动以预配置的视图显示,这些视图提供相关的上下文信息,称为事件渲染器。默认情况下,所有事件渲染器都处于关闭状态。要打开它们,请使用结果窗格顶部的事件渲染器切换按钮。要仅打开特定的事件渲染器,请单击切换按钮旁边的齿轮(
)图标,然后选择要启用的渲染器。完成后,关闭自定义事件渲染器窗格。您的更改将自动应用于时间线。
上面的示例显示了流事件渲染器,它突出显示了数据在其来源和目标之间的移动。如果您看到渲染事件的某个特定部分让您感兴趣,您可以将其拖到查询栏下方的放置区域以进行进一步调查。
您还可以通过其他方式修改时间线的显示
- 从时间线添加和删除字段
- 创建运行时字段并在时间线中显示它们
- 重新排序和调整列大小
- 将列名或值复制到剪贴板
- 更改字段的名称、值和描述在时间线中的显示方式
- 以全屏模式查看时间线
- 添加或删除附加到警报、事件或时间线的注释
- 将感兴趣的事件固定到时间线
从时间线添加和删除字段
编辑时间线表显示所选数据视图中警报和事件可用的字段。您可以修改表格以显示您感兴趣的字段。使用侧边栏搜索特定字段或滚动浏览侧边栏以查找感兴趣的字段。您选择的字段将显示为表格中的列。
要从侧边栏添加字段,请将鼠标悬停在其上,然后单击将字段添加为列按钮(
),或将字段拖放到表格中。要删除字段,请将鼠标悬停在其上,然后单击将字段移除为列按钮(
)。
使用时间线查询构建器
编辑单击KQL查询栏右侧的查询构建器按钮(
)展开查询构建器。放入字段以构建过滤时间线结果的查询。字段的相对位置指定了它们的逻辑关系:水平相邻的过滤器使用 AND,而垂直相邻的过滤器使用 OR。
单击查询构建器按钮()折叠查询构建器,以便为时间线结果提供更多空间。
编辑现有过滤器
编辑单击过滤器以访问其他操作,例如添加过滤器、全部清除、加载已保存的查询等等
以下是各种类型过滤器的示例
- 具有值的字段
-
筛选具有指定字段值的事件
- 字段存在
-
筛选包含指定字段的事件
- 排除结果
-
筛选不包含指定字段值(
具有值的字段过滤器)或指定字段(字段存在过滤器)的事件
- 临时禁用
-
该过滤器在重新启用之前不会在查询中使用
- 筛选存在字段
- 将
具有值的字段过滤器转换为字段存在过滤器。
将时间线附加到案例
编辑要将时间线附加到新的或现有的案例,请打开时间线,单击右上角的附加到案例,然后选择附加到新案例或附加到现有案例。
要了解有关案例的更多信息,请参阅案例。
管理现有时间线
编辑您可以查看、复制、导出、删除现有时间线并从现有时间线创建模板
- 转到时间线。
-
单击所需行中的所有操作菜单,然后选择一个操作
要对多个时间线执行操作,请先选择时间线,然后从批量操作菜单中选择一个操作。
导出和导入时间线
编辑您可以导出和导入时间线,这使您能够在一个空间或 Elastic Security 实例之间共享时间线。导出的时间线将保存为.ndjson文件。
要导出时间线
- 在主菜单中找到时间线,或使用全局搜索字段。
- 单击相关行中的所有操作菜单,然后选择导出所选,或选择多个时间线,然后单击批量操作 → 导出所选。
要导入时间线
-
单击导入,然后选择或拖放相关的
.ndjson文件。多个时间线对象使用换行符分隔。
使用 EQL 筛选时间线结果
编辑使用关联选项卡,通过EQL查询来研究时间线结果。
在构建 EQL 查询时,您可以编写基本查询以返回事件和警报的列表。或者,您可以创建 EQL 查询序列,以查看跨多个事件类别匹配的、有序的事件。序列查询对于识别和预测相关事件很有用。它们还可以更全面地了解您环境中潜在的攻击者行为,您可以使用这些信息来创建或更新规则和检测警报。
下图显示了时间线表中匹配的有序事件的外观。属于同一序列的事件在组中匹配在一起,并以红色或蓝色阴影显示。匹配的事件在每个序列中也按从旧到新的顺序排列。
在关联选项卡中,您还可以执行以下操作
- 指定您要调查的日期和时间范围。
- 重新排序列并选择要显示的字段。
- 选择一个数据视图以及是否仅显示检测警报。
使用 ES|QL 来研究事件
编辑ES|QL 在 Kibana 中默认启用。可以使用高级设置中的enableESQL设置将其禁用。这将隐藏各种应用程序中的 ES|QL 用户界面。但是,用户仍然可以访问现有的 ES|QL 工件,如已保存的搜索和可视化。
Elasticsearch 查询语言 (ES|QL) 提供了一种强大的方法来过滤、转换和分析存储在 Elasticsearch 中的事件数据。ES|QL 查询使用“管道”来逐步操作和转换数据。这种方法允许您组合一系列操作,其中一个操作的输出成为下一个操作的输入,从而实现复杂的数据转换和分析。
您可以通过打开ES|QL选项卡在时间线中使用 ES|QL。从那里,您可以
-
编写 ES|QL 查询以探索您的事件。例如,从以下查询开始,然后对其进行迭代以定制您的结果
FROM .alerts-security.alerts-default,apm-*-transaction*,auditbeat-*,endgame-*,filebeat-*,logs-*,packetbeat-*,traces-apm*,winlogbeat-*,-*elastic-cloud-logs-* | LIMIT 10 | KEEP @timestamp, message, event.category, event.action, host.name, source.ip, destination.ip, user.name
此查询执行以下操作
- 它首先查询安全警报索引(
.alerts-security.alerts-default)和在安全数据视图中指定的索引中的文档。 - 然后,查询将输出限制为前 10 个结果。
-
最后,它在输出中保留默认的时间线字段(
@timestamp、message、event.category、event.action、host.name、source.ip、destination.ip和user.name)。当查询倾向于很大的索引(例如,
logs-*)时,输出中返回的字段数量可能会影响性能。为了优化性能,我们建议使用KEEP命令来指定您想要返回的字段。例如,在查询末尾添加子句KEEP @timestamp, user.name以指定您只想返回@timestamp和user.name字段。
- 它首先查询安全警报索引(
- 当查询栏为空时,会显示错误消息。
- 为 ES|QL 查询指定数据源时,自动完成功能不会建议隐藏的索引,例如
.alerts-*。您必须手动输入索引名称或模式。
- 单击查询编辑器最右侧的帮助图标(
),以打开产品内所有 ES|QL 命令和函数的参考文档。 - 使用Discover功能可视化查询结果。
其他 ES|QL 资源
编辑要开始使用 ES|QL,请阅读在 Kibana 中使用 ES|QL的教程。Kibana 中提供的许多功能也可在时间线中使用。
要查找使用 ES|QL 进行威胁狩猎的示例,请查看我们的博客。