开启风险评分引擎
编辑开启风险评分引擎
编辑此功能为 Beta 版,可能会有所更改。其设计和代码不如正式 GA 功能成熟,并且按“原样”提供,不提供任何保证。Beta 版功能不受正式 GA 功能的支持 SLA 约束。
要使用实体风险评分,您的角色必须具有适当的权限。有关更多信息,请参阅实体风险评分要求。
预览高风险实体
编辑您可以在安装最新的风险引擎之前预览高风险实体。预览会显示在日期选择器中选择的时间范围内,在 1000 个抽样实体中发现的风险最高的宿主机和用户。
每个 Kibana 实例的预览限制为两个风险评分。
要预览高风险实体,请在导航菜单中找到 实体风险评分,或使用全局搜索字段。
开启最新的风险引擎
编辑- 要查看风险评分数据,您的环境中必须生成警报。
- 如果您之前安装了原始的用户和宿主机风险评分模块,并且正在升级到 Elastic Stack 版本 8.11 或更高版本,请参阅升级到最新的风险引擎。
如果您是首次安装风险评分引擎
- 在导航菜单中找到 实体风险评分。
- 打开 实体风险评分 开关。
升级到最新的风险引擎
编辑如果您从较早的 Elastic Stack 版本升级到 8.11,并且安装了原始的风险引擎,则可以升级到最新的风险引擎。您会在存在风险评分数据的地方(例如)收到升级提示:
- 实体分析仪表板
- 用户页面上的用户风险选项卡
- 用户详细信息页面上的用户风险选项卡
- 宿主机页面上的宿主机风险选项卡
- 宿主机详细信息页面上的宿主机风险选项卡
- 在升级提示中单击 管理,或者在导航菜单中找到 实体风险评分。
-
在“实体风险评分”页面上,单击 更新可用 标签旁边的 开始更新。
- 在确认消息中,单击 是,立即更新。旧的转换将被删除,并安装最新的风险引擎。
-
安装完成后,确认 实体风险评分 开关已打开。
升级到最新的风险引擎时,会保留之前的风险评分数据。