用户页面
编辑用户页面
编辑“用户”页面提供了用户数据的全面概览,帮助您了解环境中的身份验证和用户行为。关键绩效指标 (KPI) 图表、数据表和交互式小部件使您可以查看特定数据并向下钻取以获取更深入的见解。
“用户”页面包含以下部分
用户 KPI(关键绩效指标)图表
编辑KPI 图表显示在日期选择器中指定的时间范围内,用户总数以及成功和失败的用户身份验证次数。KPI 图表中的数据通过线形图和条形图进行可视化。
将鼠标悬停在 KPI 图表内部以显示操作菜单 ( … ),您可以在其中执行以下操作:检查、在 Lens 中打开以及添加到新的或现有案例。
数据表
编辑KPI 图表下方是数据表,可用于查看和调查特定类型的数据。选择相关的选项卡以查看以下详细信息
-
事件:包含
user.name字段的摄取事件。您可以按event.action、event.dataset或event.module字段进行堆叠。要显示从外部监控工具收到的警报,请向下滚动到“事件”表,然后选择右侧的 仅显示外部警报 。 - 所有用户:唯一的用户名按时间顺序排列的列表,包括用户上次活动的时间以及关联的域。
- 身份验证:用户身份验证事件以及相关详细信息(例如成功和失败的次数以及上次成功的目标主机名)的时间顺序列表。
- 异常:机器学习作业发现的包含用户数据的异常活动。
- 用户风险:每个用户的最新记录用户风险评分及其用户风险分类。此功能需要 Platinum 订阅或更高版本,并且必须启用才能显示数据。单击 用户风险 选项卡上的 启用 开始使用。要了解更多信息,请参阅我们的实体风险评分文档。
“事件”表包括内联操作和多个自定义选项。要了解有关如何处理这些表中的数据的更多信息,请参阅 管理检测警报。
用户详细信息页面
编辑用户的详细信息页面显示所选用户的所有相关信息。要查看用户的详细信息页面,请从所有用户表中单击其用户名链接。
用户详细信息页面包括以下部分
- 资产关键性:此部分显示用户当前的资产关键性级别。
- 摘要:详细信息,例如用户 ID、用户首次和上次出现的时间、关联的 IP 地址以及操作系统。如果启用了用户风险评分功能,则此部分还会显示用户风险评分数据。
-
警报指标:按严重性、规则和状态(
打开、已确认或已关闭)的警报总数。 - 数据表:与主“用户”页面上的数据表相同,但值是针对所选用户,而不是针对所有用户。
用户详细信息弹出窗口
编辑除了用户详细信息页面之外,相关用户的信息也可在整个 Elastic 安全应用程序的用户详细信息弹出窗口中获得。您可以从以下位置访问此弹出窗口
- “警报”页面,通过单击“警报”表中的用户名
- “实体分析”仪表板,通过单击“用户风险评分”表中的用户名
- “用户”和用户详细信息页面上的事件选项卡,通过单击“事件”表中的用户名
- 用户详细信息页面上的用户风险选项卡,通过单击“风险评分贡献者排名”表中的用户名
- “主机”和主机详细信息页面上的事件选项卡,通过单击“事件”表中的用户名
- 主机详细信息页面上的主机风险选项卡,通过单击“风险评分贡献者排名”表中的用户名
用户详细信息弹出窗口包括以下部分
用户风险摘要
编辑用户风险摘要部分包含风险摘要可视化和表。
风险摘要可视化显示用户风险评分和用户风险级别。将鼠标悬停在可视化上以显示 选项 菜单。使用此菜单可检查可视化的查询、将其添加到新的或现有案例、将其保存到您的可视化库,或在 Lens 中打开以进行自定义。
风险摘要表显示确定用户风险评分的类别、评分和风险输入数。将鼠标悬停在该表上以显示 检查 按钮,您可以使用该按钮检查该表的查询。
要展开 用户风险摘要 部分,请单击 查看风险贡献。左侧面板显示有关用户风险输入的其他详细信息
- 来自最新风险评分计算的资产关键性级别和贡献评分。
- 对最新风险评分计算做出贡献的前 10 个警报,以及每个警报的贡献评分。
如果有 10 个以上的警报对风险评分计算做出贡献,则剩余警报的总贡献评分将显示在 警报 表下方。
资产关键性
编辑资产关键性部分显示所选用户的资产关键性级别。资产关键性有助于整体用户风险评分。关键性级别定义了在计算风险评分时用户的影响程度。
单击 分配 以将关键性级别分配给所选用户,或单击 更改 以更改当前分配的关键性级别。
见解
编辑见解部分显示用户的错误配置发现。单击 错误配置 可展开弹出窗口并查看此数据。
观察到的数据
编辑此部分显示详细信息,例如用户 ID、用户首次和上次出现的时间以及关联的 IP 地址和操作系统。
