可视化事件分析器
编辑可视化事件分析器
编辑Elastic Security 允许使用基于进程的可视化分析器来分析 Elastic Endpoint 检测到的任何事件,该分析器显示了导致警报的进程的图形时间线以及之后立即发生的事件。在可视化事件分析器中检查事件有助于确定潜在恶意活动的来源以及环境中可能被破坏的其他区域。它还使安全分析师能够深入研究所有相关主机、进程和其他事件,以协助他们的调查。
如果您遇到性能下降,您可以从分析器查询中排除冷冻层和冻结层数据。
查找要分析的事件
编辑您只能可视化由配置了 Elastic Defend 集成的主机或来自 winlogbeat 的任何 sysmon 数据触发的事件。
在 KQL 中,这转化为任何 agent.type 设置为以下任一值的事件
-
endpoint -
winlogbeat且event.module设置为sysmon
查找可以进行可视化分析的事件
-
首先,通过执行以下操作之一显示事件列表
-
通过在 KQL 搜索栏中输入以下任一查询来筛选可以进行可视化分析的事件,然后选择 Enter
-
agent.type:"endpoint" 和 process.entity_id :*或
-
agent.type:"winlogbeat" 和 event.module: "sysmon" 和 process.entity_id : *
-
-
可以使用立方体 分析事件 图标来表示可以进行可视化分析的事件。选择此选项可在可视化分析器中打开该事件。事件分析器可以从 主机、警报 和 时间线 页面以及警报详细信息弹出窗口访问。
启用
securitySolution:enableVisualizationsInFlyout高级设置,以从警报或事件详细信息弹出窗口中的 可视化 选项卡访问事件分析器。
无法分析的事件将没有 分析事件 选项。如果事件具有不兼容的字段映射,则可能会发生这种情况。
您还可以从时间线分析事件。
可视化事件分析器 UI
编辑在可视化分析器中,每个立方体代表一个进程,例如可执行文件或网络事件。在分析器中单击并拖动以探索所有进程关系的层次结构。
要了解用于创建进程的字段,请选择 进程树 以显示创建图形视图的架构。包含的字段为
-
SOURCE:可以是endpoint或winlogbeat -
ID:唯一标识节点的事件字段 -
EDGE:指示两个节点之间关系的事件字段
单击 图例 以显示每个进程节点的状态。
使用日期和时间过滤器在特定时间范围内分析事件。默认情况下,选定的时间范围与打开警报的表的时间范围匹配。
选择不同的数据视图以进一步筛选警报的相关事件。
要将分析器扩展到全屏,请选择左侧面板上方的 全屏 图标。
左侧面板包含与事件相关的所有进程的列表,从事件链的第一个进程开始。分析的事件 — 您选择从事件列表或时间线分析的事件 — 用立方体周围的浅蓝色轮廓突出显示。
在图形视图中,您可以
- 使用最右侧的滑块放大和缩小图形视图
- 在图形视图中单击并拖动以查看更多进程关系
- 观察从父进程派生的子进程事件
- 确定每个进程之间经过了多少时间
- 识别与每个进程相关的所有事件
进程和事件详细信息
编辑要了解有关每个相关进程的更多信息,请在左侧面板或图形视图中选择该进程。左侧面板会显示进程详细信息,例如
- 与进程关联的事件数
- 进程执行的时间戳
- 主机中进程的文件路径
进程 PID- 运行进程的用户名和域
- 任何其他相关的进程信息
- 任何关联的警报
首次选择进程时,它会显示在加载状态。如果给定进程的数据加载失败,请单击进程下方的 重新加载 {process-name} 以重新加载数据。
通过选择进程详细信息视图顶部的事件 URL 或选择图形视图中的一个事件胶囊来访问事件详细信息。
事件根据 event.category 值进行分类。
当您选择 event.category 胶囊时,左侧面板中会列出该类别中的所有事件。要显示有关特定事件的更多详细信息,请从列表中选择它。
在 Elastic Stack 7.10.0 及更高版本中,与进程关联的事件数量没有限制。但是,在 Elastic Stack 7.9.0 及更早版本中,每个进程仅限于 100 个事件。
如果您拥有白金版或企业版订阅,您还可以检查与事件关联的警报。
要检查与事件关联的警报,请选择警报胶囊(x 个警报)。左侧窗格列出关联的警报总数,并且警报按从旧到新的顺序排列。每个警报都会显示生成警报的事件类型(event.category)、事件时间戳(@timestamp)以及生成警报的规则(kibana.alert.rule.name)。单击规则名称以打开警报的详细信息。
在下面的示例屏幕截图中,分析的事件(lsass.exe)生成了五个警报。左侧窗格显示关联的警报以及有关每个警报的基本信息。
