可视化检测告警
编辑可视化检测告警
编辑在“告警”页面的可视化部分,按特定参数可视化和分组检测告警。
使用左侧的按钮选择视图类型(摘要、趋势、计数或树状图),并使用右侧的菜单选择用于分组的 ECS 字段。
- 按以下项显示顶部告警或按以下项分组:用于分组告警的主字段。
- 按以下项分组(顶部)(如果可用):用于进一步细分分组告警的次要字段。
例如,您可以先按规则名称(按以下项分组:kibana.alert.rule.name)分组,然后按主机名(按以下项分组(顶部):host.name)分组,以可视化哪些检测规则生成了告警,以及哪些主机触发了每个规则。对于具有大量唯一值的分组,将显示前 1,000 个结果。
某些视图类型没有按以下项分组(顶部)选项。您也可以将按以下项分组(顶部)留空,仅按按以下项分组中的主字段进行分组。
要将视图重置为默认设置,请将鼠标悬停在其上并单击出现的选项菜单(
),然后选择重置分组依据字段。
通过选项菜单,您还可以检查可视化的查询。对于趋势和计数视图,您可以将可视化添加到新的或现有的案例,或在 Lens 中打开它。
单击折叠图标(
)以最小化可视化部分,并改为显示关键信息的摘要。
摘要
编辑在“告警”页面上,摘要可视化默认显示,并显示告警在这些指标中的分布情况
- 严重级别:每个严重级别中的告警数量。
- 按名称显示告警:每个检测规则创建的告警数量。
-
按以下项显示顶部告警:具有指定字段值的告警百分比:
host.name(默认值)、user.name、source.ip或destination.ip。
您可以悬停并单击摘要中的元素(例如严重级别、规则名称和主机名),以将具有这些值的筛选器添加到“告警”页面。
趋势
编辑趋势视图显示告警随时间发生的次数。默认情况下,它按检测规则名称 (kibana.alert.rule.name) 对告警进行分组。
趋势视图的按以下项分组(顶部)菜单不可用。
计数
编辑计数视图显示每个组中告警的计数。默认情况下,它首先按检测规则名称 (kibana.alert.rule.name) 对告警进行分组,然后按主机名 (host.name) 分组。
树状图
编辑树状图视图以嵌套的、按比例调整大小的图块显示告警的分布。此视图可以帮助您快速查明最常见和最关键的告警。
较大的图块表示更频繁的告警,每个图块的颜色基于告警的风险评分
-
绿色:低风险 (
0-46) -
黄色:中风险 (
47-72) -
橙色:高风险 (
73-98) -
红色:严重风险 (
99-100)
默认情况下,树状图首先按检测规则名称 (kibana.alert.rule.name) 对告警进行分组,然后按主机名 (host.name) 分组。这显示了哪些规则生成了最多的告警,以及哪些主机负责。
根据告警的数量,某些图块和文本可能非常小。将鼠标悬停在树状图上以在工具提示中显示信息。
您可以单击树状图以缩小树状图和下面告警表中显示的告警范围。单击组上方的标签以显示该组中的告警,或单击单个图块以显示与该图块相关的告警。这会在 KQL 搜索栏下添加筛选器,您可以编辑或删除这些筛选器以进一步自定义视图。
