« MITRE ATT&CK® 覆盖范围 可视化检测告警 »
Elastic 文档 Elastic Security 解决方案 [8.17] 检测和告警

管理检测告警

编辑

管理检测告警

编辑

“告警”页面显示所有检测告警。在“告警”页面中,您可以筛选告警、查看告警趋势、更改告警状态、将告警添加到案例以及开始调查和分析告警。

Alerts page overview

查看和筛选检测告警

编辑

在您调查可疑事件时,“告警”页面提供了多种方法来组织和分类检测告警。您可以

  • 查看告警的详细信息。从“告警”表中单击查看详细信息按钮,以打开告警详细信息弹出框。有关更多信息,请参阅查看检测告警详细信息

    View details button
  • 查看创建告警的规则。单击规则列中的名称,以打开规则的详细信息页面。
  • 查看与告警关联的主机和用户的详细信息。在“告警”表中,单击主机名称以打开主机详细信息弹出框,或单击用户名以打开用户详细信息弹出框
  • 在 KQL 栏中筛选特定规则(例如,kibana.alert.rule.name :"来自 Internet 的 SSH (Secure Shell)")。KQL 自动完成功能适用于 .alerts-security.alerts-* 索引。
  • 使用日期和时间筛选器定义特定时间范围。默认情况下,此筛选器设置为搜索最近 24 小时。
  • 使用下拉筛选控件,按最多四个字段筛选告警。默认情况下,您可以按状态严重性用户主机筛选告警,并且可以编辑控件以使用其他字段。
  • 在可视化部分中,按特定字段可视化和分组告警。使用左侧的按钮选择视图类型(摘要趋势计数树状图),并使用右侧的菜单选择用于分组告警的 ECS 字段。有关每种视图类型的更多信息,请参阅可视化检测告警

  • 将鼠标悬停在某个值上,以显示可用的内联操作,例如筛选到排除筛选添加到时间线。单击展开图标可查看更多选项,包括显示前 x复制到剪贴板。可用选项因数据类型而异。

    Inline additional actions menu

  • 通过选择其他筛选器下拉列表,筛选告警结果以包括构建块告警,或仅显示来自指示器匹配规则的告警。默认情况下,构建块告警将从“概览”和“告警”页面中排除。您可以选择在“告警”页面中包括构建块告警,这会增加告警的数量。

    在更新告警结果以包括构建块告警时,Security 应用程序会在 .alerts-security.alerts-<Kibana space> 索引中搜索 kibana.alert.building_block_type 字段。在查找从指示器匹配规则创建的告警时,该应用程序会在同一索引中搜索 kibana.alert.rule.type:'threat_match'

    Alerts table with Additional filters menu highlighted
  • 查看由特定规则生成的检测告警。转到规则检测规则 (SIEM),然后在表中选择规则名称。规则详细信息页面显示规则设置的全面视图,并且趋势直方图下的“告警”表显示与该规则关联的告警,包括来自该规则的任何先前版本或已删除版本的告警。

编辑下拉筛选控件

编辑

默认情况下,“告警”页面上的下拉控件按状态严重性用户主机筛选告警。您可以编辑它们以按不同的字段筛选,以及删除、添加和重新排序它们(如果您喜欢不同的顺序)。

Alerts page with drop-down controls highlighted
  • “告警”页面上最多可以有四个控件。
  • 您不能删除状态控件。
  • 如果您对控件进行任何更改,则必须保存待定更改才能使其持久化。
  • 保存的更改存储在浏览器的本地存储中,而不是您的用户配置文件中。如果您清除浏览器的存储或从其他浏览器登录您的用户配置文件,您将丢失您的自定义设置。
  1. 单击控件旁边的三点图标 (三点图标),然后选择编辑控件

  2. 执行以下任意操作

    • 要重新排序控件,请单击并拖动控件的手柄 (控件手柄)。
    • 要删除控件,请将鼠标悬停在其上方并选择删除控件 (红色 X 图标)。
    • 要编辑控件,请将鼠标悬停在其上方并选择编辑控件 (编辑图标)。
    • 要添加新控件,请单击添加控件 (添加图标)。如果已经有四个控件,则必须先删除一个控件才能为新控件腾出空间。

  3. 如果您正在编辑或添加控件,请在打开的配置弹出框中执行以下操作

    1. 字段列表中,选择筛选器的字段。控件类型会自动应用于您选择的字段。
    2. 输入用于标识控件的标签
    3. 单击保存并关闭
  4. 单击保存待定更改 (保存图标)。

分组告警

编辑

您可以按规则名称、用户名、主机名、源 IP 地址或任何其他字段对告警进行分组。选择按以下项分组告警,然后选择一个选项或自定义字段以指定其他字段。

选择最多三个字段用于分组告警。组将按您选择的顺序嵌套,并且嵌套顺序将显示在表上方按以下项分组告警旁边。

Alerts table with Group alerts by drop-down

每个组都会显示信息,例如告警的严重性以及组中有多少用户、主机和告警。显示的信息因所选字段而异。

要与分组告警交互

  • 选择执行操作菜单,以对组中的所有告警执行批量操作,例如更改其状态

  • 单击组的名称或展开图标 (分组告警展开图标),以显示该组中的告警。您可以像任何其他告警表一样筛选和自定义此视图。

    Expanded alert group with alerts table

自定义“告警”表

编辑

使用“告警”表左上方的工具栏按钮来自定义要显示的列

  • :重新排序列。
  • 已排序的 x 个字段:按一个或多个列对表进行排序。
  • 字段:选择要在表中显示的字段。您还可以向检测告警添加运行时字段,并在“告警”表中显示它们。

单击右上方的全屏按钮,以全屏模式查看表。

Alerts table with toolbar buttons highlighted

使用“告警”表右上方的视图选项下拉列表来控制告警的显示方式

  • 网格视图:在传统表视图中显示告警,每列对应一个字段
  • 事件呈现视图:在描述性事件流中显示告警,其中包含有关事件的相关详细信息和上下文。
Alerts table with the Event rendered view enabled

使用网格视图时,您可以单击原因列中的展开图标,以查看特定告警的告警呈现原因语句和事件呈现。某些事件没有事件呈现。

对告警执行操作

编辑

从“告警”表或告警详细信息弹出框中,您可以

更改告警的状态

编辑

您可以设置告警的状态,以指示它是否需要调查 (打开)、正在主动调查 (已确认) 或已解决 (已关闭)。默认情况下,“告警”页面显示打开的告警。要筛选已确认已关闭的告警,请使用“告警”页面顶部的状态下拉筛选器。

要更改告警的状态,请执行以下操作之一

  • 在“告警”表中,单击告警行中的更多操作 (…​),然后选择一个状态。

  • 在“告警”表中,选择要更改的告警,单击表左上方已选择 x 个告警,然后选择一个状态。

    Bulk action menu with multiple alerts selected
  • [beta] 此功能为 Beta 版,可能会发生更改。其设计和代码不如官方 GA 功能成熟,并按原样提供,不提供任何保证。Beta 版功能不受官方 GA 功能的支持 SLA 的约束。 要批量更改分组警报的状态,请选择组的执行操作菜单,然后选择一个状态。
  • 在警报的详细信息浮出控件中,单击执行操作,然后选择一个状态。

应用和筛选警报标签

编辑

使用警报标签将相关的警报组织到可以筛选和分组的类别中。例如,使用 False Positive 警报标签将一组警报标记为误报。然后,通过在 KQL 栏中输入 kibana.alert.workflow_tags : "False Positive" 查询来搜索它们。或者,使用“警报”表的下拉筛选器来筛选带有标签的警报。

您可以通过更新 securitySolution:alertTags 高级设置来管理警报标签选项。有关详细信息,请参阅管理警报标签选项

要在“警报”表中显示警报标签,请单击字段并添加 kibana.alert.workflow_tags 字段。

要在单个警报上应用或删除警报标签,请执行以下操作之一

  • 在“警报”表中,单击警报行中的更多操作…​),然后单击应用警报标签。选择或取消选择标签,然后单击应用标签
  • 在警报的详细信息浮出控件中,单击执行操作 → 应用警报标签。选择或取消选择标签,然后单击应用标签

要在多个警报上应用或删除警报标签,请选择要更改的警报,然后单击表格左上方的已选择x个警报。单击应用警报标签,选择或取消选择标签,然后单击应用标签

Bulk action menu with multiple alerts selected

将用户分配给警报

编辑

将用户分配给您希望他们调查的警报,并在警报的整个生命周期中管理警报受让人。

用户在被分配或取消分配警报时不会收到通知。

操作 说明

将用户分配给警报

选择以下操作之一

  • “警报”表 - 单击警报行中的更多操作…​),然后单击分配警报。选择用户,然后单击应用
  • “警报详细信息”浮出控件 - 单击执行操作 → 分配警报。或者,单击警报详细信息浮出控件顶部的分配警报图标,选择用户,然后单击应用

从警报中取消分配所有用户

选择以下操作之一

  • “警报”表 - 单击警报行中的更多操作…​),然后单击取消分配警报
  • “警报详细信息”浮出控件 - 单击执行操作 → 取消分配警报

将用户分配给多个警报

在“警报”表中,选择要更改的警报。单击表格左上方的已选择x个警报,然后单击分配警报。选择用户,然后单击应用

已分配给某些选定警报的用户将在选择列表中显示为未分配。选择上述用户会将他们分配给他们尚未分配的所有警报。

从多个警报中取消分配用户

在“警报”表中,选择要更改的警报,然后单击表格左上方的已选择x个警报。单击取消分配警报以从警报中删除用户。

通过将受让人列添加到“警报”表(字段kibana.alert.workflow_assignee_ids),显示已分配给警报的用户。最多可以在受让人列中显示四个已分配的用户。如果将警报分配给五个或更多用户,则会显示一个数字。

Alert assignees in the Alerts table

已分配的用户会自动显示在警报详细信息浮出控件中。最多可以在浮出控件中显示两个已分配的用户。如果将警报分配给三个或更多用户,则会显示一个带编号的徽章。

Alert assignees in the alert details flyout

筛选分配的警报

编辑

单击“警报”表上方的受让人筛选器,然后选择要按其筛选的用户。

Filtering assigned alerts

从警报中添加规则例外

编辑

您可以直接从“警报”表向生成警报的规则添加例外。例外可以阻止规则生成警报,即使满足其条件也是如此。

要添加例外,请单击“警报”表中的更多操作菜单(…​),然后选择添加例外。或者,在警报详细信息浮出控件中选择执行操作添加规则例外

有关例外以及如何使用它们的详细信息,请参阅添加和管理例外

在“时间线”中查看警报

编辑

  • 要在“时间线”中查看单个警报,请单击“警报”表中的在时间线中调查按钮。或者,在警报详细信息浮出控件中选择执行操作在时间线中调查

    Investigate in timeline button

  • 要在“时间线”中查看多个警报(最多 2,000 个),请选中警报旁边的复选框,然后单击已选择x个警报在时间线中调查

    Bulk add alerts to timeline button

当您将阈值规则生成的警报发送到“时间线”时,所有匹配的事件都会列在“时间线”中,即使那些没有达到阈值的事件也会列出。例如,如果您有一个由检测 10 次失败登录尝试的阈值规则生成的警报,当您将该警报发送到“时间线”时,规则检测到的所有失败登录尝试都会被列出。

假设生成警报的规则使用“时间线”模板。在这种情况下,当您在“时间线”中调查警报时,模板中定义的放置区查询值将被替换为其对应的警报值。

示例

此“时间线”模板在规则中使用 host.name: "{host.name}" 放置区筛选器。当在“时间线”中调查由该规则生成的警报时,{host.name} 值将替换为警报的 host.name 值。如果警报的 host.name 值为 Windows-ArsenalFC,则“时间线”放置区查询为 host.name: "Windows-ArsenalFC"

有关创建“时间线”和“时间线”模板的信息,请参阅时间线。有关如何将“时间线”模板添加到规则的信息,请参阅创建检测规则

« MITRE ATT&CK® 覆盖范围 可视化检测告警 »