查看和分析风险评分数据
编辑查看和分析风险评分数据编辑
Elastic 安全应用程序提供了几种选项,用于监控环境中主机和用户的风险态势变化。使用 Elastic 安全应用程序中的以下位置查看和分析风险评分数据
我们建议您优先考虑 警报分类 以识别异常或异常行为模式。
实体分析仪表盘编辑
从实体分析仪表盘,您可以访问实体的关键性能指标 (KPI)、风险评分和级别。您还可以点击 警报 列中的数字链接,以调查和分析警报页面上的警报。
警报分类编辑
您可以优先考虑警报分类,使用 Elastic 安全应用程序中的以下功能分析与高风险或业务关键实体相关的警报。
警报页面编辑
使用警报表调查和分析
- 主机和用户风险级别
- 主机和用户风险评分
- 资产关键性
要在警报表中显示实体风险评分和资产关键性数据,请选择 字段,然后添加以下内容
-
user.risk.calculated_level或host.risk.calculated_level -
user.risk.calculated_score_norm或host.risk.calculated_score_norm -
user.asset.criticality或host.asset.criticality
了解有关 自定义警报表 的更多信息。
分类与高风险或业务关键实体相关的警报编辑
要分析与高风险或业务关键实体相关的警报,您可以按实体风险级别或资产关键性级别对其进行筛选或分组。
如果您在生成警报后更改了实体的关键性级别,该警报文档将包含原始关键性级别,不会反映新的关键性级别。
-
使用下拉筛选控件按实体风险级别或资产关键性级别筛选警报。为此,编辑默认控件 以按以下方式筛选
-
user.risk.calculated_level或host.risk.calculated_level用于实体风险级别
-
user.asset.criticality或host.asset.criticality用于资产关键性级别
-
-
要按实体风险级别或资产关键性级别对警报进行分组,请选择 按警报分组,然后选择 自定义字段 并搜索以下内容
-
host.risk.calculated_level或user.risk.calculated_level用于实体风险级别
-
host.asset.criticality或user.asset.criticality用于资产关键性级别
-
您可以进一步按最高实体风险评分对分组后的警报进行排序
- 展开风险级别组(例如,高)或资产关键性组(例如,高影响)。
- 选择 排序字段 → 选择要排序的字段。
-
按以下顺序选择字段
-
host.risk.calculated_score_norm或user.risk.calculated_score_norm: 高到低 -
风险评分: 高到低 -
@timestamp: 新到旧
-
-
警报详细信息弹出窗口编辑
要在警报详细信息弹出窗口中访问风险评分数据,请选择 洞察 → 实体,位于 概述 选项卡上
主机和用户页面编辑
在主机和用户页面,您可以访问风险评分数据
-
在 主机风险级别 或 用户风险级别 列中,位于 所有主机 或 所有用户 选项卡上
-
在 主机风险 或 用户风险 选项卡上
主机和用户详细信息页面编辑
在主机详细信息和用户详细信息页面,您可以访问风险评分数据
-
在概述部分
-
在 主机风险 或 用户风险 选项卡上
主机和用户详细信息弹出窗口编辑
在主机详细信息和用户详细信息弹出窗口中,您可以在风险摘要部分访问风险评分数据
