实体分析仪表板
编辑实体分析仪表板编辑
实体分析仪表板提供了新兴内部威胁的集中视图,包括主机风险、用户风险和来自网络内部的异常。使用它可以对这些新兴威胁进行分类、调查和响应。
该仪表板包括以下部分
实体 KPI(关键绩效指标)编辑
显示关键主机、关键用户和异常的总数。选择一个链接可跳转到主机风险表、用户风险表或异常表。
主机风险评分编辑
显示您环境的主机风险评分数据,包括主机总数以及最近记录的五个主机风险评分,以及它们关联的主机名、风险数据和检测警报数量。主机风险评分使用加权总和计算,范围从 0(最低)到 100(最高)。
与表格交互以过滤数据、查看更多详细信息并采取行动
- 选择主机风险级别菜单以按所选级别过滤图表。
- 单击主机名链接可打开主机详细信息弹出窗口。
- 将鼠标悬停在主机名链接上以显示内联操作:添加到时间线(将选定值添加到时间线)和复制到剪贴板(复制主机名值以便您稍后粘贴)。
- 单击右上角的查看全部以在“主机”页面上显示所有主机风险信息。
- 单击警报列中的数字链接以在“警报”页面上查看警报。将鼠标悬停在数字上并选择在时间线中调查(
)以启动时间线,其中包含关联主机名值的查询。
有关主机风险评分的更多信息,请参阅实体风险评分。
用户风险评分编辑
显示您环境的用户风险评分数据,包括用户总数以及最近记录的五个用户风险评分,以及它们关联的用户名、风险数据和检测警报数量。与主机风险评分一样,用户风险评分使用加权总和计算,范围从 0(最低)到 100(最高)。
与表格交互以过滤数据、查看更多详细信息并采取行动
- 选择用户风险级别菜单以按所选级别过滤图表。
- 单击用户名链接可打开用户详细信息弹出窗口。
- 将鼠标悬停在用户名链接上以显示内联操作:添加到时间线(将选定值添加到时间线)和复制到剪贴板(复制用户名值以便您稍后粘贴)。
- 单击右上角的查看全部以在“用户”页面上显示所有用户风险信息。
- 单击警报列中的数字链接以在“警报”页面上查看警报。将鼠标悬停在数字上并选择在时间线中调查()以启动时间线,其中包含关联用户名值的查询。
有关用户风险评分的更多信息,请参阅实体风险评分。
异常编辑
异常检测作业识别可疑或异常的行为模式。“异常”表显示了这些预构建机器学习作业(在异常名称列中命名)识别的异常总数。
与表格交互以查看更多详细信息
- 单击查看所有主机异常以转到“主机”页面上的“异常”表。
- 单击查看所有用户异常以转到“用户”页面上的“异常”表。
- 单击查看全部以在“异常检测作业”页面上显示和管理所有机器学习作业。
要了解有关机器学习的更多信息,请参阅什么是 Elastic 机器学习?