Elastic Security 用户界面
编辑Elastic Security 用户界面
编辑Elastic Security 应用程序是一个高度交互式的工作区,专为安全分析师设计,可清晰地概述来自您环境的事件和警报。您可以使用交互式 UI 深入研究感兴趣的领域。
搜索
编辑通过在应用程序中每页顶部出现的搜索栏中输入 Kibana 查询语言 (KQL) 查询,筛选警报、事件、进程和其他重要的安全数据。默认情况下启用设置为 今天 的日期/时间筛选器,但可以更改为任何时间范围。
- 要优化搜索结果,请选择 添加筛选器 (
),然后输入筛选器的字段、运算符(例如 不是或介于)和值。 - 要保存当前的 KQL 查询和任何应用的筛选器,请选择 已保存查询菜单 (
),输入已保存查询的名称,然后选择 保存已保存查询。
导航菜单
编辑导航菜单包含直接链接和可展开的组,由组图标标识 (
)。
- 单击顶层链接可直接转到其着陆页,其中包含相关页面的链接和信息。
- 单击组的图标 () 可打开其弹出菜单,其中显示该组中相关页面的链接。单击弹出菜单中的链接可导航到其着陆页。
- 单击 折叠侧边导航 图标 (
) 可折叠和展开主导航菜单。
可视化操作
编辑当您将鼠标悬停在许多 Elastic Security 直方图、图形和表格上时,它们会显示 检查 按钮 (
)。单击以检查用于在整个应用程序中检索数据的 Elasticsearch 查询。
其他可视化显示一个选项菜单 (
),您可以使用该菜单检查可视化的查询、将其添加到新的或现有案例中,或在 Lens 中打开它进行自定义。
字段和值的内联操作
编辑在整个 Elastic Security 应用程序中,您可以将鼠标悬停在许多数据字段和值上以显示内联操作,使您可以自定义视图或基于该字段或值进行进一步调查。
在某些可视化中,这些操作在图例中通过单击值的选项图标 (
) 提供。
内联操作包括以下各项(某些操作在某些上下文中不可用):
- 筛选包含:添加包含所选值的筛选器。
- 筛选排除:添加排除所选值的筛选器。
- 添加到时间线:为所选值向时间线添加筛选器。
- 切换表格中的列:在警报或事件表格中添加或删除所选字段作为列。(此操作仅在警报或事件的详细信息弹出菜单中可用。)
- 显示前 x 个:显示一个弹出窗口,其中显示所选字段的前几个事件或检测警报。
- 复制到剪贴板:复制所选字段-值对以粘贴到其他位置。
Elastic Security 应用程序页面
编辑Elastic Security 应用程序包含以下页面,使分析师能够查看、分析和管理安全数据。
仪表板
编辑展开此部分以访问概述、检测和响应、Kubernetes、云安全态势、云原生漏洞管理、实体分析和数据质量仪表板,这些仪表板提供汇总您数据的交互式可视化。您还可以创建和查看自定义仪表板。有关更多信息,请参阅仪表板。
规则
编辑展开此部分以访问以下页面
-
规则:创建和管理规则以监视可疑事件。
-
基准:查看、设置或配置云安全基准。
-
共享例外列表:查看和管理规则例外和共享例外列表。
-
MITRE ATT&CK® 覆盖范围:根据安装的规则,查看您对 MITRE ATT&CK® 战术和技术的覆盖范围。
警报
编辑查看和管理警报以监视您网络中的活动。有关更多信息,请参阅检测和警报。
发现
编辑识别您云基础设施中的错误配置和漏洞。有关设置说明,请参阅云安全态势管理、Kubernetes 安全态势管理或云原生漏洞管理。
案例
编辑打开和跟踪安全问题。有关更多信息,请参阅案例。
时间线
编辑调查您网络中的警报和复杂威胁(例如横向移动)。时间线是交互式的,允许您与其他团队成员共享您的发现。有关更多信息,请参阅时间线。
单击 Elastic Security 应用程序底部的 时间线 按钮以开始调查。
情报
编辑情报部分包含“指标”页面,该页面从启用的威胁情报源收集数据,并提供集中查看入侵指标 (IoC) 的视图。有关更多信息,请参阅入侵指标。
浏览
编辑展开此部分以访问以下页面
入门
编辑快速添加可以摄取数据和监视您主机安全的集成。
管理
编辑展开此部分以访问和管理其他安全功能
- 实体风险评分:管理实体风险评分,并预览有风险的实体。
- 端点:查看和管理运行 Elastic Defend 的主机。
- 策略:查看和管理 Elastic Defend 集成策略。
- 受信任的应用程序:查看和管理受信任的 Windows、macOS 和 Linux 应用程序。
- 事件筛选器:查看和管理事件筛选器,这些筛选器允许您筛选不需要存储在 Elasticsearch 中的端点事件。
- 主机隔离例外:查看和管理主机隔离例外,这些例外指定即使主机被阻止访问您的网络,也可以与您的主机通信的 IP 地址。
- 阻止列表:查看和管理阻止列表,该列表允许您防止指定的应用程序在主机上运行,从而扩展 Elastic Defend 认为恶意的进程列表。
- 响应操作历史记录:查找在主机上执行的响应操作的历史记录。
- 容器工作负载保护:识别并阻止 Kubernetes 容器中意外的系统行为。
辅助功能
编辑诸如键盘焦点和屏幕阅读器支持之类的辅助功能已内置于 Elastic Security UI 中。这些功能提供了其他导航 UI 和与应用程序交互的方式。
与可拖动元素交互
编辑使用键盘与 Elastic Security UI 中的可拖动元素交互
- 按
Tab键将键盘焦点应用于表格中的元素。或者,使用鼠标单击元素并将键盘焦点应用于它。
- 在具有键盘焦点的元素上按
Enter键以显示其菜单,然后按Tab键以将焦点依次应用于菜单选项。在此过程中,会自动启用f、o、a、t、c热键,并提供与菜单选项交互的另一种方式。
- 按空格键一次以开始将元素拖动到其他位置,然后再次按空格键以放下它。使用方向箭头在 UI 周围移动元素。
- 如果事件具有事件渲染器,请按
Shift键和向下方向键,将键盘焦点应用到事件渲染器,然后使用Tab键或Shift+Tab键在字段之间导航。要返回到当前行中的单元格,请按向上方向键。要移动到下一行,请按向下方向键。
导航 Elastic Security UI
编辑使用键盘在 Elastic Security UI 中导航行、列和菜单选项
- 使用方向键在表格中向右、向左、向上和向下移动键盘焦点。
- 按
Tab键在具有多个元素的表格单元格(例如按钮、字段名称和菜单)中导航。按Tab键将按顺序将键盘焦点应用到表格单元格中的每个元素。
- 使用
CTRL + Home将键盘焦点移动到行中的第一个单元格。同样,使用CTRL + End将键盘焦点移动到行中的最后一个单元格。
- 使用
Page Up和Page Down键在页面中滚动。
