« 配置高级设置 安全 AI »
Elastic 文档 Elastic 安全解决方案 [8.14]

Elastic Security UI

编辑

Elastic Security UI编辑

Elastic Security 应用程序是一个高度交互式的安全分析师工作区,可以清晰地概述来自您环境的事件和警报。您可以使用交互式 UI 深入探究感兴趣的区域。

搜索编辑

通过在搜索栏中输入 Kibana 查询语言 (KQL) 查询来过滤警报、事件、进程和其他重要的安全数据,搜索栏出现在应用程序中每个页面的顶部。默认情况下,一个设置为 今天 的日期/时间过滤器已启用,但可以更改为任何时间范围。

search bar
  • 要细化搜索结果,请选择 添加过滤器 (添加过滤器图标),然后输入字段、运算符(例如 不等于介于)以及过滤器的值。
  • 要保存当前 KQL 查询和任何应用的过滤器,请选择 已保存查询菜单 (已保存查询菜单图标),输入已保存查询的名称,然后选择 保存已保存查询

导航菜单编辑

导航菜单包含直接链接和可扩展组,由组图标 (组图标) 标识。

  • 点击顶级链接直接跳转到其登录页面,该页面包含相关页面的链接和信息。
  • 点击组的图标 (组图标) 打开其弹出菜单,该菜单显示该组中相关页面的链接。点击弹出菜单中的链接导航到其登录页面。
  • 点击 折叠侧边导航 图标 (侧边菜单折叠图标) 可折叠和展开主导航菜单。
Overview of the navigation menu

可视化操作编辑

当您将鼠标悬停在许多 Elastic Security 直方图、图形和表格上时,它们会显示一个 检查 按钮 (检查图标)。点击检查在应用程序中检索数据的 Elasticsearch 查询。

Inspect icon

其他可视化会显示一个选项菜单 (三点菜单图标),它允许您检查可视化的查询、将其添加到新案例或现有案例,或在 Lens 中打开以进行自定义。

Options menu opened

字段和值的内联操作编辑

在整个 Elastic Security 应用程序中,您可以将鼠标悬停在许多数据字段和值上以显示内联操作,这些操作允许您根据该字段或值自定义视图或进行更深入的调查。

Inline additional actions menu

在某些可视化中,这些操作在图例中可用,方法是点击值的选项图标 (垂直三点图标)。

Actions in a visualization legend

内联操作包括以下内容(某些操作在某些上下文中不可用)

  • 筛选入: 添加一个包含所选值的过滤器。
  • 筛选出: 添加一个排除所选值的过滤器。
  • 添加到时间线: 为所选值向时间线添加一个过滤器。
  • 在表格中切换列: 在警报或事件表格中添加或删除所选字段作为列。(此操作仅在警报或事件的详细信息弹出菜单中可用。)
  • 显示前 x: 显示一个弹出窗口,显示所选字段的顶部事件或检测警报。
  • 复制到剪贴板: 复制所选的字段-值对,以便粘贴到其他地方。

Elastic Security 应用程序页面编辑

Elastic Security 应用程序包含以下页面,这些页面使分析师能够查看、分析和管理安全数据。

仪表板编辑

展开此部分以访问概述、检测和响应、Kubernetes、云安全态势、云原生漏洞管理、实体分析和数据质量仪表板,这些仪表板提供交互式可视化,可汇总您的数据。您还可以创建和查看自定义仪表板。有关更多信息,请参阅 仪表板

The dashboards landing page

规则编辑

展开此部分以访问以下页面

  • 规则: 创建和管理规则以监控可疑事件。

    Rules page

  • 基准: 查看、设置或配置云安全基准。

    Benchmark Integrations page

  • 共享异常列表: 查看和管理规则异常和共享异常列表。

    Shared Exception Lists page

  • MITRE ATT&CK® 覆盖范围: 根据已安装的规则,查看对 MITRE ATT&CK® 策略和技术的覆盖范围。

    MITRE ATT&CK® coverage page

警报编辑

查看和管理警报以监控网络内的活动。有关更多信息,请参阅 检测和警报

alert page

发现编辑

识别云基础设施中的错误配置和漏洞。有关设置说明,请参阅 云安全态势管理Kubernetes 安全态势管理云原生漏洞管理

Findings page

案例编辑

打开和跟踪安全问题。有关更多信息,请参阅 案例

Cases page

时间线编辑

调查网络中的警报和复杂威胁(例如横向移动)。时间线是交互式的,允许您与其他团队成员共享您的发现。有关更多信息,请参阅 在时间线中调查事件

Timeline page

点击 Elastic Security 应用程序底部的 时间线 按钮开始调查。

情报编辑

情报部分包含指标页面,该页面收集来自已启用威胁情报源的数据,并提供攻击指标 (IOC) 的集中视图。有关更多信息,请参阅 攻击指标

Indicators page

探索编辑

展开此部分以访问以下页面

  • 主机: 使用图形、图表和交互式数据表格,检查与主机相关的安全事件的关键指标。

    Hosts page

  • 网络: 探索交互式地图以发现关键的网络活动指标,并在时间线中进一步调查网络事件。

    Network page

  • 用户: 访问用户数据的全面概述,以帮助您了解环境中的身份验证和用户行为。

    Users page

入门编辑

快速添加可以摄取数据和监控主机的安全集成。

管理编辑

展开此部分以访问和管理其他安全功能

  • 实体风险评分: 管理实体风险评分,并预览风险实体。
  • 端点: 查看和管理运行 Elastic Defend 的主机。
  • 策略: 查看和管理 Elastic Defend 集成策略。
  • 受信任的应用程序: 查看和管理受信任的 Windows、macOS 和 Linux 应用程序。
  • 事件过滤器: 查看和管理事件过滤器,这些过滤器允许您过滤不需要存储在 Elasticsearch 中的端点事件。
  • 主机隔离异常: 查看和管理主机隔离异常,这些异常指定即使主机被阻止访问网络,也可以与您的主机通信的 IP 地址。
  • 阻止列表: 查看和管理阻止列表,该列表允许您阻止指定应用程序在主机上运行,扩展 Elastic Defend 认为是恶意进程的列表。
  • 响应操作历史记录: 查找对主机执行的响应操作的历史记录。
  • 容器工作负载保护: 识别和阻止 Kubernetes 容器中的意外系统行为。
Manage page

辅助功能编辑

Elastic Security UI 中内置了辅助功能,例如键盘焦点和屏幕阅读器支持。这些功能提供了其他方法来导航 UI 和与应用程序交互。

与可拖动元素交互编辑

使用键盘与 Elastic Security UI 中的可拖动元素交互

  • Tab 键将键盘焦点应用于表格中的元素。或者,使用鼠标点击元素并将键盘焦点应用于该元素。
timeline accessiblity keyboard focus
  • 在具有键盘焦点的元素上按 Enter 键以显示其菜单,然后按 Tab 键以按顺序将焦点应用于菜单选项。在此过程中,foatc 热键会自动启用,并提供与菜单选项交互的另一种方式。
timeline accessiblity keyboard focus hotkeys
  • 按空格键一次开始将元素拖动到其他位置,然后再次按空格键将其放置。使用方向键在 UI 中移动元素。
timeline ui accessiblity drag n drop
  • 如果事件具有事件渲染器,请按 Shift 键和向下方向键将键盘焦点应用于事件渲染器,并使用 TabShift + Tab 在字段之间导航。要返回当前行的单元格,请按向上方向键。要移动到下一行,请按向下方向键。
timeline accessiblity event renderers

导航 Elastic Security UI编辑

使用键盘在 Elastic Security UI 中导航行、列和菜单选项。

  • 使用方向键在表格中将键盘焦点移动到右、左、上和下。
timeline accessiblity directional arrows
  • Tab 键在包含多个元素(如按钮、字段名称和菜单)的表格单元格中导航。按 Tab 键会依次将键盘焦点应用于表格单元格中的每个元素。
timeline accessiblity tab keys
  • 使用 CTRL + Home 将键盘焦点移到行的第一个单元格。同样,使用 CTRL + End 将键盘焦点移到行的最后一个单元格。
timeline accessiblity shifting keyboard focus
  • 使用 Page UpPage Down 键滚动页面。
timeline accessiblity page up n down
« 配置高级设置 安全 AI »