主机风险评分
编辑主机风险评分编辑
此页面指的是原始用户和主机风险评分模块。如果您安装了原始模块,并且运行的是 Elastic Stack 版本 8.11 或更高版本,您可以升级到最新的风险评分引擎。有关最新风险引擎的信息,请参阅实体风险评分.
此功能适用于 Elastic Stack 版本 7.16.0 及更高版本,并且需要白金订阅或更高版本。
主机风险评分功能突出显示您环境中存在风险的主机。它使用带有脚本指标聚合的转换来计算主机风险评分,这些评分基于过去五天内生成的警报。转换每小时运行一次,以在生成新警报时更新评分。
每个规则对主机风险评分的贡献基于规则的风险评分(signal.rule.risk_score)和一个时间衰减因子,以减少陈旧警报的影响。风险评分使用加权总和计算,其中时间校正后的风险评分较高的规则也具有较高的权重。每个主机风险评分都归一化到 0 到 100 的范围内。
特定的主机属性可以提高最终的风险评分。例如,服务器上的警报活动比笔记本电脑上的警报活动风险更大。因此,如果主机是服务器,则主机风险评分会提高 1.5 倍。此提升后的评分是在计算时间校正后的风险的加权总和后确定的。
下表显示了基于归一化风险评分将风险级别应用于主机的过程
| 风险级别 | 主机风险评分 |
|---|---|
未知 |
< 20 |
低 |
20-40 |
中 |
40-70 |
高 |
70-90 |
严重 |
> 90 |
启用主机风险评分编辑
要启用主机风险评分功能,您必须在环境中拥有警报。如果您之前已启用主机风险评分,并且正在将 Elastic Stack 升级到 8.5-8.10,请参阅升级主机风险评分.
您可以在 Elastic Security 应用程序中的以下位置启用主机风险评分
- 实体分析仪表板
- 主机页面上的主机风险选项卡
- 主机详细信息页面上的主机风险选项卡
或者,在 Kibana 中,您可以在控制台中启用主机风险评分。
要从实体分析仪表板启用主机风险评分
- 在 Elastic Security 应用程序中,转到仪表板 → 实体分析.
- 在主机风险评分部分,单击启用以安装模块。
要从主机页面启用主机风险评分
- 转到探索 → 主机.
- 选择主机风险选项卡,然后单击启用以安装模块。
要从主机详细信息页面启用主机风险评分
- 转到探索 → 主机.
- 选择所有主机选项卡,然后单击主机名称。
- 在详细信息页面上,向下滚动到数据表,然后选择主机风险选项卡。
- 单击启用以安装模块。
要从 Kibana 的控制台中启用主机风险评分,请打开一个浏览器窗口并输入以下 URL
{KibanaURL}/s/{spaceID}/app/dev_tools#/console?load_from={KibanaURL}/s/{spaceID}/internal/risk_score/prebuilt_content/dev_tool/enable_host_risk_score
如果控制台中存在现有内容,请滚动到底部以查找加载的输出。
如果在安装过程中收到错误消息,请手动删除主机风险评分模块,然后重新启用它。有关更多信息,请参阅故障排除.
升级主机风险评分编辑
如果您之前已启用主机风险评分,并且正在将 Elastic Stack 升级到 8.11 或更高版本,您可以升级到最新的风险评分引擎.
升级之前,请注意以下事项
- 由于不会保留旧数据,因此之前的主机风险评分将被删除,并且会创建新的评分。但是,如果您想保留旧的主机风险评分,可以在升级之前重新索引它们。要了解如何操作,请参阅重新索引 API。新数据将存储在
ml_host_risk_score_<space-id>和ml_host_risk_score_latest_<space-id>索引中。 - 您必须编辑您的Kibana 用户设置并删除
xpack.securitySolution.enableExperimental:['riskyHostsEnabled']功能标志。
完成此操作后,您可以从 Elastic Security 应用程序中的以下任何位置开始升级主机风险评分功能
- 实体分析仪表板
- 主机页面上的主机风险选项卡
- 主机详细信息页面上的主机风险选项卡
启用或升级主机风险评分后,您可能会收到一条消息,提示“没有可用于显示的主机风险评分数据”。要验证安装主机风险评分模块的转换是否正在获取数据,请参阅验证主机风险评分数据是否已成功安装.
如果在升级过程中收到错误消息,请手动删除主机风险评分模块,然后重新启用它。有关更多信息,请参阅故障排除.
分析主机风险评分数据编辑
建议您首先分析风险评分最高的主机,即风险级别为严重 和 中 的主机。主机风险评分数据会显示在 Elastic Security 应用程序中的以下位置
警报表中的host.risk.calculated_level 列
警报详细信息弹出窗口中见解 → 实体 部分的概述选项卡
主机页面上所有主机表中的主机风险分类列
主机页面上的主机风险选项卡
主机详细信息页面上的概述部分
主机详细信息页面上的主机风险选项卡
您还可以使用在启用该功能时自动导入的预构建仪表板来可视化主机风险评分数据。
要访问仪表板
- 在 Kibana 中,转到分析 → 仪表板,然后搜索
risk score。 - 选择主机风险评分的细分以分析主机的风险组件,或选择主机的当前风险评分以显示环境中当前存在风险的主机列表。
在本示例中,我们将探索主机风险评分的细分仪表板。
使用直方图跟踪特定主机的风险评分随时间的变化情况。要指定日期范围,请使用日期和时间选择器,或在直方图中拖动并选择时间范围。
要转到主机的详细信息页面,请单击直方图中任何主机的对应条形,然后选择转到主机视图.
直方图显示了特定主机风险评分的历史变化。要指定日期范围,请使用日期和时间选择器,或在直方图中拖动并选择时间范围。
故障排除编辑
在安装或升级过程中,您可能会收到以下错误消息
-
已保存对象 -
转换已存在 -
摄取管道已存在
在这种情况下,我们建议您手动删除主机风险评分模块,然后重新启用它。要手动删除模块
-
删除主机风险评分已保存的对象
- 从 Kibana 主菜单中,转到堆栈管理 → Kibana → 已保存的对象.
-
删除具有
Host Risk Score - <space-id>标记的已保存对象。
-
删除
Host Risk Score - <space-id>标记。
-
停止并删除主机风险评分转换。您可以使用 Kibana UI 或停止转换 API 和删除转换 API 来执行此操作。
-
要使用 Kibana UI 删除主机风险评分转换
- 从 Kibana 主菜单中,转到堆栈管理 → 数据 → 转换.
-
停止以下转换,然后删除它们
-
ml_hostriskscore_latest_transform_<space-id> -
ml_hostriskscore_pivot_transform_<space-id>
-
-
要使用 API 删除主机风险评分转换,请在控制台中运行以下命令
-
停止并删除最新的转换
POST _transform/ml_hostriskscore_latest_transform_<space-id>/_stop DELETE _transform/ml_hostriskscore_latest_transform_<space-id>
-
停止并删除枢轴转换
POST _transform/ml_hostriskscore_pivot_transform_<space-id>/_stop DELETE _transform/ml_hostriskscore_pivot_transform_<space-id>
-
-
-
删除主机风险评分摄取管道。您可以使用 Kibana UI 或删除管道 API 来执行此操作。
-
要使用 Kibana UI 删除主机风险评分摄取管道
- 从 Kibana 主菜单中,转到堆栈管理 → 摄取 → 摄取管道.
- 删除
ml_hostriskscore_ingest_pipeline_<space-id>摄取管道。
-
要使用删除管道 API 删除主机风险评分摄取管道,请在控制台中运行以下命令
DELETE /_ingest/pipeline/ml_hostriskscore_ingest_pipeline_<space-id>
-
-
使用删除已存储的脚本 API 删除已存储的主机风险评分脚本。在控制台中,运行以下命令
DELETE _scripts/ml_hostriskscore_levels_script_<space-id> DELETE _scripts/ml_hostriskscore_init_script_<space-id> DELETE _scripts/ml_hostriskscore_map_script_<space-id> DELETE _scripts/ml_hostriskscore_reduce_script_<space-id>
手动删除主机风险评分已保存的对象、转换、摄取管道和已存储的脚本后,请按照步骤重新启用主机风险评分模块.