异常检测
编辑异常检测编辑
当您拥有相应的订阅,使用 云部署,或正在试用 免费试用版 时,机器学习 功能可用。有关更多信息,请参阅 机器学习作业和规则要求。
您可以在主机、网络和关联的详细信息页面上显示的 Anomalies 表格小部件中查看检测到的异常的详细信息,甚至可以从主机和 IP 的详细信息页面概述中的 Max anomaly score by job 字段中缩小到异常的特定日期范围。这些界面还提供了将异常的详细信息拖放到时间线的功能,例如 Entity 本身或任何关联的 Influencers。
管理机器学习作业编辑
如果您拥有 machine_learning_admin 角色,则可以使用 ML 作业设置 接口在 警报、规则 和 规则例外 页面上查看、启动和停止 Elastic 安全机器学习作业。
管理机器学习检测规则编辑
您还可以检查机器学习检测规则的状态,并启动或停止其关联的机器学习作业。
-
在 规则 页面上,上次响应 列显示规则的当前 状态。如果所需的机器学习作业未运行,也会出现一个指示器图标 (
)。单击该图标以列出受影响的作业,然后单击 访问规则详细信息页面以调查 以打开规则的详细信息页面。
-
在规则的详细信息页面上,检查 定义 部分以确认所需的机器学习作业是否正在运行。切换开关以打开或关闭以运行或停止每个作业。
预构建作业编辑
Elastic 安全附带预构建的机器学习异常检测作业,用于自动检测主机和网络异常。这些作业显示在 Anomaly Detection 接口中。当以下任一条件满足时,它们可用
- 您使用 Beats 或 Elastic Agent 发送数据,并且 Kibana 配置了所需的索引模式(例如
auditbeat-*、filebeat-*、packetbeat-*或winlogbeat-*在 Kibana → 堆栈管理 → 数据视图 中)。
或者
- 您发送的数据符合 ECS 规范,并且 Kibana 配置了在 Kibana → 堆栈管理 → 数据视图 中发送的数据的索引模式。
或者
- 您安装了 高级分析集成 中的一个或多个集成。
预构建作业参考 描述了所有可用的机器学习作业,并列出了当您未使用 Beats 或 Elastic Agent 发送数据时,主机上所需的 ECS 字段。有关调整异常结果以减少误报数量的信息,请参阅 优化异常结果。
机器学习作业会回顾并分析启用之前两周的历史数据。启用作业后,它们会持续分析传入数据。如果作业在两周时间范围内停止并重新启动,则之前分析的数据不会再次处理。
查看检测到的异常编辑
要查看 Anomalies 表格小部件和 Max Anomaly Score By Job 详细信息,用户必须具有 machine_learning_admin 或 machine_learning_user 角色。
要调整确定显示哪些异常的 score 阈值,您可以修改 Kibana → 堆栈管理 → 高级设置 → securitySolution:defaultAnomalyScore。