异常检测
编辑异常检测
编辑当您拥有适当的订阅、使用 云部署 或正在试用 免费试用版 时,可以使用机器学习功能。有关更多信息,请参阅机器学习作业和规则要求。
您可以在主机、网络和相关详细信息页面上显示的 异常 表格小部件中查看检测到的异常的详细信息,甚至可以从主机和 IP 的详细信息页面的概述中的 按作业的最大异常得分 字段缩小到特定异常的日期范围。这些界面还提供了将异常的详细信息拖放到时间轴的能力,例如 实体 本身或任何相关的 影响因素。
管理机器学习作业
编辑如果您具有 machine_learning_admin 角色,则可以使用 警报、规则 和 规则例外 页面上的 ML 作业设置 界面来查看、启动和停止 Elastic Security 机器学习作业。
管理机器学习检测规则
编辑您还可以检查机器学习检测规则的状态,并启动或停止其相关的机器学习作业
-
在 规则 页面上,上次响应 列显示规则的当前状态。如果所需的机器学习作业未运行,还会出现一个指示图标 (
)。单击该图标以列出受影响的作业,然后单击 访问规则详细信息页面进行调查 以打开规则的详细信息页面。
-
在规则的详细信息页面上,检查 定义 部分以确认所需的机器学习作业是否正在运行。打开或关闭切换开关以运行或停止每个作业。
预构建作业
编辑Elastic Security 附带了预构建的机器学习异常检测作业,用于自动检测主机和网络异常。这些作业显示在 异常检测 界面中。当满足以下任一条件时,它们可用:
- 您使用 Beats 或 Elastic Agent 传输数据,并且 Kibana 在 数据视图 页面上配置了所需的索引模式(例如
auditbeat-*、filebeat-*、packetbeat-*或winlogbeat-*)。要查找此页面,请在导航菜单中导航到 数据视图 或使用全局搜索字段。
或者
- 您传输的数据符合 ECS 标准,并且 Kibana 在 数据视图 页面上配置了传输数据的索引模式。
或者
- 您安装了一个或多个高级分析集成。
预构建作业参考描述了所有可用的机器学习作业,并列出了当您不使用 Beats 或 Elastic Agent 传输数据时,主机上需要哪些 ECS 字段。有关调整异常结果以减少误报数量的信息,请参阅优化异常结果。
机器学习作业会回溯并分析启用前的两周历史数据。启用作业后,它们会持续分析传入的数据。如果在两周的时间范围内停止并重新启动作业,则不会再次处理先前分析的数据。
查看检测到的异常
编辑要查看 异常 表格小部件和 按作业的最大异常得分 详细信息,用户必须具有 machine_learning_admin 或 machine_learning_user 角色。
要调整确定显示哪些异常的 得分 阈值,您可以修改 securitySolution:defaultAnomalyScore 高级设置。