网络页面
编辑网络页面
编辑网络页面在交互式地图中提供关键的网络活动指标,以及可与时间线交互的网络事件表。您可以将网络视图中感兴趣的项目拖放到时间线中进行进一步调查。
地图
编辑地图提供了网络流量的交互式可视化概览。将鼠标悬停在源点和目标点上,以显示更多信息,例如主机名和 IP 地址。
要访问交互式地图,您需要对 Maps 具有 Read 或 All 权限(Kibana 权限 → 分析 → 地图)。要了解有关地图设置的更多信息,请参阅 配置网络地图数据。
有几种方法可以向下钻取
- 单击一个点,将鼠标悬停在主机名或目标 IP 上,然后使用筛选器图标将字段添加到筛选器栏。
- 将字段从地图拖动到时间线。
- 单击主机名转到主机页面。
- 单击 IP 地址以打开其详细信息页面。
您可以使用地图开始调查,当您运行查询或更新时间范围时,地图会刷新以显示相关数据。
要添加和删除图层,请单击地图右上角的 选项 菜单 (…)。
小部件和数据表
编辑交互式小部件可让您深入了解
- 网络事件
- DNS 查询
- 唯一流 ID
- TLS 握手
- 唯一私有 IP
还有一些选项卡用于查看和调查特定类型的数据
- 事件:所有网络事件。要显示从外部监控工具收到的警报,请向下滚动到事件表,然后在右侧选择 仅显示外部警报。
- 流:源 IP 地址和目标 IP 地址以及国家/地区。
- DNS:DNS 网络查询。
- HTTP:收到的 HTTP 请求(默认情况下,使用 Elastic APM 的应用程序的 HTTP 请求将受到监控)。
- TLS:握手详细信息。
- 异常:由 机器学习作业 发现的异常。
“事件”表包括内联操作和多个自定义选项。要了解有关如何处理这些表中的数据的更多信息,请参阅 管理检测警报。
IP 详细信息页面
编辑IP 的详细信息页面显示所选 IP 地址的相关网络信息。
要查看 IP 的详细信息页面,请单击“源 IP”或“目标 IP”表中的 IP 地址链接。
IP 的详细信息页面包括以下部分
-
摘要:常规详细信息,例如位置、首次和最后一次看到 IP 地址的时间、关联的主机 ID 和主机名,以及用于验证 IP 地址信誉的外部网站链接。
默认情况下,外部站点是 Talos 和 VirusTotal。请参阅 在 IP 详细信息页面上显示信誉链接,了解如何配置 IP 信誉链接。
-
警报指标:按严重程度、规则和状态(
打开、已确认或已关闭)显示的警报总数。 - 数据表:与主网络页面上的数据表相同,只是具有所选 IP 地址的值,而不是所有 IP 地址的值。
