检测规则监控仪表板
编辑检测规则监控仪表板
编辑检测规则监控仪表板提供可视化效果,帮助您监控 Elastic Security 检测规则的整体健康状况和性能。查阅此仪表板,以高层次查看规则是否成功运行,以及它们运行、搜索数据和创建警报所花费的时间。
可视化数据和类型
编辑仪表板会呈现有关检测规则的各种信息。可视化效果会在仪表板顶部选择的时间范围和筛选器内显示和计算数据。
仪表板还包含来自所有 Kibana 空间的数据。要仅显示来自特定空间的数据,请在 Kibana 中打开仪表板(分析 → 仪表板),并使用 Kibana 空间 下拉筛选器。
包含以下可视化效果
- 规则 KPI(关键绩效指标):已启用的规则总数、它们集体运行的次数以及它们的响应状态。
- 按规则类型执行次数:按规则类型细分的规则执行次数随时间的变化情况。
- 按状态执行次数:按状态细分的规则执行次数随时间的变化情况。
- 规则执行总时长:规则从开始到结束的运行所花费的时间。
- 规则计划延迟:规则计划开始时间和实际开始运行时间之间的延迟。
- 搜索/查询时长:规则查询源索引或数据视图所花费的时间。
-
索引时长:规则生成警报并将其写入
.alerts-security.alerts-*索引所花费的时间。 - 前 10 个规则:总体最慢规则、延迟最高的规则以及具有最多 失败 和 警告 响应状态的规则列表。
可视化面板操作
编辑打开面板的选项菜单(
)可自定义面板或使用其数据进行进一步分析和调查
- 编辑面板设置:自定义面板的显示设置。选项因可视化类型而异。
- 检查:检查面板的底层数据和查询。
- 在 Discover 中浏览数据:打开 Discover 并预加载筛选器以显示面板的数据。
- 最大化面板:展开面板。
- 下载为 CSV:以 CSV 文件下载面板的数据。
- 复制到仪表板:将面板复制到现有或新仪表板。
- 添加到现有案例:将面板添加到现有案例。
- 添加到新案例:创建一个新案例并将面板添加到其中。
- 创建异常检测作业:使用面板的数据创建机器学习异常检测作业。
克隆和编辑仪表板
编辑此仪表板由 Kibana 管理,因此您对其所做的任何更改都不会持久存在。要进行持久性更改,您可以克隆仪表板并编辑克隆的副本,但您的副本不会从 Elastic 获得更新。
- 单击 编辑,然后单击 另存为。
- 在 保存仪表板 对话框中,为克隆的副本输入新的 标题。
- 确保选中 另存为新仪表板,然后单击 保存。现在,您可以进行其他更改并将它们保存到您的副本中。