检测规则监控仪表板
编辑检测规则监控仪表板编辑
检测规则监控仪表板提供了一些可视化功能,可帮助您监控 Elastic Security 检测规则的整体运行状况和性能。您可以查阅此仪表板,以从高层次了解您的规则是否成功运行以及它们运行、搜索数据和创建警报所需的时间。
可视化数据和类型编辑
此仪表板提供有关您的检测规则的各种信息。可视化功能会在仪表板顶部选择的时间范围内显示和计算数据,并进行过滤。
此仪表板还包含来自所有 Kibana 空间的数据。要仅显示来自特定空间的数据,请在 Kibana 中打开仪表板(分析 → 仪表板),然后使用 Kibana 空间 下拉过滤器。
以下可视化功能已包含在内
- 规则 KPI(关键性能指标):启用的规则总数、它们共同运行的次数以及它们的响应状态。
- 按规则类型划分的执行次数:随时间推移的规则执行次数,按规则类型细分。
- 按状态划分的执行次数:随时间推移的规则执行次数,按状态细分。
- 规则执行总时长:规则从开始到完成所需的运行时间。
- 规则计划延迟:规则计划开始时间与其实际开始运行时间之间的延迟。
- 搜索/查询时长:规则查询源索引或数据视图所需的时间。
-
索引时长:规则生成警报并将它们写入
.alerts-security.alerts-*索引所需的时间。 - 排名前 10 位的规则:总体最慢的规则、延迟最多的规则以及响应状态为 失败 和 警告 最多的规则列表。
可视化面板操作编辑
打开面板的选项菜单 (
) 自定义面板或将其数据用于进一步分析和调查
- 编辑面板设置:自定义面板的显示设置。选项因可视化类型而异。
- 检查:检查面板的基础数据和查询。
- 在 Discover 中探索数据:打开预加载过滤器的 Discover 以显示面板数据。
- 最大化面板:展开面板。
- 下载为 CSV:将面板数据下载为 CSV 文件。
- 复制到仪表板:将面板复制到现有仪表板或新仪表板。
- 添加到现有案例:将面板添加到现有案例。
- 添加到新案例:创建新案例并将面板添加到其中。
- 创建异常检测作业:使用面板数据创建机器学习异常检测作业。
克隆和编辑仪表板编辑
此仪表板由 Kibana 管理,因此您对其所做的任何更改都不会持续存在。要进行永久性更改,您可以克隆仪表板并编辑克隆副本,但您的副本不会从 Elastic 获取更新。
- 单击 编辑,然后单击 另存为。
- 在 保存仪表板 对话框中,为克隆副本输入新的 标题。
- 确保选中 另存为新仪表板,然后单击 保存。现在,您可以进行其他更改并将它们保存到副本中。