启用风险评分引擎
编辑启用风险评分引擎编辑
此功能处于测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不提供任何担保。测试版功能不受正式 GA 功能支持服务等级协议的约束。
要使用实体风险评分,您的角色必须具有相应的权限。有关更多信息,请参阅实体风险评分先决条件。
预览风险实体编辑
在安装最新的风险引擎之前,您可以预览风险实体。预览显示在日期选择器中选择的时间范围内,在 1000 个样本实体中发现的最具风险的主机和用户。
预览限于每个 Kibana 实例的两个风险评分。
要预览风险实体,请转到管理 → 实体风险评分
启用最新的风险引擎编辑
- 要查看风险评分数据,您必须在您的环境中生成警报。
- 如果您以前安装了原始的用户和主机风险评分模块,并且您正在升级到 Elastic Stack 版本 8.11 或更高版本,请参阅升级到最新的风险引擎。
如果您是首次安装风险评分引擎
- 转到管理 → 实体风险评分。
- 将实体风险评分切换打开。
升级到最新的风险引擎编辑
如果您从较早的 Elastic Stack 版本升级到 8.11,并且安装了原始风险引擎,则可以升级到最新的风险引擎。您将在存在风险评分数据的页面被提示升级,例如
- 实体分析仪表板
- 用户页面上的用户风险选项卡
- 用户详细信息页面上的用户风险选项卡
- 主机页面上的主机风险选项卡
- 主机详细信息页面上的主机风险选项卡
- 在升级提示中点击管理,或转到管理 → 实体风险评分。
-
在实体风险评分页面上,点击开始更新,它位于有更新可用标签旁边。
- 在确认消息中,点击是,立即更新。旧的转换将被删除,并且最新的风险引擎将被安装。
-
安装完成后,确认实体风险评分切换已打开。
当您升级到最新的风险引擎时,以前的风险评分数据将保留。