用户风险评分
编辑用户风险评分编辑
此页面指的是原始的用户和主机风险评分模块。如果您安装了原始模块,并且运行的是 Elastic Stack 版本 8.11 或更高版本,您可以升级到最新的风险评分引擎。有关最新风险引擎的信息,请参阅实体风险评分。
此功能适用于 Elastic Stack 版本 8.3.0 及更高版本,并且需要白金订阅或更高版本。
用户风险评分功能突出显示环境中存在风险的用户名。它利用带有脚本化指标聚合的转换来计算用户风险评分,该评分基于过去 90 天内生成的警报。转换每小时运行一次,以便在生成新的警报时更新评分。
每个警报对用户风险评分的贡献基于警报的风险评分(signal.rule.risk_score)。风险评分使用加权总和计算,其中时间修正后的风险评分较高的规则也具有较高的权重。每个风险评分都在 0 到 100 的范围内进行标准化。
下表显示了根据标准化风险评分将风险级别应用于用户名的方式
| 风险级别 | 用户风险评分 |
|---|---|
未知 |
< 20 |
低 |
20-40 |
中等 |
40-70 |
高 |
70-90 |
严重 |
> 90 |
启用用户风险评分编辑
您可以在 Elastic Security 应用程序中的以下位置启用用户风险评分
- 实体分析仪表板
- 用户页面上的用户风险选项卡
- 用户详细信息页面上的用户风险选项卡
或者,在 Kibana 中,您可以在控制台中启用用户风险评分。
要从实体分析仪表板启用用户风险评分
- 在 Elastic Security 应用程序中,转到仪表板 → 实体分析。
- 在用户风险评分部分,单击启用以安装模块。
要从用户页面启用用户风险评分
- 转到探索 → 用户。
- 选择用户风险选项卡,然后单击启用以安装模块。
要从用户详细信息页面启用用户风险评分
- 转到探索 → 用户。
- 选择所有用户选项卡,然后单击用户名。
- 在详细信息页面上,向下滚动到数据表,然后选择用户风险选项卡。
- 单击启用以安装模块。
要在 Kibana 的控制台中启用用户风险评分,请打开浏览器窗口并输入以下 URL
{KibanaURL}/s/{spaceID}/app/dev_tools#/console?load_from={KibanaURL}/s/{spaceID}/internal/risk_score/prebuilt_content/dev_tool/enable_user_risk_score
如果控制台中存在现有内容,请滚动到底部以查找加载的输出。
如果您在安装过程中收到错误消息,请手动删除用户风险评分模块,然后重新启用它。有关更多信息,请参阅故障排除。
升级用户风险评分编辑
如果您之前启用了用户风险评分,并且要升级到 Elastic Stack 版本 8.11 或更高版本,您可以升级到最新的风险评分引擎。
升级前,请注意以下事项
- 由于不会保留旧数据,因此以前的用户风险评分将被删除,并且会创建新的评分。但是,如果您想保留旧的用户风险评分,您可以在升级之前重新索引它们。要了解如何操作,请参阅重新索引 API。新数据将存储在
ml_user_risk_score_<space-id>和ml_user_risk_score_latest_<space-id>索引中。 - 您必须编辑Kibana 用户设置并删除
xpack.securitySolution.enableExperimental:['riskyUsersEnabled']功能标记。
完成此操作后,您可以继续从 Elastic Security 应用程序中的以下任何位置升级用户风险评分功能
- 实体分析仪表板
- 用户页面上的用户风险选项卡
- 用户详细信息页面上的用户风险选项卡
启用或升级用户风险评分后,您可能会收到一条消息,提示“没有可供显示的用户风险评分数据”。要验证安装用户风险评分模块的转换是否正在获取数据,请参阅验证用户风险评分数据是否已成功安装。
如果您在安装过程中收到错误消息,请手动删除用户风险评分模块,然后重新启用它。有关更多信息,请参阅故障排除。
分析用户风险评分数据编辑
建议您首先分析风险评分最高的用户,即处于严重和中等类别的用户。用户风险评分数据将显示在 Elastic Security 应用程序中的以下位置
警报表中的user.risk.calculated_level列
警报详细信息弹出窗口中见解 → 实体部分的概述选项卡
用户页面上的用户风险选项卡
用户详细信息页面上的概述部分
用户详细信息页面上的用户风险选项卡
您还可以使用在启用该功能时自动导入的预建仪表板来可视化用户风险评分数据。
要访问仪表板
- 在 Kibana 中,转到分析 → 仪表板,然后搜索
risk score。 - 选择用户风险评分细分以分析用户的风险组件,或选择用户的当前风险评分以显示环境中当前存在风险的用户列表。
在此示例中,我们将探索用户风险评分细分仪表板。
直方图显示了特定用户的风险评分的历史变化。要指定日期范围,请使用日期和时间选择器,或在直方图中拖动并选择时间范围。单击查看源仪表板以查看user.name和risk.keyword的最高值。
直方图下方的 datatable 显示与存在风险的用户相关的规则、用户和 MITRE ATT&CK 战术。默认情况下,这些表按风险排序,风险评分最高的条目位于顶部。使用此信息来对风险最高的用户进行分类。
故障排除编辑
在安装或升级过程中,您可能会收到以下错误消息
-
已存在保存的对象 -
已存在转换 -
已存在摄取管道
在这种情况下,我们建议您手动删除用户风险评分模块,然后重新启用它。要手动删除模块
-
删除用户风险评分保存的对象
- 从 Kibana 主菜单中,转到堆栈管理 → Kibana → 保存的对象。
-
删除具有
User Risk Score - <space-id>标签的保存的对象。
-
删除
User Risk Score - <space-id>标签。
-
停止并删除用户风险评分转换。您可以使用 Kibana UI 或停止转换 API和删除转换 API执行此操作。
-
要使用 Kibana UI 删除用户风险评分转换
- 从 Kibana 主菜单中,转到堆栈管理 → 数据 → 转换。
-
停止以下转换,然后删除它们
-
ml_userriskscore_latest_transform_<space-id> -
ml_userriskscore_pivot_transform_<space-id>
-
-
要使用 API 删除用户风险评分转换,请在控制台中运行以下命令
-
停止并删除最新的转换
POST _transform/ml_userriskscore_latest_transform_<space-id>/_stop DELETE _transform/ml_userriskscore_latest_transform_<space-id>
-
停止并删除透视转换
POST _transform/ml_userriskscore_pivot_transform_<space-id>/_stop DELETE _transform/ml_userriskscore_pivot_transform_<space-id>
-
-
-
删除用户风险评分摄取管道。您可以使用 Kibana UI 或删除管道 API执行此操作。
-
要使用 Kibana UI 删除用户风险评分摄取管道
- 从 Kibana 主菜单中,转到堆栈管理 → 摄取 → 摄取管道。
- 删除
ml_userriskscore_ingest_pipeline_<space-id>摄取管道。
-
要使用删除管道 API 删除用户风险评分摄取管道,请在控制台中运行以下命令
DELETE /_ingest/pipeline/ml_userriskscore_ingest_pipeline_<space-id>
-
-
使用删除存储的脚本 API删除存储的用户风险评分脚本。在控制台中,运行以下命令
DELETE _scripts/ml_userriskscore_levels_script_<space-id> DELETE _scripts/ml_userriskscore_map_script_<space-id> DELETE _scripts/ml_userriskscore_reduce_script_<space-id>
手动删除用户风险评分保存的对象、转换、摄取管道和存储的脚本后,请按照重新启用用户风险评分模块的步骤操作。