› › ›

查看检测告警详情

编辑

查看检测告警详情

编辑

要了解有关告警的更多信息，请单击“告警”表中的查看详情按钮。这将打开告警详情浮出框，帮助您理解和管理告警。

使用告警详情浮出框开始调查、打开案例或计划响应。单击浮出框底部的采取行动以查找更多与告警交互的选项。

告警详情浮出框 UI

编辑

告警详情浮出框有一个右侧面板、一个预览面板和一个左侧面板。每个面板都提供了不同的告警视角。

右侧面板

编辑

右侧面板提供了告警的概览。展开任何折叠的部分以了解有关告警的更多信息。您还可以将鼠标悬停在概览和表格选项卡上的字段上，以显示可用的内联操作。

从右侧面板，您还可以

单击展开详情以打开左侧面板，其中显示有关右侧面板中部分的更多信息。
单击聊天图标 () 以访问AI助手。
单击共享告警图标 () 以获取可共享的告警 URL。我们不建议从浏览器的地址栏复制 URL，如果您为“告警”页面设置了过滤器或相对时间范围，这可能会导致不一致的结果。

如果您在 kibana.yml 文件中配置了 server.publicBaseUrl 设置，则可共享的 URL 也位于 kibana.alert.url 字段中。您可以通过在表格选项卡上搜索 kibana.alert.url 来找到该字段。

如果您在“告警”页面上启用了分组，则只有在您展开折叠的组并选择单个告警后，告警详情浮出框才会打开。
单击浮出框设置图标 () 以访问用于显示告警详情浮出框的选项。覆盖选项（在“告警”表上显示浮出框）默认选中。选择推入以将浮出框显示在表的侧面。在任一显示中，您都可以根据需要调整浮出框面板的大小。单击重置大小可将浮出框恢复为默认尺寸。
查找有关告警的基本详细信息，例如
- 关联的规则
- 告警状态以及告警的创建时间
- 告警严重性和风险评分（这些继承自生成告警的规则）
- 分配给告警的用户（单击分配告警 图标以分配更多用户）
- 附加到告警的注释（单击添加注释 图标以创建新注释）
单击表格或JSON选项卡以表格或 JSON 格式显示告警详情。在表格格式中，告警详情显示为字段值对。

预览面板

编辑

浮出框中的某些区域会在您单击它们时提供预览。例如，单击规则描述中的显示规则摘要会显示规则详情的预览。要关闭预览，请单击返回或x。

Preview panel of the alert details flyout

左侧面板

编辑

左侧面板提供了右侧面板中显示内容的展开视图。要打开左侧面板，请执行以下操作之一

单击右侧面板顶部的展开详情。
单击右侧面板中概览选项卡上的某个部分标题。

关于

编辑

“关于”部分位于右侧面板的概览选项卡上。它提供了与告警相关的规则的简短描述，以及对生成告警的原因的解释。

“关于”部分具有以下信息

规则描述：描述规则的目的或检测目标。单击显示规则摘要以显示规则详情的预览。在预览中，单击显示规则详情以查看规则的详情页面。
告警原因：描述生成告警的源事件。事件详情以纯文本显示并按逻辑排序，以提供告警的上下文。单击显示完整原因以在预览面板中的事件呈现格式中显示告警原因。

只有当告警类型存在事件呈现器时，才会显示事件呈现器。字段是交互式的；将鼠标悬停在它们上方以访问可用的操作。
上次告警状态更改：显示上次更改告警状态的时间以及更改它的用户。
MITRE ATT&CK：提供相关的 MITRE ATT&CK 框架策略、技术和子技术。

调查

编辑

“调查”部分位于右侧面板的概览选项卡上。它提供了几种开始调查告警的方法。

Investigation section of the Overview tab

“调查”部分提供以下信息

调查指南：如果与告警关联的规则有调查指南，则会显示显示调查指南按钮。单击该按钮以在左侧面板中打开展开的“调查”视图。

在创建新的自定义规则或修改现有自定义规则的设置时，将调查指南添加到规则。
突出显示的字段：显示告警的相关字段以及您添加到规则的任何自定义突出显示的字段。具有值的自定义突出显示字段将添加到此部分。没有值的字段不会添加。

可视化

编辑

“可视化”部分位于右侧面板的概览选项卡上。它提供了导致告警以及在告警之后发生的过程的简要预览。

Visualizations section of the Overview tab

单击可视化以显示以下预览

会话查看器预览：显示会话视图数据的预览。单击会话查看器预览以在时间轴中打开会话视图选项卡。
分析器预览：显示可视化分析器图形的预览。该预览最多显示分析事件的三个级别的祖先，以及事件的三个级别的后代和子级。省略号符号 (...) 表示该事件有更多祖先和后代要检查。单击分析器预览以在时间轴中打开事件分析器选项卡。

展开的可视化视图

编辑

此功能处于技术预览阶段，可能会在未来的版本中更改或删除。Elastic 将努力解决任何问题，但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。

通过可视化选项卡，您可以保持“告警”表的上下文，同时提供您在事件分析器或会话视图中调查的告警的更详细视图。要打开选项卡，请单击右侧面板中的会话查看器预览或分析器预览。

当您检查告警的相关过程时，您还可以预览与这些过程关联的告警和事件。然后，如果您想了解有关特定告警或事件的更多信息，您可以单击显示完整告警详情以打开完整的详情浮出框。

Examine alert details from event analyzer

洞察

编辑

“洞察”部分位于右侧面板的概览选项卡上。它提供了您从中可以评估告警的不同视角。单击洞察以显示相关实体、威胁情报、关联数据以及主机和用户流行度的概览。

实体

编辑

“实体”概览提供了有关与告警相关的用户和主机的高级详细信息。主机和用户风险分类也可通过白金订阅或更高级别的订阅获得。

Overview of the entity details section in the right panel

展开的实体视图

编辑

在右侧面板中，单击实体以打开与告警关联的主机和用户的详细视图。展开的视图还包括风险评分和分类（如果您有白金订阅或更高级别的订阅）以及相关主机和用户上的活动。

威胁情报

编辑

“威胁情报”概览显示匹配的指标，这些指标提供了与告警相关的威胁情报。

Overview of threat intelligence on the alert

“威胁情报”概览提供以下信息

检测到威胁匹配：仅在检查从指标匹配规则生成的告警时可用。显示告警文档中存在的匹配指标数量。如果没有匹配的指标，或者您正在检查由其他类型的规则生成的告警，则显示零。
使用威胁情报丰富的字段：显示在不是从指标匹配规则生成的告警上存在的匹配指标数量。如果不存在，则匹配指标的总数为零。

展开的威胁情报视图

编辑

在右侧面板中，单击威胁情报以在左侧面板中打开展开的“威胁情报”视图。

扩展的威胁情报视图会查询在 securitySolution:defaultThreatIndex 高级设置中指定的索引。请参阅更新默认 Elastic Security 威胁情报索引，了解有关威胁情报索引的更多信息。

Expanded view of threat intelligence on the alert

扩展的“威胁情报”视图会显示告警文档中的各个指示器。您可以通过单击指示器标签末尾的箭头按钮来展开和折叠指示器详细信息。每个指示器都标有来自 matched.field 和 matched.atomic 字段的值，并显示威胁情报提供商。

匹配的威胁分为以下两个部分，如下所述。在每个部分中，匹配的威胁按时间倒序显示，最近的显示在最前面。每个匹配的威胁都会显示所有映射的字段。

检测到威胁匹配

如果您正在检查从指示器匹配规则生成的告警，则“检测到威胁匹配”部分才会填充指示器匹配详细信息。当告警字段值与您摄取的威胁情报数据匹配时，会发生指示器匹配。

通过威胁情报丰富的字段

在并非从指示器匹配规则生成的告警中，也可以找到威胁情报。要查找此信息，Elastic Security 会查询过去 30 天的告警文档，并搜索包含已知威胁情报的字段。如果找到任何字段，它们将记录在此部分中。

使用日期时间选择器来修改查询时间范围，默认情况下会查看过去 30 天的数据。您也可以单击检查按钮来检查“通过威胁情报丰富字段”部分使用的查询。

在搜索威胁情报时，Elastic Security 会查询告警文档中的以下字段

file.hash.md5：MD5 哈希值
file.hash.sha1：SHA1 哈希值
file.hash.sha256：SHA256 哈希值
file.pe.imphash：PE 文件中的导入
file.elf.telfhash：ELF 文件中的导入
file.hash.ssdeep：SSDEEP 哈希值
source.ip：源 IP 地址 (IPv4 或 IPv6)
destination.ip：事件的目标 IP 地址
url.full：事件源的完整 URL
registry.path：完整的注册表路径，包括配置单元、键和值

关联

编辑

“关联”概览显示告警与其他告警的关联方式，并提供调查相关告警的方法。使用此信息可以快速查找告警之间的模式，然后采取行动。

“关联”概览提供以下信息

已抑制的告警：指示告警是使用告警抑制创建的，并显示抑制了多少重复告警。仅当为规则启用告警抑制时，才会显示此信息。
按源事件关联的告警：显示由同一源事件创建的告警数量。
与告警相关的案例：显示已将告警添加到的案例数量。
按会话 ID 关联的告警：显示由同一会话生成的告警数量。
按进程祖先关系关联的告警：显示在同一线性分支上由进程事件关联的告警数量。

要访问有关按进程祖先关系关联的告警的数据，您必须拥有白金或更高版本订阅。

扩展的关联视图

编辑

在右侧面板中，单击关联以在左侧面板中打开扩展的“关联”视图。

在扩展视图中，关联数据分为几个表

已抑制的告警：显示抑制了多少重复告警。仅当为规则启用告警抑制时，才会显示此信息。

此功能处于技术预览阶段，可能会在未来的版本中更改或删除。Elastic 将努力解决任何问题，但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。
相关案例：显示已将告警添加到的案例。单击案例的名称以打开其详细信息。
按源事件关联的告警：显示由同一源事件创建的告警。这可以帮助您查找具有共同来源的告警，并提供有关源事件的更多上下文。单击在时间线中调查按钮以在“时间线”中检查相关告警。
按会话关联的告警：显示在同一会话期间生成的告警。这些告警共享同一会话 ID，该会话 ID 是用于跟踪给定 Linux 会话的唯一 ID。要使用此功能，您必须在 Elastic Defend 集成策略中启用收集会话数据设置。有关更多信息，请参阅启用会话视图数据。
按祖先关系关联的告警：显示在同一线性分支上由进程事件关联的告警。请注意，不会显示从子分支或相关分支上的进程生成的告警。要进一步检查告警，请单击在时间线中调查。

普遍性

编辑

“普遍性”概览显示在过去 30 天内，是否在其他主机事件中频繁观察到告警中的数据。普遍性计算使用来自告警的突出显示字段的值。在您的环境中，在少于 10% 的主机上观察到的突出显示字段值被认为是不常见的（不普遍），并在“普遍性”概览中单独列出。在您的环境中，在超过 10% 的主机上观察到的突出显示字段值被认为是常见的（普遍的），并在“普遍性”概览中描述为频繁观察到。

扩展的普遍性视图

编辑

在右侧面板中，单击普遍性以在左侧面板中打开扩展的“普遍性”视图。检查表格以了解告警与其他告警、事件、用户和主机的关系。

更新表格的日期时间选择器以显示来自不同时间范围的数据。

扩展的“普遍性”视图提供以下详细信息

字段：显示告警的突出显示字段以及添加到告警规则的任何自定义突出显示字段。
值：显示突出显示字段的值以及添加到告警规则的任何自定义突出显示字段。
告警计数：显示具有相同突出显示字段值的告警文档总数，包括您当前正在检查的告警。例如，如果 host.name 字段的告警计数为 5，则表示共有五个告警具有相同的 host.name 值。“告警计数”列仅检索包含event.kind:signal 字段-值对的文档。
文档计数：显示具有相同字段值的事件文档总数。如果没有任何与字段值匹配的事件文档，则会显示短划线 (——)。“文档计数”列仅检索不包含event.kind:signal 字段-值对的文档。

以下功能需要白金订阅或更高版本

主机普遍性：显示具有相同字段值的唯一主机的百分比。突出显示字段的主机普遍性是通过将具有相同突出显示字段值的唯一主机数除以您的环境中唯一主机的总数来计算的。
用户普遍性：显示具有相同突出显示字段值的唯一用户的百分比。突出显示字段的用户普遍性是通过将具有相同字段值的唯一用户数除以您的环境中唯一用户的总数来计算的。

响应

编辑

响应部分位于右侧面板的概览选项卡上。它显示了添加到与告警关联的规则的响应操作。单击响应以在左侧面板中显示响应操作的结果。

备注

编辑

备注选项卡（位于左侧面板中）显示附加到告警的所有备注，以及创建这些备注的用户和创建时间。当您添加新备注时，告警的摘要也会更新，并显示附加到该告警的备注数量。

转到备注页面，查找已添加到其他告警的备注。

« 可视化检测告警将检测告警添加到案例 »