« 可视化检测警报 将检测警报添加到案例 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 管理检测警报

查看检测警报详情

编辑

查看检测警报详情编辑

要详细了解警报,请单击“警报”表中的 查看详情 按钮。这将打开警报详情浮出控件,可帮助您了解和管理警报。

Expandable flyout

使用警报详情浮出控件开始调查、打开案例或计划响应。单击浮出控件底部的 采取行动 以查找与警报交互的更多选项。

要使用 Elastic Security 8.9 及更早版本中的简化警报详情浮出控件设计,请关闭 securitySolution:enableExpandableFlyout 高级设置。

警报详情浮出控件 UI编辑

警报详情浮出控件包含右侧面板、预览面板和左侧面板。每个面板都提供警报的不同视角。

右侧面板编辑

右侧面板提供警报的概览。展开任何折叠的部分以详细了解警报。您还可以将鼠标悬停在 概览表格 选项卡上的字段上,以显示可用的 内联操作

Right panel of the alert details flyout

您还可以从右侧面板执行以下操作

  • 单击 展开详情 以打开 左侧面板,其中显示有关右侧面板中各部分的更多信息。
  • 单击 聊天 图标 (AI 助手聊天图标) 以访问 AI 助手

  • 单击 分享警报 图标 (分享警报图标) 以获取可分享的警报 URL。我们不建议复制浏览器地址栏中的 URL,因为如果您为“警报”页面设置了筛选器或相对时间范围,则可能会导致结果不一致。

    如果您已在 kibana.yml 文件中配置了 server.publicBaseUrl 设置,则可分享的 URL 也在 kibana.alert.url 字段中。您可以通过在 表格 选项卡上搜索 kibana.alert.url 来找到该字段。

    如果您在“警报”页面上启用了分组,则在展开折叠的组并选择单个警报之前,警报详情浮出控件不会打开。

  • 查找有关警报的基本详情,例如

    • 关联规则
    • 警报状态
    • 警报创建的日期和时间
    • 警报严重性和风险评分(这些继承自生成警报的规则)
    • 分配给警报的用户(单击 分配警报 分配警报 图标以分配更多用户)
  • 单击 表格JSON 选项卡以表格或 JSON 格式显示警报详情。在表格格式中,警报详情显示为字段值对。

预览面板编辑

预览面板显示有关与警报关联的规则的更多信息,以及生成警报的原因。当您在 关于 部分中单击 显示规则详情显示完整原因 时,此面板将覆盖右侧面板。要关闭预览面板,请单击 x

Preview panel of the alert details flyout

左侧面板编辑

左侧面板提供右侧面板中显示内容的展开视图。要打开左侧面板,请执行以下操作之一

  • 单击右侧面板顶部的 展开详情

    Expand details button at the top of the alert details flyout

  • 单击右侧面板内 概览 选项卡上的某个部分标题。

    Left panel of the alert details flyout

关于编辑

“关于”部分位于右侧面板的 概览 选项卡上。它简要介绍了与警报相关的规则,并解释了生成警报的原因。

About section of the Overview tab

“关于”部分包含以下信息

  • 规则描述:描述规则的用途或检测目标。单击 显示规则摘要 以在 预览面板 中显示有关规则的更多详情。在预览面板中,单击 显示规则详情 以查看规则的详情页面。

  • 警报原因:描述生成警报的源事件。事件详情以纯文本形式显示,并按逻辑顺序排列,以为警报提供上下文。单击 显示完整原因 以在 预览面板 中以事件呈现格式显示警报原因。

    仅当警报类型存在事件渲染器时,才会显示事件渲染器。字段是交互式的;将鼠标悬停在字段上以访问可用的操作。

  • 上次警报状态更改:显示上次更改警报状态的时间,以及更改警报状态的用户。
  • MITRE ATT&CK:提供相关的 MITRE ATT&CK 框架战术、技术和子技术。

调查编辑

“调查”部分位于右侧面板的 概览 选项卡上。它提供了几种开始调查警报的方法。

Investigation section of the Overview tab

“调查”部分提供以下信息

  • 调查指南:如果与警报关联的规则具有调查指南,则会显示 显示调查指南 按钮。单击该按钮以在左侧面板中打开展开的“调查”视图。

    在创建新的自定义规则或修改现有自定义规则的设置时,向规则添加 调查指南

  • 突出显示的字段:显示警报的相关字段以及您添加到规则的任何自定义突出显示字段。

可视化编辑

“可视化”部分位于右侧面板的 概览 选项卡上。它可以帮助您了解导致警报的过程以及警报发生后的过程。

Visualizations section of the Overview tab

单击 可视化 以显示以下预览

  • 会话视图预览:显示 会话视图 数据的预览。单击 会话查看器预览 以在“时间线”中打开 会话视图 选项卡。
  • 分析器预览:显示 可视化分析器图 的预览。预览最多显示分析事件的三个级别的祖先以及该事件的三个级别的后代和子级。省略号符号 (...) 表示该事件还有更多祖先和后代需要检查。单击 分析器预览 以在“时间线”中打开 事件分析器 选项卡。

洞察编辑

“洞察”部分位于右侧面板的 概览 选项卡上。它提供了您可以从中评估警报的不同视角。单击 洞察 以显示 相关实体威胁情报关联数据 以及 主机和用户流行度 的概览。

Insights section of the Overview tab

实体编辑

“实体”概览提供有关与警报相关的用户和主机的概要信息。主机和用户风险分类也可通过 白金订阅 或更高级别订阅获得。

用户主机 风险评分是技术预览功能。

Overview of the entity details section in the right panel
展开的实体视图编辑

在右侧面板中,单击实体可打开与警报关联的主机和用户的详细视图。展开后的视图还包括风险评分和分类(如果您拥有白金级或更高级别的订阅)以及相关主机和用户的活动。

Expanded view of entity details

威胁情报编辑

“威胁情报”概述显示匹配的指标,这些指标提供与警报相关的威胁情报。

Overview of threat intelligence on the alert

“威胁情报”概述提供以下信息

  • 检测到威胁匹配:仅当检查由指标匹配规则生成的警报时才可用。显示警报文档中存在的匹配指标的数量。如果没有匹配的指标或您正在检查由其他类型的规则生成的警报,则显示零。
  • 使用威胁情报丰富化的字段:显示_未_由指标匹配规则生成的警报上存在的匹配指标的数量。如果不存在,则匹配指标的总数为零。
展开的威胁情报视图编辑

在右侧面板中,单击威胁情报以打开左侧面板中的展开的“威胁情报”视图。

展开的“威胁情报”视图会查询securitySolution:defaultThreatIndex高级设置中指定的索引。有关威胁情报索引的更多信息,请参阅更新默认 Elastic Security 威胁情报索引

Expanded view of threat intelligence on the alert

展开的“威胁情报”视图显示警报文档中的各个指标。您可以通过单击指标标签末尾的箭头按钮来展开和折叠指标详细信息。每个指标都使用matched.fieldmatched.atomic字段中的值进行标记,并显示威胁情报提供者。

匹配的威胁分为以下两部分。在每个部分中,匹配的威胁按时间倒序显示,最近的威胁位于顶部。每个匹配的威胁都会显示所有映射的字段。

检测到威胁匹配

仅当您正在检查由指标匹配规则生成的警报时,“检测到威胁匹配”部分才会填充指标匹配详细信息。当警报字段值与您已摄取的威胁情报数据匹配时,就会发生指标匹配。

使用威胁情报丰富化的字段

在未由指标匹配规则生成的警报上也可以找到威胁情报。为了找到此信息,Elastic Security 会查询过去 30 天的警报文档,并搜索包含已知威胁情报的字段。如果找到任何此类字段,它们将记录在此部分中。

使用日期时间选择器可以修改查询时间范围,默认情况下,该时间范围查看过去 30 天。您还可以单击检查按钮以检查“使用威胁情报丰富化的字段”部分使用的查询。

在搜索威胁情报时,Elastic Security 会在警报文档中查询以下字段

  • file.hash.md5:MD5 哈希值
  • file.hash.sha1:SHA1 哈希值
  • file.hash.sha256:SHA256 哈希值
  • file.pe.imphash:PE 文件中的导入
  • file.elf.telfhash:ELF 文件中的导入
  • file.hash.ssdeep:SSDEEP 哈希值
  • source.ip:源 IP 地址(IPv4 或 IPv6)
  • destination.ip:事件的目标 IP 地址
  • url.full:事件源的完整 URL
  • registry.path:完整的注册表路径,包括配置单元、键和值

关联编辑

“关联”概述显示警报与其他警报之间的关联方式,并提供调查相关警报的方法。使用此信息可以快速查找警报之间的模式,然后采取措施。

Overview of available correlation data

“关联”概述提供以下信息

  • 已抑制的警报:表示警报是使用警报抑制创建的,并显示已抑制了多少个重复警报。仅当为规则启用了警报抑制时,才会显示此信息。
  • 按源事件关联的警报:显示由同一源事件创建的警报数量。
  • 与警报相关的案例:显示已将警报添加到其中的案例数量。
  • 按会话 ID 关联的警报:显示由同一会话生成的警报数量。

  • 按进程祖先关联的警报:显示在同一线性分支上按进程事件关联的警报数量。

    要访问有关按进程祖先关联的警报的数据,您必须拥有白金级或更高级别的订阅

展开的关联视图编辑

在右侧面板中,单击关联以打开左侧面板中的展开的“关联”视图。

Expanded view of correlation data

在展开的视图中,关联数据被组织到几个表中

  • 已抑制的警报:显示已抑制了多少个重复警报。仅当为规则启用了警报抑制时,才会显示此信息。

    此功能处于技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不属于正式 GA 功能的支持 SLA 的涵盖范围。

  • 相关案例:显示已将警报添加到其中的案例。单击案例名称以打开其详细信息。
  • 按源事件关联的警报:显示由同一源事件创建的警报。这可以帮助您找到具有共同来源的警报,并提供有关源事件的更多上下文。单击在时间线中调查按钮以在“时间线”中检查相关警报。
  • 按会话关联的警报:显示在同一会话期间生成的警报。这些警报共享相同的会话 ID,该 ID 是用于跟踪给定 Linux 会话的唯一 ID。要使用此功能,您必须在 Elastic Defend 集成策略中启用收集会话数据设置。有关更多信息,请参阅启用会话视图数据
  • 按祖先关联的警报:显示在同一线性分支上按进程事件关联的警报。请注意,不会显示从子分支或相关分支上的进程生成的警报。要进一步检查警报,请单击在时间线中调查

普遍性编辑

“普遍性”概述显示在过去 30 天内,是否在其他主机事件中频繁观察到来自警报的数据。普遍性计算使用来自警报的突出显示字段中的值。在您环境中不到 10% 的主机上观察到的突出显示字段值被认为是不常见的(不普遍),并在“普遍性”概述中单独列出。在您环境中超过 10% 的主机上观察到的突出显示字段值被认为是常见的(普遍的),并在“普遍性”概述中描述为频繁观察到。

展开的普遍性视图编辑

在右侧面板中,单击普遍性以打开左侧面板中的展开的“普遍性”视图。检查该表以了解警报与其他警报、事件、用户和主机之间的关系。

更新该表的日期时间选择器以显示来自不同时间范围的数据。

Expanded view of prevalence data

展开的“普遍性”视图提供以下详细信息

  • 字段:显示警报的突出显示字段以及添加到警报规则中的任何自定义突出显示字段。
  • :显示突出显示字段的值以及添加到警报规则中的任何自定义突出显示字段的值。
  • 警报计数:显示具有相同突出显示字段值的警报文档总数,包括您当前正在检查的警报。例如,如果host.name字段的警报计数为 5,则表示共有五个具有相同host.name值的警报。“警报计数”列仅检索包含event.kind:signal字段值对的文档。
  • 文档计数:显示具有相同字段值的事件文档总数。如果没有任何事件文档与字段值匹配,则显示破折号 (——)。“文档计数”列仅检索_不_包含event.kind:signal字段值对的文档。

以下功能需要白金级订阅或更高级别

  • 主机普遍性:显示具有相同字段值的唯一主机的百分比。突出显示字段的主机普遍性是通过获取具有相同突出显示字段值的唯一主机数,然后将该数字除以环境中的唯一主机总数来计算的。
  • 用户普遍性:显示具有相同突出显示字段值的唯一用户的百分比。突出显示字段的用户普遍性是通过获取具有相同字段值的唯一用户数,然后将该数字除以环境中的唯一用户总数来计算的。

响应编辑

响应部分位于右侧面板的概述选项卡上。它显示已添加到与警报关联的规则的响应操作。单击响应以在左侧面板中显示响应操作的结果。

Response section of the Overview tab
« 可视化检测警报 将检测警报添加到案例 »