可视化事件分析器
编辑可视化事件分析器编辑
Elastic 安全允许使用基于进程的可视化分析器分析 Elastic Endpoint 检测到的任何事件,该分析器显示导致警报的进程的时间线,以及警报发生后立即发生的事件。在可视化事件分析器中检查事件有助于确定潜在恶意活动的来源,以及可能受到影响的环境中的其他区域。它还使安全分析师能够深入了解所有相关的主机、进程和其他事件,以帮助他们进行调查。
如果您遇到性能下降,您可以 从分析器查询中排除冷冻和冻结层数据。
查找要分析的事件编辑
您只能可视化由配置了 Elastic Defend 集成的主机触发的事件,或来自 winlogbeat 的任何 sysmon 数据。
在 KQL 中,这转换为任何具有以下设置的事件:agent.type 设置为
-
endpoint -
winlogbeat,其中event.module设置为sysmon
要查找可以可视化分析的事件
-
首先,通过执行以下操作之一显示事件列表
- 转到 探索 → 主机,然后选择 事件 标签。页面底部将显示所有主机事件的列表。
- 转到 警报,然后向下滚动到警报表格。
-
通过在 KQL 搜索栏中输入以下查询之一,然后选择 输入 来过滤可以可视化分析的事件
-
agent.type:"endpoint" and process.entity_id :*或
-
agent.type:"winlogbeat" and event.module: "sysmon" and process.entity_id : *
-
-
可以可视化分析的事件用一个立方体的 分析事件 图标表示。选择此选项以在可视化分析器中打开事件。或者,打开警报详细信息弹出窗口,转到可视化部分,然后单击 分析器预览。这将在时间线中打开 分析器 标签。
无法分析的事件将没有 分析事件 选项可用。如果事件具有不兼容的字段映射,可能会发生这种情况。
您还可以分析来自 时间线 的事件。
可视化事件分析器 UI编辑
在可视化分析器中,每个立方体代表一个进程,例如可执行文件或网络事件。在分析器中单击并拖动以探索所有进程关系的层次结构。
要了解用于创建进程的字段,请选择 进程树 以显示创建图形视图的模式。包含的字段是
-
SOURCE:可以是endpoint或winlogbeat -
ID:唯一标识节点的事件字段 -
EDGE:指示两个节点之间关系的事件字段
单击 图例 以显示每个进程节点的状态。
使用日期和时间过滤器在特定时间范围内分析事件。默认情况下,选择的时间范围与您打开警报的表格的时间范围相匹配。
选择不同的数据视图以进一步过滤与警报相关的事件。
要将分析器扩展到全屏,请选择左侧面板上方的 全屏 图标。
左侧面板包含与事件相关的所有进程的列表,从事件链的第一个进程开始。 分析的事件(即您从事件列表或时间线中选择要分析的事件)在立方体周围用浅蓝色轮廓突出显示。
在图形视图中,您可以
- 使用最右侧的滑块放大和缩小图形视图
- 在图形视图周围单击并拖动以显示更多进程关系
- 观察从父进程生成的子进程事件
- 确定每个进程之间经过的时间
- 标识与每个进程相关的事件
进程和事件详细信息编辑
要详细了解每个相关进程,请选择左侧面板或图形视图中的进程。左侧面板显示进程详细信息,例如
- 与进程相关的事件数量
- 执行进程的时间戳
- 进程在主机中的文件路径
process-pid- 运行进程的用户名和域
- 任何其他相关的进程信息
- 任何关联的警报
首次选择进程时,它将显示在加载状态。如果为给定进程加载数据失败,请单击进程下方的 重新加载 {process-name} 以重新加载数据。
通过在进程详细信息视图的顶部选择该事件的 URL 或选择图形视图中的事件药丸之一,访问事件详细信息。
事件根据 event.category 值进行分类。
选择 event.category 药丸时,左侧面板将列出该类别中的所有事件。要显示有关特定事件的更多详细信息,请从列表中选择它。
在 Elastic Stack 版本 7.10.0 及更高版本中,与进程关联的事件数量没有限制。但是,在 Elastic Stack 版本 7.9.0 及更早版本中,每个进程仅限于 100 个事件。
如果您有 白金或企业订阅,您还可以检查与事件相关的警报。
要检查与事件相关的警报,请选择警报药丸(x 警报)。左侧窗格列出了关联的警报总数,警报按从最旧到最新的顺序排序。每个警报都显示了产生它的事件类型(event.category)、事件时间戳(@timestamp)和生成警报的规则(kibana.alert.rule.name)。单击规则名称以打开警报的详细信息。
在下面的示例屏幕截图中,五个警报是由分析的事件(lsass.exe)生成的。左侧窗格显示关联的警报和有关每个警报的基本信息。
