可视化检测警报
编辑可视化检测警报编辑
在“警报”页面上的“可视化”部分中,按特定参数对检测警报进行可视化和分组。
使用左侧按钮选择视图类型(摘要、趋势、计数 或 树状图),并使用右侧菜单选择用于分组的 ECS 字段
- 按 或 分组依据:用于对警报进行分组的主要字段。
- 按顶部分组(如果可用):用于进一步细分已分组警报的辅助字段。
例如,您可以首先按规则名称分组(Group by: kibana.alert.rule.name),然后按主机名分组(Group by top: host.name),以可视化哪些检测规则生成了警报,以及哪些主机触发了这些规则中的每一个。对于具有大量唯一值的分组,将显示前 1000 个结果。
某些视图类型没有 按顶部分组 选项。您也可以将 按顶部分组 留空,以仅按 分组依据 中的主要字段进行分组。
要将视图重置为默认设置,请将鼠标悬停在视图上并单击出现的选项菜单(
),然后选择 重置分组字段。
选项菜单还允许您检查可视化的查询。对于趋势和计数视图,您可以将可视化添加到新案例或现有案例,或在 Lens 中打开它。
单击折叠图标(
)以最小化可视化部分并改为显示关键信息的摘要。
摘要编辑
在“警报”页面上,默认情况下会显示摘要可视化,并显示警报在这些指标中的分布情况
- 严重性级别:每个严重性级别有多少个警报。
- 按名称划分警报:每个检测规则创建了多少个警报。
-
按:具有指定字段值的警报的百分比:
host.name(默认)、user.name、source.ip或destination.ip。
您可以将鼠标悬停在摘要中的元素(例如严重性级别、规则名称和主机名)上并单击它们,以使用这些值向“警报”页面添加过滤器。
趋势编辑
趋势视图显示了警报随时间的发生情况。默认情况下,它按检测规则名称(kibana.alert.rule.name)对警报进行分组。
趋势视图不可用 按顶部分组 菜单。
计数编辑
计数视图显示每个组中警报的计数。默认情况下,它首先按检测规则名称(kibana.alert.rule.name)对警报进行分组,然后按主机名(host.name)进行分组。
树状图编辑
树状图视图以嵌套的、按比例大小的图块显示警报的分布情况。此视图可以帮助您快速查明最普遍和最关键的警报。
较大的图块代表更频繁的警报,每个图块的颜色基于警报的风险评分
-
绿色:低风险 (
0-46) -
黄色:中等风险 (
47-72) -
橙色:高风险 (
73-98) -
红色:严重风险 (
99-100)
默认情况下,树状图首先按检测规则名称(kibana.alert.rule.name)对警报进行分组,然后按主机名(host.name)进行分组。这显示了哪些规则生成了最多的警报,以及哪些主机造成了这些警报。
根据警报的数量,某些图块和文本可能非常小。将鼠标悬停在树状图上以在工具提示中显示信息。
您可以单击树状图以缩小树状图和下方警报表中显示的警报范围。单击组上方的标签以显示该组中的警报,或者单击单个图块以显示与该图块相关的警报。这将在 KQL 搜索栏下方添加过滤器,您可以编辑或删除这些过滤器以进一步自定义视图。
