发现结果
发现结果 窗口包含查看和处理调查结果的功能。两个主要功能是:
条形图,按数量、日期、日志类型或规则严重性排列调查结果信息。
发现结果 列表,按时间、调查结果 ID、规则名称和其他详细信息排列。
您可以随时选择 刷新 刷新 发现结果 页面上的信息。
调查结果图表
调查结果图表可以按日志类型或规则严重性显示调查结果。使用 按…分组 下拉列表指定日志类型或规则严重性。
要指定图表显示的日期范围,首先选择日历下拉列表。日期选择器窗口将打开。
您可以使用 快速选择 设置指定精确的时间窗口。
在第一个下拉列表中选择 Last 或 Next,将时间窗口设置为当前设置之前或当前设置之后。
在第二个下拉列表中选择一个数字,为范围定义一个值。
在第三个下拉列表中选择一个时间单位。可用选项包括秒、分钟、小时、天、周、月和年。 选择 应用 将日期范围应用于图表。图表上的信息相应更改,如下图所示。
您可以使用左右箭头将时间窗口移动到当前日期范围之前或之后。使用这些箭头时,开始和结束日期将出现在日期范围字段中。然后,您可以选择每个日期来设置绝对、相对或当前的日期和时间。对于绝对和相对更改,选择 更新 以应用更改。
作为替代方案,您可以在 常用 部分选择一个选项(参见前面的日历下拉列表图片)来方便地设置时间窗口。选项包括日期范围,例如 Today、Yesterday、this week 和 week to date。
当选择一个常用的时间窗口时,您可以在日期范围字段中选择 Show dates 以填充日期范围。之后,您可以选择开始日期或结束日期来指定绝对、相对或当前的日期和时间设置。对于绝对和相对更改,选择 更新 以应用更改。
作为另一种替代方案,您可以从 最近使用日期范围 部分选择一个选项,返回到先前的设置。
调查结果列表
发现结果 列表按调查结果时间、调查结果 ID、生成调查结果的规则名称、捕获调查结果的检测器以及其他详细信息显示所有调查结果,如下图所示。
使用 严重性 下拉列表按严重性过滤调查结果列表。使用 日志类型 下拉列表按日志类型过滤列表。
操作 列为每个调查结果包含两个选项:
斜箭头提供一种打开发现详情窗格的方式,该窗格根据创建检测器时定义的参数描述调查结果,并包括生成调查结果的文档。
铃铛图标允许您打开 创建告警 窗格,您可以在其中快速为特定调查结果设置警报,并根据需要修改规则及其条件。 有关设置警报的信息,请参阅检测器创建文档中的步骤 2:设置警报。
调查结果详细信息
列表中的每个调查结果还包括一个 发现ID。除了使用 操作 中的斜箭头外,您可以选择 ID 打开 发现详情 窗格。发现详情 的示例如下图所示。
查看周围文档
发现详情 窗格包含有关调查结果的具体信息,包括生成调查结果的文档。要调查导致调查结果或跟随调查结果的事件序列,您可以选择 View surrounding documents 在 发现 面板中打开文档,并查看其前后其他文档。
通过在 发现 列表中选择 发现ID 打开 发现详情。
在 文档 部分,选择 View surrounding documents。如果文档已存在索引模式,发现 面板将打开并显示文档。如果索引模式不存在,创建索引模式以查看文档 窗口将打开并提示您创建索引模式,如下图所示。
在 创建索引模式以查看文档 窗口中,索引模式名称会自动填充。输入用于确定日志事件时间安排的日志索引中的适当时间字段。选择 创建索引模式。创建索引模式以查看文档 确认窗口将打开。
在确认窗口中选择 View surrounding documents。发现 面板将打开,如下图所示。
发现 面板显示生成调查结果的文档,背景高亮显示。事件之前或之后的其他文档也会显示。
有关在 UDB-SX Dashboards 中使用 发现 的详细信息,请参阅探索数据。
查看相关调查结果
要查看调查结果如何与其他调查结果相关联,请选择 关联 选项卡。关联是调查结果之间的关系,表达了涉及多种日志类型的特定威胁场景。相关发现 表中的信息显示生成相关调查结果的时间、调查结果的 ID、用于生成调查结果的日志类型、其威胁严重性以及关联分数(衡量其与参考调查结果的接近程度),如下图所示。
您可以选择 查看关联图 以可视化调查结果之间的关联。有关使用关联图的更多信息,请参阅使用关联图。