使用关联图
关联图是一种安全发现知识图。它提供关联引擎生成信息的可视化,让您能够关注特定的关联并更详细地检查它们。图上的信息包括按日志类型分类的发现、发现的严重级别、发现之间建立的关联以及关联的相关性等详细信息。您还可以操作图表,以进一步深入了解感兴趣的特定事件。这包括按日期和时间筛选发现,放大特定发现与其关联之间的关系,以及按日志类型和严重级别筛选。使用本节了解有关使用此图表的更多信息。
访问图表
首先,在 OpenSearch Dashboards 主菜单中选择**安全分析**。然后,在屏幕左侧的“安全分析”菜单中选择**关联**。此时会显示**关联**页面,如下图所示。
解读图表
图表将发现显示为节点,节点带颜色边框,表示其严重级别。节点内部的三字母缩写表示日志类型。连接发现的线条表示它们之间的关联。粗线表示强关联,而细线表示弱关联。
使用图表
您可以通过按严重级别、日志类型和时间过滤器进行筛选来控制图表上显示的发现。时间过滤器通过设置发现生成日期范围来控制图表上显示的发现。
- 使用**严重性**下拉列表,根据严重级别选择在图表上显示的发现。列表名称旁边的数字表示图表上正在显示的严重级别数量。
- 使用**日志类型**下拉列表,选择要在图表上显示的日志类型。列表名称旁边的数字表示图表上正在显示的日志类型数量。
- 选择**重置过滤器**以将下拉列表恢复到其默认设置,显示所有项目。
- 使用时间过滤器设置日期范围,并仅显示在该时间范围内生成的发现。选择**刷新**以更新当前发现数量。
您可以通过在图表上选择某个发现来聚焦图表的特定区域,以查看与该发现相关的关联。然后,图表会更改为仅显示选定的发现以及与之关联的发现群组,如下图所示。
缩小图表焦点后,每个发现的信息卡将显示在屏幕的右侧。选定的发现显示在卡片的顶部,关联的发现则按照其关联相关性(由关联分数表示)的顺序列在其下方,如下图所示。
您可以在图表上选择一个关联发现,以更改关联关系视角。这将把新选择的发现发送到信息卡顶部,并将其他发现显示为相对关联。
卡片显示每个发现的以下详细信息:
- 发现的严重级别:1 严重;2 高;3 中;4 低;5 信息。
- 关联发现的关联分数。该分数基于关联规则定义的威胁场景中相关发现的接近程度。
- 生成该发现的检测规则。
- 对于关联发现,用于将其与选定发现关联的关联规则。