Kibana 功能
Kibana 可以让您对 Elasticsearch 中的数据进行可视化并在 Elastic Stack 中轻松导览,方便您高效完成很多事情,例如,快速搞明白为什么自己会在半夜两点收到通知,并预测突发事件对本季度数字的影响。
探索并进行可视化
管理和监测
Alerting
解决方案
Elastic Metrics
Elastic 安全
探索并进行可视化
探索并进行可视化
可视化
您的数据背后肯定有一个引人入胜的故事。但是,要通过什么方式来充分表现出来呢?Kibana 中的图表、表格、地图和其他工具都可随时供您使用,助您实时展示自己的数据。
Kibana Lens
Kibana Lens 是一个直观易用的 UI,能够通过拖放体验简化数据可视化过程。无论想探索数十亿条日志,还是希望从网站流量中找出趋势,通过 Lens,您只需轻点几下鼠标便可从数据中收获洞见,之前无需拥有任何 Kibana 经验!
时序可视化生成器
时序可视化生成器 (TSVB) 是一个时序数据可视化工具,利用了 Elasticsearch 聚合框架的全部威力,可将无数的聚合和管道聚合整合在一起,从而以富有成效的方式展示复杂数据。
地理空间分析
对 Elastic Stack 的很多用户而言,“哪里”是一个至关重要的问题。无论您希望保护自己的网络免受攻击,还是调查为何特定地点的应用程序响应时间长,或者只是打个网约车回家,地理空间数据和搜索都发挥着重要的作用。
图表
借助线状图、面积图和柱状图,您能够在 X/Y 轴上绘制数据。热点图能够以图形方式展示数据,在热点图中,矩阵中所包含的各个值会以颜色或渐变色表示。饼图还有一种变体,即包含两个圆的环形图,在环形图上,被分割的不再是饼片,而是环形片。
Vega(定制)
借助 Vega 和 Vega-Lite,无需使用 JavaScript 便能制作出定制可视化。在 Kibana 中创建可视化(无论是单独的,还是地图上的)时,既可以使用来自单一 Elasticsearch 查询的数据,也可以使用来自多个数据源的数据。
Vega 可视化
Prometheus 导出器
3D 图表与图形
日历可视化
还有更多
Kibana 运行时字段编辑器
Kibana 运行时字段编辑器采用 Elasticsearch 的运行时字段功能,让分析师能够实时添加自己的定制字段。在索引模式、Discover 和 Kibana Lens 中,用户可以使用此编辑器创建、编辑或移除运行时字段。
探索并进行可视化
数据探索
Kibana 中的内置仪表板鼓励您在处理事件的同时对网络流量数据进行探索和可视化。设置筛选器并开始深入分析,以获得有关您的数据的更深入洞见。
仪表板
Kibana 仪表板会展示一系列可视化和搜索。您可以排列和编辑这些仪表板的内容并相应调整大小,然后保存仪表板以便分享。您可以在多个仪表板之间创建定制深入分析,甚至可以创建对 Web 应用程序的深入分析,以便采取行动和做出决策。
Discover
通过 Discover,您能够使用 Kibana 中的数据发现功能来探索自己的数据。您能够访问每个索引中与所选索引模式相匹配的每份文档。您可以提交搜索查询,筛选搜索结果,并查看文档数据。您还可以查看符合搜索查询条件的文档数量,并获得有关字段值的统计数据。如果针对所选的索引模式配置了时间字段,则在页面顶部会以直方图显示一段时间内的文档分布情况。
字段统计信息
字段统计信息是 Discover 中的一个选项卡,用于通过方便的可视化和统计信息,针对索引中的每个字段细分显示各字段、数值和数据分布情况。检查数据的完整性,发现异常值,了解数值分布情况并获得对环境的整体性了解。
Console 界面
Console 是 Kibana 中的一项开发工具,您在其中能够以类似 cURL 的语法来编辑请求并发送到 Elasticsearch,并随后查看对您的请求的响应。
图表分析
图表分析功能能够让您发现 Elasticsearch 索引中项目彼此间的联系。您可以探究索引词语间的联系,并看看哪些联系对您的用处最大。这一功能在多类应用程序中都有很大用处,从欺诈检测到推荐引擎,都离不开它。
探索并进行可视化
预配置仪表板
当使用 Elastic Stack 来分析日志和指标时,您可以充分利用各种各样的预配置仪表板来处理很多常见的数据源。从最开始,便像专家一样玩转 Kibana。
Infrastructure 模块
借助范例仪表板(系统、Kubernetes、Docker、Windows、auditd、journald 等),您能够轻松地开始监测 Kibana 内的服务器。通过这些预配置仪表板,便可快速入门,之后还可进行定制以满足您的需求。
探索并进行可视化
分享与协作
只需选择适合您的分享选项,即可轻松地把 Kibana 可视化分享给您选择的任何人:您的团队成员、您的老板、老板的老板、您的客户、合规经理或承包商。嵌入仪表板,分享链接,或者导出为 PDF、PNG 或 CSV 文件并作为附件发送给别人。或者对您的仪表板和可视化进行整理,将其归到各个 Kibana Spaces 中。
嵌入式仪表板
在 Kibana 中,您可以轻松地与 Kibana 仪表板分享直接链接,还可在网页中嵌入仪表板以将其作为 iframe,既可以作为动态仪表板,也可以作为当前时间点的静态快照。
纯仪表板模式
使用内置角色 kibana_dashboard_only_user 来限制用户登录到 Kibana 时可以看到的内容。kibana_dashboard_only_user 已预配置为 Kibana 的只读权限。当打开仪表板时,用户的视觉体验将会受到限制。所有编辑和创建控件都会予以隐藏。
工作区
通过 Kibana 中的 Spaces,您能够将仪表板和其他已保存对象划分到不同的类别,方便您的管理。进入特定工作区 (Space) 后,您便可立即看到其中所包含的仪表板和其他已保存对象。此外,如若启用 Security 功能,您可以控制哪些用户有权访问哪些单独的工作区,以享受更进一层的安全保障。
PDF/PNG 报告
能够为任何 Kibana 可视化或仪表板快速生成报告,并将报告保存为 PDF 或 PNG 格式。您可以即需即取报告、预约报告、根据特定条件触发报告,并自动将报告分享给他人。
Kibana Spaces 的定制横幅广告功能
定制横幅广告有助于用户辨别适用于不同角色、团队、职能等对象的 Kibana Spaces。针对每个 Kibana Spaces 量身打造特别公告和讯息,帮助用户快速识别自己所在的 Space。
探索并进行可视化
Machine Learning
Elastic Machine Learning 功能可以自动对 Elasticsearch 数据的行为(例如趋势、周期等等)进行实时建模,从而更快地发现问题,简化问题根源分析,降低误报率。
时序型预测
Elastic Machine Learning 针对您的数据的正常行为创建基线之后,您可以使用这些信息来推测未来行为。然后,即可创建一套预测方法,来估计未来特定日期的时序值,或者预估未来出现某个特定时序值的几率。
时序型数据异常监测
Elastic Machine Learning 功能通过为数据中的正常行为创建准确基线并且识别数据中的异常模式,可实现时序型数据分析的自动化。通过使用专有的 Machine Learning 算法,可以检测到异常情况,对其进行评分,并将其与数据中具有重大统计意义的影响因素联系在一起。
与临时偏离数值、计数或频率有关的异常情况
统计学意义上的罕见事件
群体中某一成员的异常行为
群体/实体分析
使用 Elastic Machine Learning 功能创建“典型”用户、设备或其他实体在特定时间段内的配置文件,然后在用户、设备或其他实体的行为异于群体时即可将这些异常对象找出来。
日志消息分类
应用程序日志事件通常并无结构可依,而且还包括变量数据。Elastic Machine Learning 功能会探究消息的静态部分,将相似消息聚集在一起,并将它们归到消息类别中。
根本原因指示
检测到异常后,Elastic Machine Learning 功能可以轻松识别对此有重大影响的属性。例如,如果交易量异常下降,您可以迅速找到导致此问题的故障服务器或错误配置的交换机。
数据可视化工具
Data Visualizer(数据可视化工具)通过分析日志文件或现有索引中的指标和字段,帮助您更好地理解自己的 Elasticsearch 数据,并识别可进行 Machine Learning 的潜在字段。
推理
通过推理,您不仅可以将监督型 Machine Learning 进程(例如回归或分类)用作批量分析,而且还可用于持续分析。通过推理,您可以针对入站数据应用已训练的 Machine Learning 模型。
管理和监测
管理和监测
安全性
Elastic Stack 的安全功能会向正确的人员授予正确的访问权限。IT、运营和应用程序团队能够依赖这些功能来管理善意用户并阻隔恶意破坏人员;与此同时,Elastic Stack 中存储的数据始终享有可靠的安全保障,公司高管和客户都能高枕无忧。
安全的 Spaces
通过 Kibana 中的 Spaces,您能够将仪表板和其他已保存对象划分到不同的类别,方便您的管理。进入特定工作区 (Space) 后,您便可立即看到其中所包含的仪表板和其他已保存对象。此外,如若启用 Security 功能,您可以控制哪些用户有权访问哪些单独的工作区,以享受更进一层的安全保障。
Security Realm
Elastic Stack 的 Security 功能会使用 Realm 或者一个或多个基于令牌的身份验证服务来验证用户身份。Realm 可基于身份验证令牌来解决问题并验证用户身份。Security 功能提供大量内置 Realm。
单点登录 (SSO)
通过将 Elasticsearch 作为后端服务,Elastic Stack 支持通过 SAML 单点登录方式 (SSO) 登录 Kibana。通过 SAML 身份验证,可以允许用户使用外部身份提供商服务(例如 Okta 或 Auth0)登录 Kibana。
管理和监测
管理
Elastic Stack 提供了大量的管理工具、UI 和 API,让您可以完全控制数据、用户、集群操作等方面。
深色主题
Kibana 默认会采用亮色主题,但用户可在 Space 层面轻松转换为深色主题。选择最适合您(和您的眼睛)的模式。
索引模式
索引模式可识别一个或多个您希望使用 Kibana 进行探索的 Elasticsearch 索引。Kibana 会寻找与所指定模式相匹配的索引名称。模式中的星号 (*) 会匹配到零个或多个字符。举例说明,模式 myindex-*
会匹配到名称以 myindex-
开头的全部索引,例如 myindex-1
和 myindex-2
。
索引生命周期管理
通过索引生命周期管理 (ILM),用户能够定义并自动执行政策,进而控制某个索引在四个阶段中分别应该停留多长时间,还可以定义并自动执行在各个阶段针对索引所采取的行动集合。由于可以将数据置于不同的资源等级,所以这样能够更好地帮助节省运行成本。
热节点:主动进行更新,也可查询
温节点:不再进行更新,但仍可查询
冷/冻节点:不再进行更新,也很少查询(尽管仍可以搜索,但速度会很慢)
删除:不再需要
快照生命周期管理
作为后端的快照管理工具,快照生命周期管理 (SLM) API 能够允许管理员定义对 Elasticsearch 集群进行快照的频率。通过专属 UI,SLM 能够让用户为 SLM 政策配置保留期,自动创建/删除快照,并自动预先安排好快照事宜——这能够确保以合理频率对特定集群进行快照,从而按照客户的 SLA 进行恢复。
数据汇总管理
在 Kibana 中,您能够找到用来查看、创建、启动、停止和删除汇总作业的 UI。汇总作业是一项定期任务,会定期对按索引类型指定的 Elasticsearch 索引进行总结并汇总到一个新索引中。
升级助手 UI
升级助手 UI 能够帮您为升级至最新 Elastic Stack 版本做好准备。在 UI 内,该助手可识别您的集群或索引中需要弃用的设置,并引导您完成解决问题的全过程,包括重新索引。
升级助手 API
通过升级助手 API,您能够检查 Elasticsearch 集群的升级状态,并对在之前重大版本中创建的索引进行重新索引。这一助手能够帮助您为下一次 Elasticsearch 重大版本升级做好准备。
已保存对象 API
通过已保存对象 API,您能够管理 Kibana 已保存对象,包括但不限于仪表板、可视化和索引模式。这些端点无法通过 Kibana 中的 Console 访问。
许可管理
安装 Kibana 时,系统会生成一个没有过期日期的基础型许可证。前往 Management(管理)> License Management(许可管理)即可查看您的许可证状态,既可以开始 30 天的试用期,也可以安装新许可证。您一键即可激活 30 天的试用许可证,并亲自尝试整套白金级功能,包括 Machine Learning、高级安全性、图表功能等。
Transforms
Transforms 是两维的表格式数据结构,可以让索引后的数据更加易于分解。Transforms 能够执行聚合,对您的数据进行透视,形成以实体为中心的新索引。通过对数据进行转化和汇总,您便有可能通过其他方法(包括将其作为其他 Machine Learning 分析的数据源)对这些数据进行可视化和分析。
管理和监测
监测
您可以利用 Elastic Stack 的 Monitoring 功能来监视 Elastic Stack 的运行情况。密切关注 Elastic Stack 的运行情况,从而确保您充分发挥 Elastic Stack 的作用。
全堆栈监测
通过 Elastic Stack 的 Monitoring 功能,您能够获取有关 Elasticsearch、Logstash 和 Kibana 的深入洞见。由于所有的监测指标都存储在 Elasticsearch 中,所以您能够轻松在 Kibana 中对数据进行可视化。
堆栈发生问题时自动告警
借助 Elastic Stack 强大的 Alerting 功能,您可以自动获知集群中的任何更改——所有 Elasticsearch、Kibana 和 Logstash 中的集群状态、授权过期情况或其他监测指标。
管理和监测
Alerting
Elastic Stack 的 Alerting 功能可让您充分利用 Elasticsearch 查询语言,当数据发生令您感兴趣的变化后,您能够发现这些变化。换言之,如果您能够在 Elasticsearch 中查询某些数据,就能够创建相应的告警。
高可用性、可扩展警报
这么多大大小小的公司/组织信得过使用 Elastic Stack 来满足他们的告警需求,肯定有其原因。通过可靠且安全地采集任何来源、任何格式的数据,分析师可以实时搜索、分析和可视化关键数据,而且完成所有这一切时都能使用定制、可靠的告警。
通过电子邮件、Webhook、IBM Resilient、Jira、Microsoft Teams、PagerDuty、ServiceNow、Slack 和 xMatters 传送的通知
利用针对电子邮件、IBM Resilient、Jira、Microsoft Teams、PagerDuty、ServiceNow、xMatters 和 Slack 的内置集成功能关联告警。通过 Webhook 输出与任何其他第三方系统进行集成。
Discover 的搜索阈值告警
Discover 中的搜索阈值规则基于 Elasticsearch 查询,它会按照给定的时间间隔分析文档,以检查具有指定条件的文档是否达到了阈值,并在达到阈值时触发告警。如果用户希望触发通知或自动创建事件,他们可以创建并分配相应的操作。
管理和监测
开发工具
使用“开发工具”中包含的开发工具,您便可以与 Kibana 中的数据进行交互。这些工具包括 Console、Grok Debugger 和 Search Profiler(搜索剖析器)。
Grok Debugger
您可以在 Kibana Grok Debugger 中构建 Grok 模式并修复其中存在的问题,然后再将这些模式应用到数据处理管道中。Grok 是一种模式匹配语法,您可以用其来解析随机文本并确立文本结构。Grok 非常适用于解析 Syslog、Apache、其他 Web 服务器日志、MySQL 日志,以及通常来说出于供人类使用目的而编写的任何日志格式。
查询剖析器/优化器
剖析 API 可以提供搜索请求中有关单独组件执行情况的详细时间信息。它能够让您从详尽层面深入了解搜索请求的执行过程,以便您可以理解为何某些请求的处理速度慢,进而采取措施加以改进。
管理和监测
部署
从公共云到私有云,我们都能够让您轻松地运行和管理 Elastic Stack。
下载并安装
轻松入门,历来如此。只需下载并安装存档形式的 Elasticsearch 和 Kibana,也可使用文件包管理工具进行下载和安装。您瞬间即可对数据进行索引、分析和可视化。而且,使用默认分发包的话,您还可以通过 30 天的免费试用计划体验白金级功能,例如 Machine Learning、Security、图表分析等等。
Elastic Cloud
Elastic Cloud 是我们不断壮大的 SaaS 产品套件系列,旨在让您轻松地在云中部署、操作和扩展 Elastic 产品和解决方案。从易用的托管式和受管式 Elasticsearch 体验到功能强大、直接可用的搜索解决方案,Elastic Cloud 都是一个跳板,能够助您轻松利用 Elastic。免费试用任何 Elastic Cloud 产品,14 天内免费 — 无需提供信用卡。
开始免费试用 Elasticsearch Service
Elastic Cloud Enterprise
通过 Elastic Cloud Enterprise (ECE),您可以配置、管理和监测任何规模、任何基础架构中的 Elasticsearch 和 Kibana,同时通过单个控制台管理一切。您可以选择要在哪里运行 Elasticsearch 和 Kibana:物理硬件、虚拟环境、私有云、公有云中的私有区域,或者只是普通的公有云(例如,Google、Azure 和 AWS)。所有这些我们都支持。
Elastic Cloud on Kubernetes
基于 Kubernetes Operator 模式,Elastic Cloud on Kubernetes (ECK) 扩展了 Kubernetes 的基本编排功能,支持在 Kubernetes 上设置和管理 Elasticsearch 和 Kibana。使用 Elastic Cloud on Kubernetes 后,对于在 Kubernetes 中运行 Elasticsearch,这可简化在部署、升级、快照、扩展、高可用性和安全性等方面的流程。
解决方案
解决方案
Elastic Maps
借助 Maps 应用,您能够对地理数据快速进行大规模的实时分析。借助 Maps 的多项功能(例如在一张地图中包含多个图层和索引,绘制原始文件,动态的客户端样式,以及跨多个图层的全局搜索),您能够轻松理解和监测自己的数据。
地图图层
在 Kibana 内使用 Maps 应用将来自多个索引的图层添加到单一视图中。由于这些图层均位于同一张地图上,您可以实时对全部图层进行搜索和筛选。选项包括等值线图层、热点图图层、磁贴图层、向量图形,甚至还有针对具体用例的图层,例如针对 APM 数据的可观测性。
向量磁贴
向量磁贴可将您的地图划分成多个磁贴,而且与其他替代方法相比,它可以提供卓越的性能和流畅的缩放体验。所有新的多边形图层都会默认启用“使用向量磁贴”设置。如果您更想使用以 10,000 条记录为限的方法,则可以在图层设置中更改缩放选项。
Elastic 地图服务(缩放级别)
通过提供基础地图磁贴、形状文件以及对地理数据进行可视化所必需的关键功能,Elastic Maps Service 为 Kibana 中的所有地理空间可视化(包括 Maps 应用)提供支持。使用 Kibana 的默认分发包,您在地图上最多可以缩放 18 级。
Elastic Maps Server
Elastic Maps Server 将 Elastic Maps Service 的基础地图和边界应用到本地基础架构中。
GeoJSON 上传
GeoJSON Upload 功能不仅简单易用,而且十分强大。通过直接采集到 Elasticsearch 中,该功能可使地图创建者将包含点、形状和内容的 GeoJSON 文件拖放到地图中,以实现即时可视化。在跟踪数据驱动的对象移动时,使用 GeoJSON 定义的边界启用电子邮件或 webapp 告警。
Shapefile 上传
使用 Maps 应用程序中内置的这个简单易用但功能强大的上传工具将 shapefile 加载到 Elastic 中。轻松加载本地开放数据和边界,以进行分析和比较。
解决方案
Elastic Logs
Elastic Stack 针对各种常见数据源提供了开箱即用的支持,并有各种默认仪表板可供启用,就是这么好用。利用 Filebeat 和 Winlogbeat 发送日志,索引至 Elasticsearch,然后用几分钟时间即可在 Kibana 中全部实现可视化。
日志采集器 (Filebeat)
Filebeat 将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。Filebeat 内置有多种模块(auditd、Apache、NGINX、System、MySQL 等等),可针对常见格式的日志大大简化收集、解析和可视化过程,只需一条命令即可。
解决方案
Elastic Metrics
通过 Elastic Metrics,轻松跟踪整体指标,例如 CPU 使用率、系统负载、内存使用率,以及网络流量,这能够帮助您评估服务器、容器和服务的整体运行状况。
指标采集器 (Metricbeat)
Metricbeat 是一个轻量型采集器,您可以将其安装在服务器上,以定期从操作系统以及服务器上所运行的服务中收集指标。Metricbeat 能够以一种轻量型的方式,输送各种系统和服务统计数据,从 CPU 和内存,到 Redis 和 Nginx,不一而足。
Metrics 仪表板
通过范例 Metricbeat 仪表板,您能够在 Kibana 中轻松地开始监测服务器。通过这些预配置仪表板,便可快速入门,之后还可进行定制以满足您的需求。
面向 Metrics 的告警集成
借助实时反馈为您的指标创建阈值告警——在 Kibana 中的 Metrics 应用中便能直接完成创建;然后按照您所选的方式(文档、日志、Slack、简单的 Webhook 等等)收到通知。
解决方案
Elastic 运行状态监测
借助由开源 Heartbeat 提供支持的 Elastic 运行状态监测,您可以将可用性数据与由日志、指标和 APM 提供的丰富上下文信息结合在一起,从而更轻松地连点成线,确定活动之间的联系,并快速解决问题。
运行状态监测 (Heartbeat)
Heartbeat 是一个轻量型守护进程,您可以将其安装在远程服务器上来定期检查服务状态并确定它们是否可用。Heartbeat 会采集服务器数据,这些数据随后会在 Kibana 中的 Uptime 仪表板和应用中进行展示。
面向 Uptime 的告警集成
在 Uptime 应用中直接根据您的可用性数据轻松创建基于阈值的告警;然后按照您所选的方式(文档、日志、Slack、简单的 Webhook 等等)收到通知。
证书监测
查看您的 SSL 或者 TLS 证书何时到期,或者在它们即将到期时收到通知,并且让您的服务直接显示在 Uptime 应用中。
运行状态监测应用
Kibana 中的 Uptime 应用设计用于帮助您快速识别和诊断网络/环境中的异常状况和其他连接问题。通过这个实用界面,轻松监测主机、服务、网站、API 等等。
解决方案
Elastic APM
已经在 Elasticsearch 中存储日志和系统指标?使用 Elastic APM 可扩展到应用程序指标。通过四行代码即可纵观全局,快速解决问题,并对您推送的代码充满信心。
APM 服务器
APM 服务器会从 APM 代理处接收数据,然后再将这些数据转换为 Elasticsearch 文档。它是通过暴露 HTTP 服务器端点(代理会将所收集的 APM 数据流式传输到此端点)来实现这一点的。APM 服务器对来自 APM 代理的事件进行验证和处理之后,服务器会将数据转换为 Elasticsearch 文档,并将这些文档存储在相应的 Elasticsearch 索引中。
APM 代理
APM 代理是以您服务所用的相同语言编写的开源库。您可以像安装任何其他库一样,将 APM 代理安装到您的服务中。它们可以检测您的代码并在运行时收集性能数据和错误。这些数据会缓存一小段时间,然后发送到 APM 服务器。
APM 应用
查找并修复代码中存在的问题归根结底就是搜索。通过 Kibana 中的专用 APM 应用,您能够识别瓶颈并在代码层面准确定位到存在问题的地方。因此,您能够编写更好、更高效的代码,进而帮助您加快“开发-测试-部署”周期,让您的应用程序运行更快,客户体验更佳。
分布式跟踪
纳闷您的请求是如何流经整个基础架构的?通过分布式跟踪将所有内容整合到一起,清晰查看您的各项服务之间的交互情况。查找路径中哪个位置发生了延时问题,然后准确定位到需加以优化的组件。
Machine Learning 集成
从 APM 应用直接创建 Machine Learning 任务。通过 Machine Learning 功能(此功能可自动对您的数据建模)快速找到异常行为。
解决方案
Elastic 安全
Elastic 安全能够助力安全运营、威胁猎捕和 IT 运营团队防御、检测威胁,并就威胁做出响应。该解决方案可以防御主机上的勒索软件和恶意软件,自动检测威胁和异常情况,并通过直观的工作流、内置的案例管理以及与 SOAR 和工单平台的集成来简化响应过程。
Elastic Common Schema
使用 Elastic Common Schema (ECS) 统一分析来自不同来源的数据。通过 ECS,用户可以更加广泛地应用检测规则、Machine Learning 作业、仪表板以及其他安全内容,可以更加具有针对性地创建搜索,还能更轻松地记住字段名称。
Machine Learning 异常检测
集成式 Machine Learning 可自动完成异常检测,提高检测性能并优化跟踪工作流。我们预构建的 Machine Learning 作业集能够帮助用户实现快速采用。告警和调查工作流会利用 ML 的结果。
检测引擎
检测引擎会执行基于技术的威胁检测,并对可能造成高价值破坏的异常提供告警。由 Elastic 安全研究工程师开发和测试的预构建规则,能够帮助用户实现快速采用。对于符合 Elastic Common Schema (ECS) 格式要求的任何数据,均可以创建自定义规则。
主机安全分析
Elastic Security 实现了 Elastic Agent 和 Elastic Beats 提供的终端数据的交互式分析,以及 Carbon Black、CrowdStrike 和 Microsoft Defender for Endpoint 等技术。使用会话视图探索 shell 活动,并使用分析器探索各个流程。
网络安全分析
Elastic 安全能够为网络安全监测团队提供交互式地图、图表、事件表格等等。它支持众多的网络安全解决方案,既包括 Suricata 和 Zeek 等 OSS 技术,也包括来自 Cisco ASA、Palo Alto Networks 和 Check Point 等厂商的设备,还包括诸如 AWS、Azure、GCP 和 Cloudflare 等云服务。
用户安全分析
Elastic Security 擅长实体分析。该解决方案提供了对用户活动的可见性,可帮助从业人员解决内部威胁、帐户接管、特权滥用和相关向量等问题。整个环境范围内的收集均支持安全监测,其中用户数据通过精心设计的可视化和表格进行呈现。用户背景信息会在猎捕或调查流程中显示,可快速获取进一步的详细信息。
时间线事件浏览器
使用时间线事件浏览器,分析师能够进行以下操作:查看、筛选、关联事件以及为事件添加备注;通过收集数据来揭示攻击的根本原因和影响范围;对调查人员进行校准;以及打包信息以供即时和长期参考。
案例管理
内置案件工作流能够强化对检测和响应的控制能力。借助 Elastic 安全,分析师通过外部系统便可开立和更新案件,为案件添加标签和评论,以及关闭和整合案例。借助面向 IBM Resilient、Jira、Swimlane 和 ServiceNow 的开源 API 和预构建支持,与既有工作流保持一致。
云工作负载会话审计
通过 eBPF 支持的轻量型代理来保护混合云工作负载和云原生应用程序。借助预构建的检测规则和 Machine Learning 模型自动发现运行时威胁。通过类终端视图进行调查,因为此视图能够呈现丰富的上下文。
KSPM 数据收集和 CIS 态势调查结果
获得有关多云环境中安全态势的可见性。查看调查结果,根据 CIS 控制措施对调查结果进行对标,并遵照修复建议来快速进行改善。
osquery 集中管理
通过 Elastic 安全,用户能够轻松地在每个终端上部署 osquery,从而精简跨 Linux、Windows 和 macOS 主机的搜寻和主机检查流程。有了该解决方案,用户可以直接访问丰富的主机数据,并使用预构建或定制 SQL 查询进行检索,以在 Elastic 安全中进行分析。
解决方案
Elastic 企业搜索
Elastic 企业搜索借助预先调优且易于个人化的相关性,为您的应用、网站和工作场所提供强大、现代化的搜索体验。
Elastic App Search
通过这个桥梁,您能直接链接到自己的 App Search 部署和应用内仪表板,从而总体了解您的 App Search 引擎。