Usar reglas de bloques de construcción en Elastic

Fragmentos de Conocimiento

noviembre 27, 2024

1 min de lectura

Usar reglas de bloques de construcción en Elastic

Adam Swan
Adam Swan Líder de Ingeniería de Búsqueda de Amenazas linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Dentro de las «Opciones avanzadas» de la sección «Acerca de la regla» de Elastic se esconde una característica útil que recibe poca atención.

Esta característica hace que la regla genere alertas que están ‘ocultas’ de la vista de alertas.

Esto puede ser poderoso. ¡Aquí hay algunas ideas para comenzar!

  1. Reglas de Umbral
    • Crea algunas reglas que busquen comportamientos distintos que por sí solos son típicos, pero cuando 5 o más de ellos ocurren dentro de un período de tiempo es interesante.
  2. Reglas de Nuevos Términos
    • Construye una regla de nuevos términos para buscar la primera vez que alguien realiza un comportamiento ‘bajo’. Por ejemplo, si tienes una regla de umbral que busca una cuenta realizando enumeración de recursos en la nube, puedes construir una regla de nuevos términos sobre esta regla para buscar nuevos enumeradores.
Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Fragmentos de Conocimiento Articles

Elasticsearch: El Estado del Clúster es ROJO 1 min de lectura Fragmentos de Conocimiento Elasticsearch: El Estado del Clúster es ROJO by Oleksandr L Colas de Mensajes vs. Sistemas de Streaming: Diferencias Clave y Casos de Uso 6 min de lectura Fragmentos de Conocimiento Colas de Mensajes vs. Sistemas de Streaming: Diferencias Clave y Casos de Uso by Oleksii K. ¿Qué es la transmisión de eventos en Apache Kafka? 2 min de lectura Fragmentos de Conocimiento ¿Qué es la transmisión de eventos en Apache Kafka? by Oleksii K.