Verwendung von Bausteinregeln in Elastic

[post-views]
November 27, 2024 · 1 min zu lesen
Verwendung von Bausteinregeln in Elastic

Innerhalb der „Erweiterten Optionen“ des Abschnitts „Über Regel“ von Elastic verbirgt sich eine nützliche Funktion, die wenig Beachtung findet.

Diese Funktion ermöglicht es, dass die Regel Alarme generiert, die in der Alarmansicht ‚versteckt‘ sind.

Dies kann mächtig sein. Hier sind einige Ideen, um Ihnen den Einstieg zu erleichtern!

  1. Schwellenwertregeln
    • Erstellen Sie einige Regeln, die nach unterschiedlichen Verhaltensweisen suchen, die für sich genommen typisch sind, aber wenn 5 oder mehr davon innerhalb eines Zeitraums auftreten, interessant werden.
  2. Regeln für neue Begriffe
    • Erstellen Sie eine Regel für neue Begriffe, um nach dem ersten Mal zu suchen, wenn jemand ein ’niedriges‘ Verhalten zeigt. Zum Beispiel, wenn Sie eine Schwellenwertregel haben, die nach einem Konto sucht, das eine Enumeration von Cloud-Ressourcen durchführt, können Sie eine neue Begriffsregel auf dieser Regel aufbauen, um nach neuen Ausrechnern zu suchen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Regelbereitstellung in einer Datenebene
Blog, SOC Prime Plattform — 2 min zu lesen
Regelbereitstellung in einer Datenebene
Steven Edwards