Verwendung von Bausteinregeln in Elastic

Wissenshäppchen

November 27, 2024

1 min zu lesen

Verwendung von Bausteinregeln in Elastic

Adam Swan
Adam Swan Senior Threat-Hunting-Ingenieur bei SOC Prime linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Innerhalb der „Erweiterten Optionen“ des Abschnitts „Über Regel“ von Elastic verbirgt sich eine nützliche Funktion, die wenig Beachtung findet.

Diese Funktion ermöglicht es, dass die Regel Alarme generiert, die in der Alarmansicht ‚versteckt‘ sind.

Dies kann mächtig sein. Hier sind einige Ideen, um Ihnen den Einstieg zu erleichtern!

  1. Schwellenwertregeln
    • Erstellen Sie einige Regeln, die nach unterschiedlichen Verhaltensweisen suchen, die für sich genommen typisch sind, aber wenn 5 oder mehr davon innerhalb eines Zeitraums auftreten, interessant werden.
  2. Regeln für neue Begriffe
    • Erstellen Sie eine Regel für neue Begriffe, um nach dem ersten Mal zu suchen, wenn jemand ein ’niedriges‘ Verhalten zeigt. Zum Beispiel, wenn Sie eine Schwellenwertregel haben, die nach einem Konto sucht, das eine Enumeration von Cloud-Ressourcen durchführt, können Sie eine neue Begriffsregel auf dieser Regel aufbauen, um nach neuen Ausrechnern zu suchen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Wissenshäppchen Articles

Elasticsearch: Clusterstatus ist ROT 1 min zu lesen Wissenshäppchen Elasticsearch: Clusterstatus ist ROT by Oleksandr L Nachrichtenwarteschlangen vs. Streaming-Systeme: Wichtige Unterschiede und Anwendungsfälle 5 min zu lesen Wissenshäppchen Nachrichtenwarteschlangen vs. Streaming-Systeme: Wichtige Unterschiede und Anwendungsfälle by Oleksii K. Was ist Event Streaming in Apache Kafka? 2 min zu lesen Wissenshäppchen Was ist Event Streaming in Apache Kafka? by Oleksii K.