Usar reglas de bloques de construcción en Elastic

[post-views]
noviembre 27, 2024 · 1 min de lectura
Usar reglas de bloques de construcción en Elastic

Dentro de las «Opciones avanzadas» de la sección «Acerca de la regla» de Elastic se esconde una característica útil que recibe poca atención.

Esta característica hace que la regla genere alertas que están ‘ocultas’ de la vista de alertas.

Esto puede ser poderoso. ¡Aquí hay algunas ideas para comenzar!

  1. Reglas de Umbral
    • Crea algunas reglas que busquen comportamientos distintos que por sí solos son típicos, pero cuando 5 o más de ellos ocurren dentro de un período de tiempo es interesante.
  2. Reglas de Nuevos Términos
    • Construye una regla de nuevos términos para buscar la primera vez que alguien realiza un comportamiento ‘bajo’. Por ejemplo, si tienes una regla de umbral que busca una cuenta realizando enumeración de recursos en la nube, puedes construir una regla de nuevos términos sobre esta regla para buscar nuevos enumeradores.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Despliegue de Reglas en un Plano de Datos
Blog, Plataforma SOC Prime — 2 min de lectura
Despliegue de Reglas en un Plano de Datos
Steven Edwards