Utilisation des Règles Intégrées dans Elastic

[post-views]
novembre 27, 2024 · 1 min de lecture
Utilisation des Règles Intégrées dans Elastic

Dans les « Options Avancées » de la section « À propos de la règle » d’Elastic se cache une fonctionnalité utile qui reçoit peu d’attention.

Cette fonctionnalité permet à la règle de générer des alertes qui sont ‘cachées’ de la vue des alertes.

Cela peut être puissant. Voici quelques idées pour vous lancer !

  1. Règles de Seuil
    • Créez des règles qui recherchent des comportements distincts qui, en soi, sont typiques, mais lorsqu’ils se produisent 5 fois ou plus dans une période, deviennent intéressants.
  2. Règles de Nouveaux Termes
    • Établissez une règle de nouveaux termes pour chercher la première fois que quelqu’un effectue un comportement ‘faible’. Par exemple, si vous avez une règle de seuil qui recherche un compte effectuant l’énumération de ressources cloud, vous pouvez construire une règle de nouveaux termes basée sur cette règle pour rechercher de nouveaux énumérateurs.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Déploiement de règles dans un plan de données
Blog, Plateforme SOC Prime — 2 min de lecture
Déploiement de règles dans un plan de données
Steven Edwards