Utilisation des Règles Intégrées dans Elastic

Adam Swan Ingénieur Senior en Chasse aux Menaces chez SOC Prime

Suivre

Add to my AI research

Dans les « Options Avancées » de la section « À propos de la règle » d’Elastic se cache une fonctionnalité utile qui reçoit peu d’attention.

Cette fonctionnalité permet à la règle de générer des alertes qui sont ‘cachées’ de la vue des alertes.

Cela peut être puissant. Voici quelques idées pour vous lancer !

Règles de Seuil
- Créez des règles qui recherchent des comportements distincts qui, en soi, sont typiques, mais lorsqu’ils se produisent 5 fois ou plus dans une période, deviennent intéressants.
Règles de Nouveaux Termes
- Établissez une règle de nouveaux termes pour chercher la première fois que quelqu’un effectue un comportement ‘faible’. Par exemple, si vous avez une règle de seuil qui recherche un compte effectuant l’énumération de ressources cloud, vous pouvez construire une règle de nouveaux termes basée sur cette règle pour rechercher de nouveaux énumérateurs.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement Planifier une réunion

More Bribes de Connaissance Articles

Jan 3/2025 1 min de lecture Bribes de Connaissance Elasticsearch : L’état du cluster est ROUGE by Oleksandr L

Jan 6/2025 7 min de lecture Bribes de Connaissance Files de messages vs systèmes de streaming : principales différences et cas d’utilisation by Oleksii K.

Jan 6/2025 3 min de lecture Bribes de Connaissance Qu’est-ce que le streaming d’événements dans Apache Kafka ? by Oleksii K.