Utilizzo delle Regole Building Block in Elastic

[post-views]
Novembre 27, 2024 · 1 min di lettura
Utilizzo delle Regole Building Block in Elastic

All’interno delle “Opzioni Avanzate” della sezione “Riguardo la Regola” di Elastic si nasconde una funzionalità utile che riceve poca attenzione.

Questa funzione fa sì che la regola generi avvisi che sono ‘nascosti’ dalla vista degli avvisi.

Questo può essere potente. Ecco alcune idee per iniziare!

  1. Regole di Soglia
    • Crea alcune regole che cerchino comportamenti distinti che da soli sono tipici, ma quando 5 o più di essi accadono entro un periodo di tempo diventa interessante.
  2. Regole dei Nuovi Termini
    • Crea una nuova regola sui termini per cercare la prima volta che qualcuno compie un comportamento ‘basso’. Ad esempio, se hai una regola di soglia che cerca un account che esegue l’enumerazione delle risorse cloud, puoi costruire una nuova regola sui termini su questa regola per cercare nuovi enumeratori.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Distribuzione delle Regole in un Piano Dati
Blog, Piattaforma SOC Prime — 2 min di lettura
Distribuzione delle Regole in un Piano Dati
Steven Edwards