Utilizzo delle Regole Building Block in Elastic

Pezzi di conoscenza

Novembre 27, 2024

1 min di lettura

Utilizzo delle Regole Building Block in Elastic

Adam Swan
Adam Swan Senior Threat Hunting Engineer presso SOC Prime linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

All’interno delle “Opzioni Avanzate” della sezione “Riguardo la Regola” di Elastic si nasconde una funzionalità utile che riceve poca attenzione.

Questa funzione fa sì che la regola generi avvisi che sono ‘nascosti’ dalla vista degli avvisi.

Questo può essere potente. Ecco alcune idee per iniziare!

  1. Regole di Soglia
    • Crea alcune regole che cerchino comportamenti distinti che da soli sono tipici, ma quando 5 o più di essi accadono entro un periodo di tempo diventa interessante.
  2. Regole dei Nuovi Termini
    • Crea una nuova regola sui termini per cercare la prima volta che qualcuno compie un comportamento ‘basso’. Ad esempio, se hai una regola di soglia che cerca un account che esegue l’enumerazione delle risorse cloud, puoi costruire una nuova regola sui termini su questa regola per cercare nuovi enumeratori.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Pezzi di conoscenza Articles

Elasticsearch: Stato del Cluster è RED 1 min di lettura Pezzi di conoscenza Elasticsearch: Stato del Cluster è RED by Oleksandr L Code messaggi vs. Sistemi di streaming: Differenze chiave e casi d’uso 6 min di lettura Pezzi di conoscenza Code messaggi vs. Sistemi di streaming: Differenze chiave e casi d’uso by Oleksii K. Cos’è lo Streaming di Eventi in Apache Kafka? 3 min di lettura Pezzi di conoscenza Cos’è lo Streaming di Eventi in Apache Kafka? by Oleksii K.