Elasticにおけるビルディングブロックルールの活用

ブログ

11月 27, 2024

1 分で読めます

Elasticにおけるビルディングブロックルールの活用

Adam Swan
Adam Swan SOC Primeのシニア脅威ハンティングエンジニア linkedin icon フォローする

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

Elasticの「ルールについて」セクションの「詳細オプション」の中には、あまり注目されていない便利な機能が隠されています。

この機能により、アラートビューから「隠された」アラートを生成するルールを作成できます。

これは強力です。始めるためのアイデアをいくつか紹介します!

  1. しきい値ルール
    • それ自体は典型的ですが、一定の時間内に5回以上発生すると興味深い特異な行動を探すルールを作成します。
  2. 新しい条件ルール
    • 誰かが「低い」行動を初めて行うことを探す新しい条件ルールを構築します。例えば、クラウドリソースの列挙を行うアカウントを探るしきい値ルールがある場合、このルールの上に新しい列挙者を探すための新しい条件ルールを構築することができます。
SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More ブログ Articles

SIEM対ログ管理:可観測性、テレメトリー、そして検出 13 分で読めます SIEM & EDR SIEM対ログ管理:可観測性、テレメトリー、そして検出 by Steven Edwards データプレーンへのルール展開 3 分で読めます SOCプライムプラットフォーム データプレーンへのルール展開 by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards