Utilizando Regras de Bloco de Construção no Elastic

[post-views]
Novembro 27, 2024 · 1 min de leitura
Utilizando Regras de Bloco de Construção no Elastic

Dentro das “Opções Avançadas” da seção “Sobre a Regra” do Elastic, esconde-se um recurso útil que recebe pouca atenção.

Esse recurso faz com que a regra gere alertas que estão ‘ocultos’ da visualização de alertas.

Isso pode ser poderoso. Aqui estão algumas ideias para você começar!

  1. Regras de Limite
    • Crie algumas regras que busquem comportamentos distintos que, por si só, são típicos, mas quando 5 ou mais deles ocorrem dentro de um período, é interessante.
  2. Novas Regras de Termos
    • Construa uma nova regra de termos para procurar a primeira vez que alguém faz um comportamento ‘baixo’. Por exemplo, se você tem uma regra de limite que procura uma conta realizando a enumeração de recursos em nuvem, você pode construir uma nova regra de termos com base nisso para procurar novos enumeradores.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Implantação de Regras em um Plano de Dados
Blog, Plataforma SOC Prime — 2 min de leitura
Implantação de Regras em um Plano de Dados
Steven Edwards