Utilizando Regras de Bloco de Construção no Elastic

Blog

Novembro 27, 2024

1 min de leitura

Utilizando Regras de Bloco de Construção no Elastic

Adam Swan
Adam Swan Engenheiro Sênior de Caça a Ameaças na SOC Prime linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Dentro das “Opções Avançadas” da seção “Sobre a Regra” do Elastic, esconde-se um recurso útil que recebe pouca atenção.

Esse recurso faz com que a regra gere alertas que estão ‘ocultos’ da visualização de alertas.

Isso pode ser poderoso. Aqui estão algumas ideias para você começar!

  1. Regras de Limite
    • Crie algumas regras que busquem comportamentos distintos que, por si só, são típicos, mas quando 5 ou mais deles ocorrem dentro de um período, é interessante.
  2. Novas Regras de Termos
    • Construa uma nova regra de termos para procurar a primeira vez que alguém faz um comportamento ‘baixo’. Por exemplo, se você tem uma regra de limite que procura uma conta realizando a enumeração de recursos em nuvem, você pode construir uma nova regra de termos com base nisso para procurar novos enumeradores.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Blog Articles

SIEM vs Gerenciamento de Logs: Observabilidade, Telemetria e Detecção 10 min de leitura SIEM & EDR SIEM vs Gerenciamento de Logs: Observabilidade, Telemetria e Detecção by Steven Edwards Implantação de Regras em um Plano de Dados 2 min de leitura Plataforma SOC Prime Implantação de Regras em um Plano de Dados by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards