行为检测用例
Elastic Stack 无服务器安全
行为检测通过分析模式、异常和上下文丰富,来识别基于用户和主机活动的潜在内部和外部威胁。它使用以威胁为中心的策略来标记可疑活动。
行为检测功能建立在 Elastic Security 的基础 SIEM 检测功能之上,利用机器学习算法来实现主动的威胁检测和 hunting。
行为检测集成提供了一种方便的方式来启用行为检测功能。 它们简化了实现行为检测的组件的部署,例如数据摄取、转换、规则、机器学习任务和脚本。
要求
- 在 Elastic Stack 中,行为检测集成需要白金订阅或更高版本。
- 在无服务器环境中,行为检测集成需要 Security Analytics Complete 项目功能。
- 要了解有关使用机器学习任务的要求的更多信息,请参阅机器学习任务和规则要求。
以下是各种行为检测用例的集成列表
要了解有关这些集成启用的机器学习任务的更多信息,请参阅安全异常检测配置。