附录 C:Auditbeat 异常检测配置
编辑附录 C:Auditbeat 异常检测配置
编辑如果您使用 Auditbeat 审核系统上的进程活动,则这些异常检测作业向导将显示在 Kibana 中。有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。
Auditbeat Docker 进程
编辑检测来自 auditd 数据(ECS)的 Docker 容器中的异常进程。
仅当存在与 清单文件 中指定的识别器查询匹配的数据时,这些配置才可用。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
docker_high_count_process_events_ecs |
检测 Docker 容器(ECS)中进程执行率的异常增加 |
|
|
docker_rare_process_activity_ecs |
检测 Docker 容器(ECS)中罕见的进程执行 |
|
|
