附录 C:Auditbeat 异常检测配置

编辑

附录 C:Auditbeat 异常检测配置

编辑

如果您使用 Auditbeat 来审计系统上的进程活动,这些异常检测作业向导会出现在 Kibana 中。有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。

Auditbeat Docker 进程

编辑

从 auditd 数据 (ECS) 检测 Docker 容器中不寻常的进程。

只有当存在与 清单文件中指定的识别器查询匹配的数据时,这些配置才可用。

名称 描述 作业 数据馈送

docker_high_count_process_events_ecs

检测 Docker 容器 (ECS) 中进程执行速率的不寻常增加

A link icon

A link icon

docker_rare_process_activity_ecs

检测 Docker 容器 (ECS) 中罕见的进程执行

A link icon

A link icon