GitHub UEBA - GitHub账户多条告警
编辑GitHub UEBA - GitHub账户多条告警
编辑此规则是“GitHub UEBA - 账户异常活动包”的一部分,它利用告警数据来确定同一用户在一小时内执行多条告警的时间。分析人员可以使用此功能来优先处理分类和响应,因为这些告警更能指示用户帐户或 PAT 已被入侵。
规则类型:阈值
规则索引:
- .alerts-security.*
严重性:中等
风险评分: 47
每隔:5 分钟
搜索索引自:now-60m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:无
标签:
- 领域:云
- 用例:威胁检测
- 用例:UEBA
- 策略:执行
- 规则类型:高阶规则
- 数据源:GitHub
版本: 1
规则作者:
- Elastic
规则许可证:Elastic License v2
规则查询
编辑signal.rule.tags:("Use Case: UEBA" and "Data Source: Github") and kibana.alert.workflow_status:"open"
框架:MITRE ATT&CKTM
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/