同一主机上不同ATT&CK战术的多条告警
编辑同一主机上不同ATT&CK战术的多条告警
编辑此规则使用告警数据来确定何时触发涉及同一主机的攻击的不同阶段中的多条告警。分析师可以使用此功能来优先处理分类和响应,因为这些主机更有可能受到入侵。
规则类型: 阈值
规则索引:
- .alerts-security.*
严重性: 高
风险评分: 73
每隔: 1小时
搜索索引自: now-24h (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 用例:威胁检测
- 规则类型:高阶规则
版本: 4
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑signal.rule.name:* and kibana.alert.rule.threat.tactic.id:*