我的第一个规则
编辑我的第一个规则
编辑此规则可帮助您在设置 Elastic Security 时测试和练习使用告警。它不是威胁活动的迹象。
规则类型: 阈值
规则索引:
- auditbeat-*
- filebeat-*
- logs-*
- winlogbeat-*
严重性: 低
风险评分: 21
每隔: 24 小时
搜索索引自: now-30m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 1
参考:
标签:
- 用例:引导式入门
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑这是一个测试告警。
此告警不会显示威胁活动。Elastic 创建此告警是为了帮助您了解告警的工作原理。
对于普通规则,调查指南将帮助分析师调查告警。
此告警将在每台主机上每 24 小时显示一次。可以安全地禁用此规则。
规则查询
编辑event.kind:event