行为检测基于用户和主机的活动识别潜在的内部和外部威胁。它使用以威胁为中心的方法,通过分析模式、异常和上下文增强来标记可疑活动。
行为检测功能建立在 Elastic Security 的基础 SIEM 检测能力之上,利用机器学习算法来实现主动威胁检测和狩猎。
行为检测集成提供了一种便捷的方式来启用行为检测功能。它们简化了实现行为检测的组件的部署,例如数据摄取、转换、规则、机器学习作业和脚本。
以下是用于各种行为检测用例的集成列表
要了解有关这些集成启用的机器学习作业的更多信息,请参阅预构建作业页面。