GitHub UEBA - 来自 GitHub 帐户的多个警报
编辑GitHub UEBA - 来自 GitHub 帐户的多个警报
编辑此规则是“GitHub UEBA - 来自帐户的异常活动包”的一部分,并利用警报数据来确定何时同一用户在一小时内执行了多个警报。 分析师可以使用它来优先处理分类和响应,因为这些警报是用户帐户或 PAT 遭到入侵的更高指标。
规则类型:阈值
规则索引:
- .alerts-security.*
严重性:中
风险评分: 47
运行频率:5 分钟
搜索索引的时间范围:now-60m (日期数学格式,另请参见 额外的回溯时间)
每次执行的最大警报数: 100
参考:无
标签:
- 域:云
- 用例:威胁检测
- 用例:UEBA
- 战术:执行
- 规则类型:高阶规则
- 数据源:Github
版本: 101
规则作者:
- Elastic
规则许可:Elastic License v2
规则查询
编辑signal.rule.tags:("Use Case: UEBA" and "Data Source: Github") and kibana.alert.workflow_status:"open"
框架:MITRE ATT&CKTM
-
战术
- 名称:执行
- ID:TA0002
- 参考 URL:https://attack.mitre.org/tactics/TA0002/