用户异常发现活动
编辑用户异常发现活动
编辑此规则利用来自各种发现构建模块规则的警报数据,以警报具有异常唯一 host.id 和 user.id 条目的信号。
规则类型: new_terms
规则索引:
- .alerts-security.*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引时间范围: now-9m ( 日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 发现
- 规则类型: 高阶规则
- 规则类型: BBR
版本: 2
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑host.os.type:windows and event.kind:signal and kibana.alert.rule.rule_id:( "d68e95ad-1c82-4074-a12a-125fe10ac8ba" or "7b8bfc26-81d2-435e-965c-d722ee397ef1" or "0635c542-1b96-4335-9b47-126582d2c19a" or "6ea55c81-e2ba-42f2-a134-bccf857ba922" or "e0881d20-54ac-457f-8733-fe0bc5d44c55" or "06568a02-af29-4f20-929c-f3af281e41aa" or "c4e9ed3e-55a2-4309-a012-bc3c78dad10a" or "51176ed2-2d90-49f2-9f3d-17196428b169" or "1d72d014-e2ab-4707-b056-9b96abe7b511" )
框架: MITRE ATT&CKTM
-
策略
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/