行为检测根据用户和主机活动识别潜在的内部和外部威胁。它使用以威胁为中心的方法,通过分析模式、异常和上下文丰富来标记可疑活动。
行为检测功能建立在 Elastic Security 的基础 SIEM 检测功能之上,利用机器学习算法实现主动威胁检测和威胁搜索。
用于行为检测用例的 Elastic 集成编辑
行为检测集成提供了一种便捷的方式来启用行为检测功能。它们简化了实现行为检测的组件的部署,例如数据摄取、转换、规则、机器学习作业和脚本。
以下是用于各种行为检测用例的集成列表
要了解有关这些集成启用的机器学习作业的更多信息,请参阅 预置作业页面。