涉及用户的多个警报

此规则使用警报数据来确定何时触发涉及同一用户的多个不同警报。分析师可以使用此规则来优先考虑分类和响应，因为这些用户更有可能受到损害。

规则类型：阈值

规则索引:

严重性：高

风险评分: 73

每隔：1 小时运行一次

从以下时间开始搜索索引：now-24h（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

版本: 3

规则作者:

规则许可：Elastic License v2

signal.rule.name:* and user.name:* and not user.id:("S-1-5-18" or "S-1-5-19" or "S-1-5-20")