涉及用户的多重告警
编辑涉及用户的多重告警
编辑此规则使用告警数据来确定何时触发了涉及同一用户的多个不同告警。分析师可以使用它来优先处理分类和响应,因为这些用户更有可能被入侵。
规则类型: 阈值
规则索引:
- .alerts-security.*
严重性: 高
风险评分: 73
运行频率: 1 小时
搜索索引的时间范围: now-24h (日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 使用场景:威胁检测
- 规则类型:高阶规则
版本: 3
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑signal.rule.name:* and user.name:* and not user.id:("S-1-5-18" or "S-1-5-19" or "S-1-5-20")