Este artículo del blog describe el proceso de crear reglas de detección personalizadas en Elastic Security para una detección de amenazas mejorada. Destaca el uso del Lenguaje de Consulta de Elasticsearch (ES|QL) para filtrar y categorizar eventos de seguridad de manera precisa. Se presenta al Asistente de IA de Elastic como una herramienta para simplificar la creación de consultas ES|QL, especialmente con la función CASE para categorizar llamadas API. La guía detalla cómo refinar búsquedas iniciales amplias, como registros de AWS CloudTrail, para centrarse en acciones específicas relacionadas con la escalada de privilegios. Explica cómo asignar consultas generadas por IA a campos de flujo de datos reales y agregar criterios contextuales como la ejecución exitosa y identidades de usuario específicas. Luego, el artículo pasa a la creación de reglas, sugiriendo alertas de bloques de construcción para eventos menos críticos y detecciones de consultas personalizadas para triaje inmediato. Se destaca la importancia de las acciones de respuesta automatizadas para reducir el Tiempo Medio de Respuesta (MTTR). Un paso crucial implica previsualizar los resultados de las reglas en datos históricos para validar el volumen de alertas y la experiencia del analista. La prueba de extremo a extremo utilizando scripts de emulación de amenazas confirma la funcionalidad de las reglas. Finalmente, toca sobre la implementación de reglas en producción, el mantenimiento continuo y la importancia del Modelo de Madurez de Comportamiento de Ingeniería de Detección.