Ce billet de blog décrit le processus de création de règles de détection personnalisées dans Elastic Security pour améliorer la détection des menaces. Il met l'accent sur l'utilisation du langage de requête Elasticsearch (ES|QL) pour un filtrage et une catégorisation précis des événements de sécurité. L'Assistant IA d'Elastic est présenté comme un outil pour rationaliser la création de requêtes ES|QL, en particulier avec la fonction CASE pour la catégorisation des appels d'API. Le guide détaille comment affiner les recherches initiales larges, comme les journaux AWS CloudTrail, pour se concentrer sur des actions spécifiques liées à l'escalade de privilèges. Il explique comment mapper les requêtes générées par l'IA aux champs de flux de données réels et ajouter des critères contextuels comme une exécution réussie et des identités d'utilisateurs spécifiques. Le billet aborde ensuite la création de règles, suggérant des alertes "building blocks" pour les événements moins critiques et des détections par requête personnalisée pour un triage immédiat. Les actions de réponse automatisées sont mises en avant comme une méthode pour réduire le temps moyen de réponse (MTTR). Une étape cruciale consiste à prévisualiser les résultats des règles sur des données historiques pour valider le volume des alertes et l'expérience des analystes. Les tests de bout en bout à l'aide de scripts d'émulation de menaces confirment la fonctionnalité des règles. Enfin, il aborde le déploiement des règles en production, la maintenance continue et l'importance du "Detection Engineering Behavior Maturity Model".