В этой записи блога описывается процесс создания пользовательских правил обнаружения в Elastic Security для улучшенного обнаружения угроз. Особое внимание уделяется использованию языка запросов Elasticsearch (ES|QL) для точной фильтрации и категоризации событий безопасности. Elastic AI Assistant представлен как инструмент для оптимизации ES|Создание QL запросов, в частности с помощью функции CASE для категоризации вызовов API. В руководстве подробно описано, как уточнить первоначальные широкие поисковые запросы, такие как журналы AWS CloudTrail, чтобы сосредоточиться на конкретных действиях, связанных с повышением привилегий. В нем объясняется сопоставление запросов, созданных искусственным интеллектом, с фактическими полями потока данных и добавление контекстных критериев, таких как успешное выполнение и конкретные удостоверения пользователей. Затем запись переходит к созданию правил, предлагая оповещения стандартных блоков для менее важных событий и пользовательские обнаружения запросов для немедленной сортировки. Действия автоматического ответа выделены как метод сокращения среднего времени ответа (MTTR). Важным шагом является предварительный просмотр результатов правил на основе исторических данных для проверки объема оповещений и опыта аналитиков. Сквозное тестирование с использованием скриптов эмуляции угроз подтверждает работоспособность правил. Наконец, в ней затрагивается вопрос о развертывании правил в рабочей среде, текущем обслуживании и важности модели зрелости поведения инженера-детектора.