Elastic Security 简化了预置 SIEM 检测规则的定制。

Elastic Security 简化了预构建检测规则的自定义和更新，从而优化了检测工程的工作流程，并实现了更广泛的用例覆盖。Elastic Security Labs 提供了超过 1300 条由专家编写的检测规则，这些规则映射到 MITRE ATT&CK 框架中的战术、技术和程序。这些规则会积极维护并每两周更新一次，以帮助您掌握不断演变的威胁。安全团队可以定制这些预构建的检测规则，以满足特定需求。通过最新的版本，检测工程师可以在不丢失自定义修改的情况下应用 Elastic 提供的规则更新。新功能允许单独或批量编辑预构建规则，并能够将传入的更改与当前版本的规则进行比较。规则更新减少了误报并提高了警报的准确性，而改进的规则更新体验使检测工程师能够首先专注于更新优先级规则。这些新的改进大大减少并简化了检测的维护工作，使安全团队能够从针对其环境和用例优化的预构建规则中获益。此功能通常在 Elastic Security 8.18 和 9.0 版本中通过 Elastic Security Enterprise 订阅层（适用于自管理和云部署）以及 Elastic Cloud Serverless 上的 Security Analytics Complete 层提供。每两周发布的规则版本提供新的和更新的规则以及时间表，直接在 Elastic Security 中提供。仅在 2024 年，规则库就发布了超过 2420 次更新。