这篇博客文章概述了在 Elastic Security 中创建自定义检测规则以增强威胁检测的流程。它强调使用 Elasticsearch 查询语言 (ES|QL) 来精确过滤和分类安全事件。Elastic AI Assistant 被呈现为一个简化 ES|QL 查询创建的工具，特别是利用 CASE 函数对 API 调用进行分类。该指南详细介绍了如何细化最初广泛的搜索，例如 AWS CloudTrail 日志，以聚焦于与权限升级相关的特定操作。它解释了如何将 AI 生成的查询映射到实际的数据流字段，并添加诸如成功执行和特定用户身份等上下文条件。然后，文章转向规则创建，建议为不太关键的事件构建构建块警报，并为即时分类创建自定义查询检测。自动化响应操作被强调为一种减少平均响应时间（MTTR）的方法。一个关键步骤是根据历史数据预览规则结果，以验证警报数量和分析师体验。使用威胁模拟脚本进行端到端测试可确认规则的功能。最后，它触及了规则部署到生产环境、持续维护以及检测工程行为成熟度模型的重要性。