Elastic Security
Règles et investigation
Ingestion ECS, requêtes KQL/ES|QL, règles de détection et investigations dans Kibana.
Types de règles
- requête personnalisée KQL ;
- ES|QL ;
- EQL pour les séquences ;
- seuil ;
- indicateurs de compromission ;
- machine learning selon la licence et le contexte.
Exemple EQL : Office → script
process where host.os.type == "windows" and event.type == "start" and
process.parent.name in ("winword.exe", "excel.exe", "powerpnt.exe") and
process.name in ("powershell.exe", "cmd.exe", "wscript.exe", "cscript.exe")
Investigation dans Timeline
Ajoute :
- hôte et utilisateur ;
- processus parent/enfant ;
- connexions réseau ;
- modifications de fichiers ;
- événements d'authentification ;
- alertes connexes.
Règle de qualité
Une détection devrait documenter :
| Élément | Contenu |
|---|---|
| Intention | comportement recherché |
| Données | indices et champs requis |
| Logique | requête et seuil |
| ATT&CK | tactique/technique justifiée |
| Faux positifs | cas connus |
| Triage | pivots et décisions |
| Réponse | confinement recommandé |
Gestion des exceptions
Évite les exceptions globales. Utilise des conditions précises : hôte, signature, chemin, utilisateur de service, durée d'expiration et justification.
Conseil opérationnel
Une bonne règle contient son propre mini-playbook de triage. L'analyste doit savoir quoi vérifier sans rechercher la logique ailleurs.