检测规则

检测规则是逻辑InsightIdr用于使用RAPID7的广泛威胁情报来检测威胁。当满足规则的条件时，会发生检测。规则分为两类：用户行为分析和攻击者行为分析．

InsightIdr检测规则页面允许您修改检测规则，创建自定义警报，订阅或参与Community Threats，并更深入地了解InsightIDR用于创建调查和跟踪重要事件的检测规则。

用户行为分析(UBA)

UBA检测将洞察应用到用户每天生成的数百万网络事件，以检测被泄露的凭证、横向移动和其他恶意行为。在“用户行为分析”页签下查看UBA检测规则。

攻击者行为分析

攻击者行为分析公开了攻击者在资产上获得持久性的有限方式，并向受害者发送和接收命令。每个ABA检测规则捕捞唯一的攻击者行为。您可以在攻击者行为分析选项卡中看到所有ABA检测规则和过去30天内的检测次数。您也可以查看规则逻辑、相关威胁组和主教法冠ATT&CK映射， 和排序，过滤和搜索检测规则。

规则逻辑

单击任何ABA检测规则并导航到规则逻辑选项卡以查看以我们的SQL样式搜索语言编写的规则逻辑，日志条目查询语言（LEQL）。规则逻辑查询暴露了检测规则搜索的内容，从而为您提高了InsightIdr如何生成检测的可见性。

威胁组

威胁组是已知的恶意检测，在特定攻击期间一起出现在一起。在“攻击者行为分析”选项卡上，您可以通过威胁查看与每个检测规则关联的威胁组，以及组检测规则。有关更多上下文，请单击每个威胁组。

主教法冠ATT&CK

MITRE ATT&CK框架是MITRE创建的一个知识库，用于记录基于真实世界观察的战术和技术。该框架为团队提供了一份蓝图，通过识别攻击链中的哪些威胁，可以将探测工作的重点放在哪里。有关MITRE ATT&CK框架的更多信息，请访问:https://attack.mitre.org/

每个Rapid7 ABA检测规则映射到MITRE ATT&CK策略和技术，可以在攻击者行为分析选项卡的表格中查看。单击某条检测规则中的，可查看对应的MITRE ATT&CK映射。

排序和过滤ABA检测规则

使用过滤器来缩小你的ABA检测规则:

• 日期修改
• 日期了
• 例外
• 数量的检测
• 规则诉讼
• 威胁
• 临床att＆ck覆盖范围

排序ABA检测规则使用表头中的向上和向下箭头。您可以使用切换键按威胁对规则进行分组，或查看未分组的规则。

搜索

您可以通过搜索栏查询具体的恶意动作和行为，包括“ABA检测规则”和“威胁”。

例如，如果您认为自己通过SSH易受攻击，那么可以使用InsightIDR搜索可能针对您的攻击者行为。