Implements UEBA with Elasticsearch/OpenSearch to build user behavior baselines, compute anomaly scores via z-score and peer groups, and detect insider threats like data exfiltration and privilege abuse.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
用户和实体行为分析(UEBA)超越了基于静态规则的检测,转而为用户、主机和应用程序建立正常行为模型,然后标记可能表示内部威胁的统计显著偏差。使用 Elasticsearch 作为分析后端,本技能涵盖从认证日志、文件访问事件和网络活动构建行为基线,使用统计偏差和对等组比较计算风险分数,以及将多个低置信度指标关联为高置信度内部威胁告警。
Implements UEBA using Elasticsearch/OpenSearch to build behavioral baselines, compute anomaly scores, peer group analysis, and detect insider threats like data exfiltration and privilege abuse.
Implements UEBA with Elasticsearch/OpenSearch to build behavioral baselines, compute anomaly scores via z-score and peer analysis, and detect insider threats like data exfiltration.
Performs UEBA on SIEM logs with Splunk queries to detect anomalous user activities like impossible travel, abnormal login times, access patterns, and privilege abuse. For SOC teams identifying compromised accounts or insider threats.
Share bugs, ideas, or general feedback.
用户和实体行为分析(UEBA)超越了基于静态规则的检测,转而为用户、主机和应用程序建立正常行为模型,然后标记可能表示内部威胁的统计显著偏差。使用 Elasticsearch 作为分析后端,本技能涵盖从认证日志、文件访问事件和网络活动构建行为基线,使用统计偏差和对等组比较计算风险分数,以及将多个低置信度指标关联为高置信度内部威胁告警。
配置日志管道,将认证、文件访问、邮件和网络日志摄入 Elasticsearch,使用统一的用户身份字段。
使用 Elasticsearch 聚合,在滚动 30 天窗口内计算每用户的登录时间、数据量、应用程序使用情况和访问模式基线。
使用 z-score 偏差和对等组比较将当前活动与基线进行比对,生成每用户风险分数。
将多个异常指标(异常时段 + 大量下载 + 访问新系统)合并为触发 SOC 调查工作流的综合风险分数。
JSON 报告,包含每用户风险分数、异常活动详情、对等组偏差和推荐的调查操作。