30. ✖ オーバーフィット ✔ FP / TP の程よいバランス
process.name:sc.exe and
process.args:(create or config)
and process.parent.name:cmd.exe
process.name:sc.exe and
process.args:(create or config)
and (process.args:* or
not user.name:SYSTEM)
https://github.com/elastic/detection-rules/issues/47
偽陽性を避けつつ陽性を正しく検知
github.com/elastic/detection-rules/.../PHILOSOPHY.md
31. ✔ Good FP and TP
balance
process.name:sc.exe and
process.args:(create or config)
and (process.args:* or
not user.name:SYSTEM)
攻撃者の意図をコマンドラ
イン引数で推測
ラテラルムーブメント
権限エスカレート
偽陽性を避けつつ陽性を正しく検知
github.com/elastic/detection-rules/.../PHILOSOPHY.md