类别
启用
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
TOR 出口节点监控概述
Learn how to monitor your enterprise for TOR exit node activity.
补丁时间指标:使用 Qualys 和 Elastic 的生存分析方法
在本文中,我们将介绍如何使用弹性堆栈对来自 Qualys VMDR 的漏洞管理 (VM) 数据进行生存分析。
MCP 工具:自主代理的攻击向量和防御建议
本研究探讨了模型上下文协议(MCP)工具如何扩大自主代理的攻击面,详细介绍了工具中毒、协调注入和毯拉重新定义等利用载体以及实用的防御策略。
现已推出:Elastic 的检测工程现状 2025
Elastic 的检测工程现状 2025 探讨了我们如何创建、维护和评估我们的 SIEM 和 EDR 规则集。
Linux 检测工程 - Linux 持久性的压轴戏
在本系列结束时,您将对常见和罕见的 Linux 持久化技术有深入的了解,并了解如何有效地设计检测机制,以应对常见和高级对手的能力。
模拟 AWS S3 SSE-C 勒索软件进行威胁检测
在本文中,我们将探讨威胁行为者如何利用 Amazon S3 的服务器端加密和客户提供的密钥 (SSE-C) 进行勒索/敲诈操作。
WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。
Streamlining Security: Integrating Amazon Bedrock with Elastic
本文将指导您设置 Amazon Bedrock 集成并启用 Elastic 的预建检测规则,以简化您的安全操作。
使用 Elastic 提升威胁猎杀能力
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
即将来临的风暴:深入探讨 AJCloud 物联网生态系统
Wi-Fi 摄像头因其经济实惠和方便快捷而广受欢迎,但往往存在可被利用的安全漏洞。
内核 ETW 是最好的 ETW
这项研究重点关注本机审计日志在安全设计软件中的重要性,强调内核级 ETW 日志比用户模式钩子更有必要,以增强防篡改保护。
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Linux 检测工程 - 持久性机制的续篇
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
保护你的设备免遭信息盗窃
在本文中,我们将介绍今年在 Elastic Defend(从 8.12 版本开始)中添加的键盘记录器和键盘记录检测功能,它负责 Elastic Security 中的端点保护。
使用 Auditd 进行 Linux 检测工程
本文将详细介绍如何使用 Auditd 和 Auditd Manager 进行检测工程。
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
揭示恶意软件行为趋势
对从超过 100,000 个样本中提取的多样化 Windows 恶意软件数据集进行分析,揭示最流行的策略、技术和程序。
使用 Elastic Security 监控 Okta 威胁
本文指导读者建立 Okta 威胁检测实验室,强调保护 Okta 等 SaaS 平台的重要性。 它详细介绍了如何使用 Elastic Stack 创建实验室环境、集成 SIEM 解决方案和 Okta。
STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
了解 Okta 的入门指南
本文深入探讨了 Okta 的架构和服务,为威胁研究和检测工程奠定了坚实的基础。 对于那些想要掌握 Okta 环境中的威胁搜寻和检测的人来说,这是必读内容。
Google Cloud 用于网络数据分析
本文介绍如何使用 Google Cloud 进行全面的网络威胁数据分析,从数据提取和预处理到趋势分析和呈现。 它强调了 BigQuery、Python 和 Google Sheets 的价值——展示了如何提炼和可视化数据以进行有洞察力的网络安全分析。
内部信号:eBPF 如何与信号交互
本文探讨了由 eBPF 程序生成的 UNIX 信号的一些语义。
简化 ES|QL 查询和规则验证:与 GitHub CI 集成
ES|QL 是 Elastic 的新管道查询语言。 充分利用这一新功能,Elastic Security Labs 演示了如何为检测引擎运行 ES|QL 规则的验证。
使用 LLM 和 ESRE 查找相似的用户会话
在上一篇文章中,我们探讨了如何使用 GPT-4 大型语言模型 (LLM) 来压缩 Linux 用户会话。在同一个实验中,我们花了一些时间来检查具有相似之处的会话。这些类似的会话随后可以帮助分析人员识别相关的可疑活动。
微软消灭 PPLFault 的计划
在本次研究出版物中,我们将了解 Windows 代码完整性子系统即将进行的改进,这将使恶意软件更难篡改反恶意软件进程和其他重要的安全功能。
揭开调用堆栈的面纱
在本文中,我们将向您展示如何将规则和事件情境化,以及如何利用调用堆栈来更好地理解您在环境中遇到的任何警报。
使用 LLM 总结用户会话
在本出版物中,我们将讨论使用 GPT-4 总结用户会话的实验中得到的经验教训和关键要点。
忘记易受攻击的驱动程序 - 您只需要管理员
自带漏洞驱动程序(BYOVD)是一种日益流行的攻击技术,威胁者将已知漏洞的签名驱动程序与恶意软件一起加载到内核中,然后利用它在内核中执行一些原本无法执行的操作。十多年来,高级威胁行为者一直在使用 BYOVD,它在勒索软件和商品恶意软件中越来越常见。
加大赌注:使用内核调用堆栈检测内存威胁
我们的目标是在创新上超越对手,并保持对攻击者尖端技术的防御。 在 Elastic Security 8.8 中,我们添加了新的基于内核调用堆栈的检测,这为我们提供了更高的针对内存威胁的有效性。
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
ICEDID 简介
众所周知,ICEDID 使用自定义文件格式和自定义加密方案来打包其有效负载。我们正在发布一套工具,以实现解包过程的自动化,并帮助分析师和社区应对 ICEDID。
利用 ChatGPT 探索安全性的未来
最近,OpenAI 发布了供工程师集成 ChatGPT 和 Whisper 模型到他们的应用程序和产品中的 API。 一段时间以来,工程师可以使用 REST API 调用旧模型,或者通过他们的网站使用 ChatGPT 界面。
Elastic 全球威胁报告多部分系列概述
每个月,Elastic 安全实验室团队都会从 Elastic 全球威胁报告中分析不同的趋势或相关性。 这篇文章概述了这些单独的出版物。
寻找可疑的 Windows 库以执行和逃避防御
了解更多有关通过搜索 DLL 加载事件来发现威胁的信息,这是一种在嘈杂的进程事件数据中揭示已知和未知恶意软件的存在的一种方法。
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
使用 Elastic 识别信标式恶意软件
在本博客中,我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
漏洞摘要:Follina,CVE-2022-30190
Elastic 正在部署新的恶意软件签名来识别 Follina 漏洞的使用。 在本文中了解更多信息。
Elastic 的 2022 全球威胁报告:应对当今日益增长的威胁形势的路线图
2022 Elastic 全球威胁报告等威胁情报资源对于帮助团队评估其组织可见性、能力以及识别和预防网络安全威胁的专业知识至关重要。
预测和建议: 2022 Elastic 全球威胁报告
随着 Elastic 发布第一份《全球威胁报告》,客户、合作伙伴以及整个安全社区能够确定我们团队在过去 12 个月中关注的许多领域。
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
充分利用 Elastic 中的 Transformers
在这篇博客中,我们将简要讨论如何微调用于掩蔽语言建模 (MLM) 任务的转换器模型,以使其适合分类任务。
对手间谍技术 101:使用 Elastic Security 寻找持久性(第 2 部分)
了解如何使用 Elastic Endpoint Security 和 Elastic SIEM 大规模搜寻和检测恶意持久性技术。
记忆狩猎
威胁猎人肩负着一项艰巨的任务,即筛选大量不同的数据源,以查明攻击过程中任何阶段的敌对活动。
Nimbuspwn:利用漏洞通过权限提升攻击 Linux
Microsoft 365 Defender 团队发布了一篇文章,详细介绍了几个已发现的漏洞。 这些漏洞允许敌对团体提升 Linux 系统上的权限,从而部署有效载荷、勒索软件或其他攻击。
使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力
Dorothy 是一款工具,安全团队可用它来测试他们在 Okta 环境中的可见性和检测能力。 IAM 解决方案经常成为敌手的攻击目标,尽管如此,它们在监测方面却十分欠缺。 请阅读本博文,了解如何开始使用 Dorothy。
拥抱攻击工具:使用 EQL 构建针对 Koadic 的检测
找到使用事件查询语言 (EQL) 针对 Koadic 等后利用框架构建行为检测的新方法。
对手间谍技术 101:使用 Elastic Security 寻找持久性(第 1 部分)
了解如何使用 Elastic Endpoint Security 和 Elastic SIEM 大规模搜寻和检测恶意持久性技术。
实用安全工程:状态检测
通过在规则和工程流程中形式化状态检测,您可以增加对未来和过去匹配的检测覆盖率。 在这篇博文中,了解为什么状态检测是一个重要的概念。
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.