Detection Engineering

攻克SHELLTER：一个在野外被滥用的商业规避框架

Elastic 安全实验室检测到最近出现的信息窃取者使用非法获取的商业逃避框架 SHELLTER 版本来部署后利用有效载荷。

Microsoft Entra ID OAuth 网络钓鱼和检测

本文探讨了 Microsoft Entra ID 中的 OAuth 网络钓鱼和基于令牌的滥用。通过模拟和分析登录活动期间的令牌、范围和设备行为，我们发现了高保真信号，防御者可以使用它来检测和搜寻 OAuth 滥用。

行为不当模式：检测工具，而非技术

我们探索执行模式的概念以及以模式为中心的检测如何补充以行为为中心的检测。

Bit ByBit——模拟朝鲜最大的加密货币抢劫案

通过受感染的 macOS 开发人员和 AWS 枢纽对朝鲜最大的加密货币抢劫案进行高保真模拟。

现已推出：Elastic 的检测工程现状 2025

Elastic 的检测工程现状 2025 探讨了我们如何创建、维护和评估我们的 SIEM 和 EDR 规则集。

AWS SNS 滥用：数据泄露和网络钓鱼

在最近的一次内部合作中，我们深入研究了众所周知的 SNS 滥用行为以及我们对数据源的了解，以开发检测能力。

使用未公开的内核数据结构检测基于热键的键盘记录器

在本文中，我们将探讨什么是基于热键的键盘记录器以及如何检测它们。具体来说，我们将解释这些键盘记录程序如何拦截按键，然后介绍一种利用内核空间中未公开的热键表的检测技术。

Linux 检测工程 - Linux 持久性的压轴戏

在本系列结束时，您将对常见和罕见的 Linux 持久化技术有深入的了解，并了解如何有效地设计检测机制，以应对常见和高级对手的能力。

模拟 AWS S3 SSE-C 勒索软件进行威胁检测

在本文中，我们将探讨威胁行为者如何利用 Amazon S3 的服务器端加密和客户提供的密钥 (SSE-C) 进行勒索/敲诈操作。

Linux 检测工程 - 走近持久化机制峰会

Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

宣布 Elastic 行为规则保护赏金计划

Elastic 正在扩展其安全漏洞赏金计划，邀请研究人员测试其 SIEM 和 EDR 规则的规避和绕过技术，首先从 Windows 终端开始。该倡议加强了与安全社区的合作，确保 Elastic 的防御能力能够抵御不断演变的威胁。

Linux 检测工程 - 持久化机制的延续

This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.

Detonating Beacons to Illuminate Detection Gaps

Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.

Exploring AWS STS AssumeRoot

探索 AWS STS AssumeRoot、其风险、检测策略和实际场景，使用 Elastic 的 SIEM 和 CloudTrail 数据来防止权限提升和账户泄露。

Streamlining Security: Integrating Amazon Bedrock with Elastic

本文将指导您设置 Amazon Bedrock 集成并启用 Elastic 的预建检测规则，以简化您的安全操作。

使用 Elastic 提升威胁猎杀能力

Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.

杯子溢出：当您的打印机溢出的不仅仅是墨水

Elastic Security Labs 讨论了 CUPS 打印系统漏洞的检测和缓解策略，这些漏洞允许未经认证的攻击者通过 IPP 和 mDNS 利用系统，从而在基于 UNIX 的系统（如 Linux、macOS、BSD、ChromeOS 和 Solaris）上远程执行代码 (RCE)。

Elastic releases the Detection Engineering Behavior Maturity Model

Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..

Linux 检测工程 - 持久性机制的续篇

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

保护你的设备免遭信息盗窃

在本文中，我们将介绍今年在 Elastic Defend（从 8.12 版本开始）中添加的键盘记录器和键盘记录检测功能，它负责 Elastic Security 中的端点保护。

Elastic 通过标准化字段和集成推进 LLM 安全性

了解 Elastic 在 LLM 安全方面的最新进展，重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。

在 LLM 工作流中嵌入安全性：Elastic 的主动方法

深入了解 Elastic 在大型语言模型 (LLM) 中直接嵌入安全性的探索。了解我们在 LLM 应用程序中检测和缓解几个顶级 OWASP 漏洞的策略，确保 AI 驱动型的应用程序更加安全可靠。

使用 Auditd 进行 Linux 检测工程

本文将详细介绍如何使用 Auditd 和 Auditd Manager 进行检测工程。

In-the-Wild Windows LPE 0-days: Insights & Detection Strategies

This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.

Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities

Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.

揭示恶意软件行为趋势

对从超过 100,000 个样本中提取的多样化 Windows 恶意软件数据集进行分析，揭示最流行的策略、技术和程序。

使用 Elastic Security 监控 Okta 威胁

本文指导读者建立 Okta 威胁检测实验室，强调保护 Okta 等 SaaS 平台的重要性。 它详细介绍了如何使用 Elastic Stack 创建实验室环境、集成 SIEM 解决方案和 Okta。

蜜罐中的勒索软件：如何使用粘性金丝雀文件捕获密钥

本文介绍了使用 Elastic Defend 勒索软件防护从勒索软件中捕获加密密钥的过程。

了解 Okta 的入门指南

本文深入探讨了 Okta 的架构和服务，为威胁研究和检测工程奠定了坚实的基础。 对于那些想要掌握 Okta 环境中的威胁搜寻和检测的人来说，这是必读内容。

加倍努力：使用内核 ETW 调用堆栈检测内存威胁

在 Elastic Security 8.11 中，我们添加了进一步的基于内核遥测调用堆栈的检测，以提高抵御内存威胁的有效性。

Google Cloud 用于网络数据分析

本文介绍如何使用 Google Cloud 进行全面的网络威胁数据分析，从数据提取和预处理到趋势分析和呈现。 它强调了 BigQuery、Python 和 Google Sheets 的价值——展示了如何提炼和可视化数据以进行有洞察力的网络安全分析。

内部信号：eBPF 如何与信号交互

本文探讨了由 eBPF 程序生成的 UNIX 信号的一些语义。

简化 ES|QL 查询和规则验证：与 GitHub CI 集成

ES|QL 是 Elastic 的新管道查询语言。 充分利用这一新功能，Elastic Security Labs 演示了如何为检测引擎运行 ES|QL 规则的验证。

利用 LLM 加速 Elastic 检测谍报技术

详细了解 Elastic Security Labs 如何通过利用更多生成式 AI 功能来加速我们的检测工程工作流。

使用 LLM 和 ESRE 查找相似的用户会话

在上一篇文章中，我们探讨了如何使用 GPT-4 大型语言模型 (LLM) 来压缩 Linux 用户会话。在同一个实验中，我们花了一些时间来检查具有相似之处的会话。这些类似的会话随后可以帮助分析人员识别相关的可疑活动。

揭开调用堆栈的面纱

在本文中，我们将向您展示如何将规则和事件情境化，以及如何利用调用堆栈来更好地理解您在环境中遇到的任何警报。

使用 LLM 总结用户会话

在本出版物中，我们将讨论使用 GPT-4 总结用户会话的实验中得到的经验教训和关键要点。

深入细节：我们如何运行 Detonate

探索 Detonate 系统的技术实现，包括沙箱创建、支持技术、遥测收集以及如何引爆物品。

加大赌注：使用内核调用堆栈检测内存威胁

我们的目标是在创新上超越对手，并保持对攻击者尖端技术的防御。 在 Elastic Security 8.8 中，我们添加了新的基于内核调用堆栈的检测，这为我们提供了更高的针对内存威胁的有效性。

使用新的 Kibana 集成检测域生成算法 (DGA) 活动

我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下，您就可以安装并开始使用 DGA 模型和相关资产，包括摄取管道配置、异常检测作业和检测规则。

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

咔嚓，咔嚓...砰！使用 Detonate 自动化保护测试

为了使这一过程自动化并大规模测试我们的保护措施，我们建立了 Detonate 系统，该系统供安全研究工程师使用，以自动化方式衡量我们的 Elastic 安全解决方案的功效。

寻找可疑的 Windows 库以执行和逃避防御

了解更多有关通过搜索 DLL 加载事件来发现威胁的信息，这是一种在嘈杂的进程事件数据中揭示已知和未知恶意软件的存在的一种方法。

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

利用新的弹性集成检测 "离地生活 "攻击

我们在 Kibana 的 "集成 "应用程序中添加了 "离地生活"（LotL）检测包。只需单击一下，您就可以安装并开始使用 ProblemChild 模型和相关资产，包括异常检测配置和检测规则。

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

使用 Elastic 识别信标式恶意软件

在本博客中，我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.

Google Workspace Attack Surface

During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.

Google Workspace Attack Surface

During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.

Get-InjectedThreadEx – 检测线程创建跳床

在本博客中，我们将演示如何检测四类进程 trampolining，并发布更新的 PowerShell 检测脚本 – Get-InjectedThreadEx

Log4Shell 漏洞及 CVE-2021-45046 分析

在这篇文章中，我们介绍了 Elastic Security 团队为用户继续保护自己免受 CVE-2021-44228 或 Log4Shell 的攻击而采取的后续措施。

Security operations: Cloud monitoring and detection with Elastic Security

As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.

虎杖评估摘要

KNOTWEED 通过使用 Adobe Reader 和 Windows 操作系统的 0 日漏洞来部署 Subzero 间谍软件。 一旦获得初始访问权限，它就会使用 Subzero 的不同部分来维持持久性并在主机上执行操作。

使用 Elastic 安全检测对 CVE-2021-44228 (log4j2) 的利用

本博文对 CVE-2021-44228 进行了简要介绍，并为 Elastic 安全用户提供了检测方法，以发现他们环境中对该漏洞的主动利用。 在我们了解到更多信息后，我们会在本博文中提供进一步的更新。

SIGRed 漏洞检测规则

SIGRed 漏洞影响所有利用 Windows DNS 服务器服务（Windows 2003+）的系统。 为了保护您的环境，我们建议使用 Elastic Security 等技术实现本博文中包含的检测逻辑。

Elastic 对 Spring4Shell 漏洞 (CVE-2022-22965) 的响应

提供有关 CVE-2022-22965 的高管级详细信息，CVE-2022-22965 是最近披露的远程代码执行 (RCE) 漏洞，也称为“Spring4Shell”。

Handy Elastic Tools for the Enthusiastic Detection Engineer

Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.

使用 Elastic 检测并应对脏管道

Elastic Security 正在发布针对 Dirty Pipe 漏洞的检测逻辑。

对手间谍技术 101：使用 Elastic Security 寻找持久性（第 2 部分）

了解如何使用 Elastic Endpoint Security 和 Elastic SIEM 大规模搜寻和检测恶意持久性技术。

寻找内存中的 .NET 攻击

作为我在 DerbyCon 演讲的后续，这篇文章将探讨一种新兴趋势，即攻击者使用基于 .NET 的内存技术来逃避检测

记忆狩猎

威胁猎人肩负着一项艰巨的任务，即筛选大量不同的数据源，以查明攻击过程中任何阶段的敌对活动。

Nimbuspwn：利用漏洞通过权限提升攻击 Linux

Microsoft 365 Defender 团队发布了一篇文章，详细介绍了几个已发现的漏洞。 这些漏洞允许敌对团体提升 Linux 系统上的权限，从而部署有效载荷、勒索软件或其他攻击。

使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力

Dorothy 是一款工具，安全团队可用它来测试他们在 Okta 环境中的可见性和检测能力。 IAM 解决方案经常成为敌手的攻击目标，尽管如此，它们在监测方面却十分欠缺。 请阅读本博文，了解如何开始使用 Dorothy。

拥抱攻击工具：使用 EQL 构建针对 Koadic 的检测

找到使用事件查询语言 (EQL) 针对 Koadic 等后利用框架构建行为检测的新方法。

对手间谍技术 101：使用 Elastic Security 寻找持久性（第 1 部分）

了解如何使用 Elastic Endpoint Security 和 Elastic SIEM 大规模搜寻和检测恶意持久性技术。

实用安全工程：状态检测

通过在规则和工程流程中形式化状态检测，您可以增加对未来和过去匹配的检测覆盖率。 在这篇博文中，了解为什么状态检测是一个重要的概念。

Elastic Security opens public detection rules repo

Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.