카테고리
활성화
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
TOR 종료 노드 모니터링 개요
Learn how to monitor your enterprise for TOR exit node activity.
패치 적용 시간 메트릭: Qualys와 Elastic을 사용한 생존 분석 접근 방식
이 문서에서는 Elastic Stack을 사용해 Qualys VMDR의 취약성 관리(VM) 데이터에 생존 분석을 적용한 방법에 대해 설명합니다.
MCP 도구: 자율 에이전트를 위한 공격 벡터 및 방어 권장 사항
이 연구에서는 MCP(모델 컨텍스트 프로토콜) 도구가 자율 에이전트의 공격 표면을 확장하는 방법을 살펴보고 툴 포이즈닝, 오케스트레이션 주입, 러그풀 재정의와 같은 익스플로잇 벡터를 실제 방어 전략과 함께 자세히 설명합니다.
현재 이용 가능: 2025 Elastic의 탐지 엔지니어링 현황 보고서
Elastic의 탐지 엔지니어링 현황( 2025 )에서는 SIEM 및 EDR 규칙 집합을 생성, 유지 관리 및 평가하는 방법을 살펴봅니다.
Linux 탐지 엔지니어링 - Linux 지속성에 대한 대망의 피날레
이 시리즈를 마치면 일반적이고 희귀한 Linux 지속성 기법에 대한 탄탄한 지식을 갖추게 될 것입니다. 아울러 일반 및 고급 공격자 기능에 대한 탐지를 효과적으로 엔지니어링하는 방법도 이해할 수 있습니다.
위협 탐지를 위한 AWS S3 SSE-C 랜섬 에뮬레이션
이번 아티클에서는 위협 행위자가 랜섬/갈취 작업을 위해 Amazon S3의 고객 제공 키를 사용한 서버 측 암호화(SSE-C)를 활용하는 방법을 살펴봅니다.
WinVisor - Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터
WinVisor는 Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터로, Windows Hypervisor Platform API를 활용하여 시스템 호출을 로깅하고 메모리 검사를 가능하게 하는 가상화된 환경을 제공합니다.
Streamlining Security: Integrating Amazon Bedrock with Elastic
이 문서에서는 Amazon Bedrock 통합을 설정하고 Elastic의 사전 구축된 탐지 규칙을 활성화하여 보안 운영을 간소화하는 프로세스를 안내합니다.
Elastic으로 위협 헌팅 한 단계 업그레이드하기
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
위기의 전조: AJCloud IoT 생태계를 들여다보다
Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.
Kernel ETW, 최고의 ETW
이 연구는 보안 설계 소프트웨어에서 네이티브 감사 로그의 중요성에 중점을 두고 있습니다. 특히 사용자 모드 훅보다 커널 수준의 ETW 로깅이 안티탬퍼 보호를 강화하는 데 필수적임을 강조합니다.
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Linux 탐지 엔지니어링 - 지속성 메커니즘에 대한 속편
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
정보 도용으로부터 디바이스 보호
이 글에서는 Elastic Security에서 엔드포인트 보호를 담당하는 Elastic Defend(버전 8.12부터 시작)에 올해 추가된 키로거 및 키로깅 탐지 기능을 소개합니다.
Auditd를 사용한 Linux 탐지 엔지니어링
이 문서에서는 탐지 엔지니어링을 위한 Auditd 및 Auditd Manager 사용에 대해 자세히 알아보세요.
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
멀웨어 행동 트렌드 공개
10만 개 이상의 샘플에서 추출한 다양한 Windows 멀웨어 데이터 세트를 분석하여 가장 널리 퍼진 전술, 기술 및 절차에 대한 인사이트를 얻었습니다.
Elastic Security로 Okta 위협 모니터링하기
이 문서에서는 Okta 위협 탐지 연구소를 설립하는 방법을 안내하며, Okta와 같은 SaaS 플랫폼 보안의 중요성을 강조합니다. Elastic Stack으로 실험실 환경 만들기, SIEM 솔루션 통합, Okta에 대해 자세히 설명합니다.
STIXy 상황: ECS로 위협 데이터 최적화
구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.
Okta 이해를 위한 초보자 가이드
이 문서에서는 위협 연구 및 탐지 엔지니어링을 위한 견고한 기반을 마련하는 Okta의 아키텍처와 서비스에 대해 자세히 설명합니다. Okta 환경에서 위협 헌팅 및 탐지를 마스터하고자 하는 분들을 위한 필독서입니다.
사이버 데이터 분석용 Google 클라우드
이 문서에서는 데이터 추출 및 전처리부터 트렌드 분석 및 프레젠테이션에 이르기까지 Google Cloud를 사용하여 포괄적인 사이버 위협 데이터 분석을 수행하는 방법을 설명합니다. 이 강좌에서는 BigQuery, Python, Google 스프레드시트의 가치를 강조하며, 통찰력 있는 사이버 보안 분석을 위해 데이터를 정제하고 시각화하는 방법을 소개합니다.
내부로부터의 신호: eBPF가 신호와 상호 작용하는 방식
이 문서에서는 eBPF 프로그램에서 생성된 UNIX 신호의 몇 가지 의미에 대해 살펴봅니다.
ES|QL 쿼리 및 규칙 유효성 검사 간소화: GitHub CI와 통합하기
ES|QL은 Elastic의 새로운 파이핑 쿼리 언어입니다. 이 새로운 기능을 최대한 활용하여 Elastic Security Labs에서는 탐지 엔진에 대한 ES|QL 규칙의 유효성 검사를 실행하는 방법을 안내합니다.
LLM과 ESRE로 유사 사용자 세션 탐색
이전 글에서 GPT-4 대형 언어 모델(LLM)을 활용하여 Linux 사용자 세션을 요약하는 방법을 살펴보았습니다. 같은 실험의 맥락에서, 우리는 유사한 특성을 가진 세션들을 분석하는 데 시간을 할애했습니다. 이러한 유사한 세션은 이후 분석가들이 관련된 의심 활동을 식별하는 데 도움이 될 수 있습니다.
PPLFault를 없애려는 Microsoft의 계획 내부
이 연구 간행물에서는 맬웨어가 맬웨어 방지 프로세스 및 기타 중요한 보안 기능을 변조하기 어렵게 만드는 Windows 코드 무결성 하위 시스템의 향후 개선 사항에 대해 알아보세요.
통화 스택으로 커튼 벗기기
이 문서에서는 규칙과 이벤트를 컨텍스트화하는 방법과 콜 스택을 활용하여 사용자 환경에서 발생하는 모든 알림을 더 잘 이해하는 방법을 보여드립니다.
LLM을 사용하여 사용자 세션 요약하기
이 게시글에서는 GPT-4를 사용한 실험을 통해 얻은 교훈과 사용자 세션을 요약하여 주요 시사점에 대해 이야기합니다.
취약한 드라이버는 잊어라 - 필요한 것은 관리자
BYOVD(Bring Your Own Vulnerable Driver)는 점점 더 인기를 얻고 있는 공격자 기법입니다. 이 방법은 위협 행위자가 취약한 것으로 알려진 서명된 드라이버를 악성코드와 함께 가져와 커널에 로드한 후 이를 악용하여 일반적으로는 수행할 수 없는 커널 내 작업을 실행하는 것을 말합니다. BYOVD는 10년 이상 고급 위협 행위자들에 의해 사용되어 왔으며 최근 랜섬웨어와 일반 악성코드에서도 점점 더 흔히 사용되고 있습니다.
판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기
저희는 공격자를 능가하는 혁신을 목표로 하며, 공격자의 최첨단 수법에 대한 보호 기능을 유지합니다. Elastic Security 8.8에서는 새로운 커널 호출 스택 기반 탐지 기능을 추가하여 인메모리 위협에 대한 향상된 효율성을 제공합니다.
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
ICEDID 분석
ICEDID는 사용자 지정 파일 형식과 암호화 방식을 사용하여 페이로드를 압축하는 것으로 알려져 있습니다. 분석가와 커뮤니티가 ICEDID에 대응할 수 있도록 압축 해제 프로세스를 자동화하는 도구 세트를 배포하고 있습니다.
ChatGPT를 통한 보안의 미래 모색
최근 OpenAI는 엔지니어가 앱과 제품에 ChatGPT 및 Whisper 모델을 통합할 수 있는 API를 발표했습니다. 한동안 엔지니어는 이전 모델의 경우 REST API 호출을 사용하고, 그렇지 않은 경우 웹사이트를 통해 ChatGPT 인터페이스를 사용할 수 있었습니다.
Elastic 글로벌 위협 보고서 멀티파트 시리즈 개요
Elastic 보안 연구실 팀은 매달 Elastic 글로벌 위협 보고서에서 다른 트렌드나 상관관계를 분석합니다. 이 게시물은 이러한 개별 게시물의 개요를 제공합니다.
실행 및 방어 회피를 위한 의심스러운 Windows 라이브러리 찾기
노이즈가 많은 프로세스 이벤트 데이터에서 알려진 멀웨어와 알려지지 않은 멀웨어의 존재를 파악하는 한 가지 방법인 DLL 로드 이벤트를 통해 위협을 발견하는 방법에 대해 자세히 알아보세요.
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Elastic을 사용하여 비콘 악성코드 식별하기
이 블로그에서는 비콘 식별 프레임워크를 사용하여 사용자 환경에서 비콘 멀웨어를 식별하는 방법을 안내합니다.
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
취약점 요약: 폴리나, CVE-2022-30190
Elastic은 Follina 취약점의 사용을 식별하기 위해 새로운 맬웨어 시그니처를 배포하고 있습니다. 이 게시물에서 자세히 알아보세요.
Elastic의 2022 글로벌 위협 보고서: 오늘날 증가하는 위협 환경을 탐색하기 위한 로드맵
2022 Elastic 글로벌 위협 보고서와 같은 위협 인텔리전스 리소스는 팀이 사이버 보안 위협을 식별하고 예방하는 데 있어 조직의 가시성, 역량, 전문성을 평가하는 데 중요한 역할을 합니다.
예측 및 권장 사항: 2022 Elastic 글로벌 위협 보고서
Elastic의 첫 번째 글로벌 위협 보고서가 발표됨에 따라 고객, 파트너, 보안 커뮤니티 전반에서 지난 몇 달 동안 우리 팀이 집중해 온 많은 영역( 12 )을 확인할 수 있게 되었습니다.
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
Elastic에서 트랜스포머 최대한 활용하기
이 블로그에서는 마스크드 언어 모델링(MLM) 작업용 트랜스포머 모델을 분류 작업에 적합하도록 미세 조정한 방법에 대해 간략하게 설명합니다.
적의 공격 기법 101: Elastic Security를 사용한 지속성 찾기(2부)
Elastic Endpoint Security와 Elastic SIEM을 사용하여 악의적인 지속성 기술을 대규모로 추적하고 탐지하는 방법을 알아보세요.
메모리에서 사냥하기
위협 헌터는 공격의 모든 단계에서 적의 활동을 정확히 찾아내기 위해 방대한 양의 다양한 데이터 소스를 선별하는 어려운 작업을 담당합니다.
님버스폰: 권한 에스컬레이션을 통해 취약점을 악용하여 Linux를 익스플로잇하는 방법
Microsoft 365 Defender 팀에서 확인된 몇 가지 취약점을 자세히 설명하는 게시물을 발표했습니다. 이러한 취약점을 통해 공격 그룹은 Linux 시스템에 대한 권한을 상승시켜 페이로드, 랜섬웨어 또는 기타 공격을 배포할 수 있습니다.
Dorothy와 Elastic Security로 Okta 통합 가시성 및 탐지 테스트
Dorothy는 보안 팀이 Okta 환경의 통합 가시성과 탐지 기능을 테스트할 수 있는 도구입니다. IAM 솔루션은 빈번하게 공격 대상이 되지만 모니터링은 제대로 되고 있지 않습니다. 이 게시물에서는 Dorothy를 시작하는 방법을 알아봅니다.
공격적인 툴 수용: EQL을 사용하여 코아딕에 대한 탐지 구축하기
이벤트 쿼리 언어(EQL)를 사용하여 코아딕과 같은 익스플로잇 후 프레임워크에 대한 행동 탐지를 구축하는 새로운 방법을 찾아보세요.
적의 공격 기법 101: Elastic Security를 사용한 지속성 찾기(1부)
Elastic Endpoint Security와 Elastic SIEM을 사용하여 악의적인 지속성 기술을 대규모로 추적하고 탐지하는 방법을 알아보세요.
실용적인 보안 엔지니어링: 상태 저장 탐지
규칙과 엔지니어링 프로세스에서 상태 저장 탐지를 공식화하면 미래와 과거의 일치에 대한 탐지 범위를 늘릴 수 있습니다. 이 블로그 게시물에서 상태 저장 탐지가 구현해야 하는 중요한 개념인 이유를 알아보세요.
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.