检测科学

Linux Detection Engineering - A Sequel on Persistence Mechanisms

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

保护你的设备免遭信息盗窃

在本文中，我们将介绍今年在 Elastic Defend（从 8.12 版本开始）中添加的键盘记录器和键盘记录检测功能，它负责 Elastic Security 中的端点保护。

Elastic 通过标准化字段和集成推进 LLM 安全性

了解 Elastic 在 LLM 安全方面的最新进展，重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。

在 LLM 工作流中嵌入安全性：Elastic 的主动方法

深入了解 Elastic 在大型语言模型 (LLM) 中直接嵌入安全性的探索。了解我们在 LLM 应用程序中检测和缓解几个顶级 OWASP 漏洞的策略，确保 AI 驱动型的应用程序更加安全可靠。

Linux detection engineering with Auditd

In this article, learn more about using Auditd and Auditd Manager for detection engineering.

利用 LLM 加速 Elastic 检测谍报技术

详细了解 Elastic Security Labs 如何通过利用更多生成式 AI 功能来加速我们的检测工程工作流。

使用 LLM 和 ESRE 查找相似的用户会话

在上一篇文章中，我们探讨了如何使用 GPT-4 大型语言模型 (LLM) 来压缩 Linux 用户会话。在同一个实验中，我们花了一些时间来检查具有相似之处的会话。这些类似的会话随后可以帮助分析人员识别相关的可疑活动。

揭开调用堆栈的面纱

在本文中，我们将向您展示如何将规则和事件情境化，以及如何利用调用堆栈来更好地理解您在环境中遇到的任何警报。

使用 LLM 总结用户会话

在本出版物中，我们将讨论使用 GPT-4 总结用户会话的实验中得到的经验教训和关键要点。

深入细节：我们如何运行 Detonate

探索 Detonate 系统的技术实现，包括沙箱创建、支持技术、遥测收集以及如何引爆物品。

使用新的 Kibana 集成检测域生成算法 (DGA) 活动

我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下，您就可以安装并开始使用 DGA 模型和相关资产，包括摄取管道配置、异常检测作业和检测规则。

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

咔嚓，咔嚓...砰！使用 Detonate 自动化保护测试

为了使这一过程自动化并大规模测试我们的保护措施，我们建立了 Detonate 系统，该系统供安全研究工程师使用，以自动化方式衡量我们的 Elastic 安全解决方案的功效。

利用 ChatGPT 探索安全性的未来

最近，OpenAI 发布了供工程师集成 ChatGPT 和 Whisper 模型到他们的应用程序和产品中的 API。 一段时间以来，工程师可以使用 REST API 调用旧模型，或者通过他们的网站使用 ChatGPT 界面。

寻找可疑的 Windows 库以执行和逃避防御

了解更多有关通过搜索 DLL 加载事件来发现威胁的信息，这是一种在嘈杂的进程事件数据中揭示已知和未知恶意软件的存在的一种方法。

Automating the Security Protections rapid response to malware

See how we’ve been improving the processes that allow us to make updates quickly in response to new information and propagate those protections to our users, with the help of machine learning models.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

Detecting Living-off-the-land attacks with new Elastic Integration

We added a Living off the land (LotL) detection package to the Integrations app in Kibana. In a single click, you can install and start using the ProblemChild model and associated assets including anomaly detection configurations and detection rules.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Identifying beaconing malware using Elastic

In this blog, we walk users through identifying beaconing malware in their environment using our beaconing identification framework.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.