탐지 과학

Linux Detection Engineering - A Sequel on Persistence Mechanisms

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

정보 도용으로부터 디바이스 보호

이 글에서는 Elastic Security에서 엔드포인트 보호를 담당하는 Elastic Defend(버전 8.12부터 시작)에 올해 추가된 키로거 및 키로깅 탐지 기능을 소개합니다.

Elastic, 표준화된 필드와 통합으로 LLM 보안 강화

표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.

Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화

대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.

Linux detection engineering with Auditd

In this article, learn more about using Auditd and Auditd Manager for detection engineering.

LLM으로 Elastic 탐지 기술 가속화

Elastic Security Labs가 생성형 AI 기능을 더욱 심화하고 탐지 엔지니어링 워크플로 가속화에 주력하는 방법을 자세히 알아보세요.

LLM과 ESRE로 유사 사용자 세션 탐색

이전 글에서 GPT-4 대형 언어 모델(LLM)을 활용하여 Linux 사용자 세션을 요약하는 방법을 살펴보았습니다. 같은 실험의 맥락에서, 우리는 유사한 특성을 가진 세션들을 분석하는 데 시간을 할애했습니다. 이러한 유사한 세션은 이후 분석가들이 관련된 의심 활동을 식별하는 데 도움이 될 수 있습니다.

통화 스택으로 커튼 벗기기

이 문서에서는 규칙과 이벤트를 컨텍스트화하는 방법과 콜 스택을 활용하여 사용자 환경에서 발생하는 모든 알림을 더 잘 이해하는 방법을 보여드립니다.

LLM을 사용하여 사용자 세션 요약하기

이 게시글에서는 GPT-4를 사용한 실험을 통해 얻은 교훈과 사용자 세션을 요약하여 주요 시사점에 대해 이야기합니다.

Detonate 실행 방법 심층 분석

Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.

새로운 Kibana 통합으로 도메인 생성 알고리즘(DGA) 활동 감지하기

Kibana의 통합 앱에 DGA 탐지 패키지를 추가했습니다. 클릭 한 번으로 수집 파이프라인 구성, 이상 징후 탐색 작업, 탐색 규칙을 포함한 DGA 모델과 관련 자산을 설치하고 사용할 수 있습니다.

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

Detonate를 활용한 자동화된 보호 테스트

프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.

ChatGPT를 통한 보안의 미래 모색

최근 OpenAI는 엔지니어가 앱과 제품에 ChatGPT 및 Whisper 모델을 통합할 수 있는 API를 발표했습니다. 한동안 엔지니어는 이전 모델의 경우 REST API 호출을 사용하고, 그렇지 않은 경우 웹사이트를 통해 ChatGPT 인터페이스를 사용할 수 있었습니다.

실행 및 방어 회피를 위한 의심스러운 Windows 라이브러리 찾기

노이즈가 많은 프로세스 이벤트 데이터에서 알려진 멀웨어와 알려지지 않은 멀웨어의 존재를 파악하는 한 가지 방법인 DLL 로드 이벤트를 통해 위협을 발견하는 방법에 대해 자세히 알아보세요.

Automating the Security Protections rapid response to malware

See how we’ve been improving the processes that allow us to make updates quickly in response to new information and propagate those protections to our users, with the help of machine learning models.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

Detecting Living-off-the-land attacks with new Elastic Integration

We added a Living off the land (LotL) detection package to the Integrations app in Kibana. In a single click, you can install and start using the ProblemChild model and associated assets including anomaly detection configurations and detection rules.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Identifying beaconing malware using Elastic

In this blog, we walk users through identifying beaconing malware in their environment using our beaconing identification framework.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.