Ciência da detecção

Linux Detection Engineering - A Sequel on Persistence Mechanisms

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

Protegendo seus dispositivos contra roubo de informações

Neste artigo, apresentaremos os recursos de keylogger e detecção de keylogging adicionados este ano ao Elastic Defend (a partir da versão 8.12), responsável pela proteção de endpoints no Elastic Security.

A Elastic aprimora a segurança do LLM com campos e integrações padronizados

Descubra os últimos avanços da Elastic em segurança LLM, com foco em integrações de campo padronizadas e recursos aprimorados de detecção. Saiba como a adoção desses padrões pode proteger seus sistemas.

Incorporação de segurança em fluxos de trabalho LLM: Abordagem proativa da Elastic

Mergulhe na exploração da segurança incorporada pela Elastic diretamente em modelos de linguagem grande (LLMs). Descubra nossas estratégias para detectar e mitigar várias das principais vulnerabilidades do OWASP em aplicativos LLM, garantindo aplicativos orientados por IA mais seguros e protegidos.

Linux detection engineering with Auditd

In this article, learn more about using Auditd and Auditd Manager for detection engineering.

Acelerando o comércio de detecção elástica com LLMs

Saiba mais sobre como o Elastic Security Labs tem se concentrado em acelerar nossos fluxos de trabalho de engenharia de detecção, explorando recursos de IA mais generativos.

Usando LLMs e ESRE para encontrar sessões de usuários semelhantes

Em nosso artigo anterior, exploramos o uso do GPT-4 Large Language Model (LLM) para condensar as sessões de usuários do Linux. No contexto do mesmo experimento, dedicamos algum tempo para examinar sessões que compartilhavam semelhanças. Posteriormente, essas sessões semelhantes podem ajudar os analistas a identificar atividades suspeitas relacionadas.

Desvendando a cortina com pilhas de chamadas

Neste artigo, mostraremos como contextualizamos regras e eventos e como você pode aproveitar pilhas de chamadas para entender melhor quaisquer alertas encontrados em seu ambiente.

Usando LLMs para resumir sessões de usuário

Nesta publicação, falaremos sobre lições aprendidas e principais conclusões de nossos experimentos usando GPT-4 para resumir sessões de usuários.

Into The Weeds: Como corremos Detonate

Explore a implementação técnica do sistema Detonate, incluindo a criação de sandbox, a tecnologia de suporte, a coleta de telemetria e como explodir coisas.

Detecte a atividade do algoritmo de geração de domínio (DGA) com a nova integração do Kibana

Adicionamos um pacote de detecção de DGA ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo DGA e os ativos associados, incluindo configurações de pipeline de ingestão, trabalhos de detecção de anomalias e regras de detecção.

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

Clique, clique… Boom! Automatizando testes de proteção com Detonate

Para automatizar esse processo e testar nossas proteções em grande escala, criamos o Detonate, um sistema usado por engenheiros de pesquisa de segurança para medir a eficácia de nossa solução Elastic Security de forma automatizada.

Exploring the Future of Security with ChatGPT (Explorando o futuro da segurança com o ChatGPT)

Recentemente, a OpenAI anunciou APIs para engenheiros integrarem modelos ChatGPT e Whisper em seus aplicativos e produtos. Por algum tempo, os engenheiros podiam usar as chamadas da API REST para modelos mais antigos e, de outra forma, usar a interface ChatGPT por meio de seu site.

Caça a bibliotecas suspeitas do Windows para execução e evasão de defesa

Saiba mais sobre como descobrir ameaças pesquisando eventos de carregamento de DLL, uma maneira de revelar a presença de malware conhecido e desconhecido em dados de eventos de processos ruidosos.

Automating the Security Protections rapid response to malware

See how we’ve been improving the processes that allow us to make updates quickly in response to new information and propagate those protections to our users, with the help of machine learning models.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

Detecting Living-off-the-land attacks with new Elastic Integration

We added a Living off the land (LotL) detection package to the Integrations app in Kibana. In a single click, you can install and start using the ProblemChild model and associated assets including anomaly detection configurations and detection rules.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Identifying beaconing malware using Elastic

In this blog, we walk users through identifying beaconing malware in their environment using our beaconing identification framework.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.