Deimos 植入程序于 2020 年首次被报告，并且一直在积极开发中；该恶意软件采用先进的分析对策来阻止分析。这篇博文通过恶意软件指标详细介绍了攻击活动的 TTP。

这一分析的关键要点如下：

deimos-pyramid-of-pain.png

图 9：诱饵文件数字签名 S.R.O.(SRO #1) 和所有者 (SRO #2)

deimos-lure-file-digital-signing-sro1-and-owner-sro2.jpg

图 10：SRO #2 和 SRO #1 为同一名执行经理

SRO_2.png

deimos-persistence-mechanism-flow.png

deimos-c2-http-body.jpg

图 15：恶意软件执行混淆的 PowerShell 进程

deimos-malware-executing-obfuscated-powershell-processes.png

图 17：使用时间线识别初始安装程序的猎捕查询

dashboard-deimos-hunt-query-identifying-initial-installer-using-timelines.jpg

图 19：使用时间线识别硬件 ID 的猎捕查询

dashboard-deimos-hunt-query-identifying-hardware-id-using-timelines.jpg

图 21：在时间线中识别长文件扩展名的猎捕查询

dashboard-deimos-hunt-query-identifying-long-file-extensions-in-timelines.jpg

图 23：在时间线中识别长注册表字符串的猎捕查询

dashboard-deimos-hunt-query-identifying-long-registry-strings-in-timelines.jpg

blog-security-radar-720x420.png

Going Coast to Coast - Climbing the Pyramid with the Deimos Implant

从一端到另一端 - 使用 Deimos 植入程序攀登金字塔

Dorothy 是一款工具，安全团队可用它来测试他们在 Okta 环境中的可见性和检测能力。IAM 解决方案经常成为敌手的攻击目标，尽管如此，它们在监测方面却十分欠缺。请阅读本博文，了解如何开始使用 Dorothy。

当安全团队与其组织中的利益相关者进行探讨时，他们很少能够自信地证明日志和警报功能可达到预期要求。组织的模式已经变得愈加分散，对于身份和访问权限管理、用户生产效率和文件存储等这样的用例，组织更加依赖于云产品/服务来实现。同时，敌手也已经扩展了他们在云环境中的行动能力。至关重要的是，安全团队要能够监测这些系统的滥用情况，才可保护组织的数据免受攻击。
<a href="https://github.com/elastic/dorothy">Dorothy</a> 是一款免费开放的工具，可以帮助安全团队测试他们在 Okta 单点登录 (SSO) 环境中的可见性、监测和检测能力。我们将演示如何使用 Dorothy 来执行测试，以及如何使用<a href="https://github.com/elastic/detection-rules/">免费开放的检测规则</a>通过 <a href="/cn/security">Elastic 安全</a>对相关和可疑的行为发出警报。
 <h2>Okta SSO 是什么？</h2>可能有对此不熟悉的用户，先简单做一下普及：<a href="https://www.okta.com/products/single-sign-on/">Okta SSO</a> 是一种基于云的身份管理解决方案，用户使用一个用户帐户就可以对所在组织内的各种系统和应用程序进行身份验证。告知最终用户，他们不需要记住十多个用户名和密码，只记住一个就够，这样既可以降低用户养成不良密码管理习惯的风险，还能够让系统管理员实施更严格的密码策略。此外，还可以在 Okta 中配置多因素身份验证 (MFA) 策略，进一步提升对攻击者的防护能力。许多攻击者在发现目标网络或用户帐户中实施了 MFA 时，他们会转而寻找更容易的目标。
虽然 SSO 解决方案可以为组织提供便捷的用户体验并降低网络安全风险，但这些集中式系统为许多系统和应用程序提供了一把万能钥匙，这常常会成为攻击者的主要攻击目标。安全团队必须了解 Okta 环境中的正常行为是怎样的，这样才可以更容易地识别可疑活动。
 <h2>认识 Dorothy</h2><a href="https://github.com/elastic/dorothy">Dorothy</a> 有超过 25 个模块用来模拟攻击者在 Okta 环境中操作时可能采取的行动，以及安全团队应该监测、检测并发出警告的行为。所有模块都映射到相关的 <a href="https://attack.mitre.org/">MITRE ATT&CK®</a> 战术，如持久化、防御规避、发现和影响。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8eae61fb97d445e6/5fcbb9e859bd313bf83113fc/1-Dorothy-blog-listing-modules.png" data-sys-asset-uid="blt8eae61fb97d445e6" alt="1-Dorothy-blog-listing-modules.png" style="display: block; margin: auto">
<figcaption>图 1 — 启动 Dorothy 并列出其模块</figcaption>创建 Dorothy 的初衷是为了帮助防御者测试他们的安全可见性和控制力，并不提供任何模块来获得 Okta 环境中的初始访问权限或提升权限。要使用 Dorothy 执行操作，需要一个有效的 Okta API 令牌，该令牌应关联到分配有一个或多个管理员角色的用户。
Dorothy 提供了具有上下文帮助且方便使用的 shell 界面，可在菜单和模块之间轻松导航，帮助引导用户完成入侵者场景模拟。其他功能还包括：提供配置概要文件（用于管理与各个 Okta 环境的连接）以及详细的日志，并可根据需要将事件索引添加到 Elasticsearch 中，以提供对使用 Dorothy 所执行操作的审计跟踪。
 <h2>在 Okta 环境中使用 Dorothy 执行操作</h2>在这一部分，我们将演示如何在 Okta 环境中执行 Dorothy 的一些模块。下面的图 2 显示了 Elastic 安全用户的典型工作流。在这个演示之后，您应该可以轻松地转到 Dorothy 的 GitHub 存储库，并按照该项目的 <a href="https://github.com/elastic/dorothy/wiki">Wiki</a> 页中“Getting Started”（入门）部分的入门步骤进行操作。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt005b0e7a6479bf43/5fcbba02e5f85744d50f1a57/2-Dorothy-blog-example_workflow.png" data-sys-asset-uid="blt005b0e7a6479bf43" alt="2-Dorothy-blog-example_workflow.png" redactor"="" style="display: block; margin: auto data-verified=">
<figcaption>图 2 — 使用 Dorothy 在 Okta 环境中执行操作的示例工作流</figcaption> 
<h3>whoami？</h3>我们站在攻击者的角度想一想他们在 Okta 环境中操作时可能会采取什么行动。作为一个找到初始落脚点的攻击者，我首先想到的问题是我对我拥有 API 令牌的用户有什么了解。让我们通过 Dorothy 的 <code>whoami</code> 命令来模拟这个攻击者的操作，以查看关联用户的登录 ID、上次登录时间和上次密码更改时间。
现在我们已经对我们控制的用户帐户有了更好的了解，接下来我们先列出 Dorothy 的模块并看一下帮助菜单，然后再进行下一步的操作。
<div class=" video=" "="" embed-container"="">
	<img class="vidyard-player-embed" src="https://play.vidyard.com/iG2cr4pHfUSwwVyk3paivS.jpg" data-uuid="iG2cr4pHfUSwwVyk3paivS" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	<figcaption>图 3 — 执行 Dorothy 的 whoami 和 list-modules 命令 </figcaption>
	<h3>发现</h3>
	Dorothy 有若干个发现模块，我们可以用来模拟攻击者可能获得的关于 Okta 环境的信息。敌手通常会在获得初始访问权限后花时间了解环境的细节，这些细节对于他们在计划下一步行动之前确定自己的方向至关重要。
	
	让我们尝试通过收集以下信息来了解 Okta 环境：
	
	<ul>
		<li>用户 — 在选择要进行控制、修改或保留原样（以避免被检测到）的帐户时，包含有姓名、登录 ID、电子邮件地址、密码恢复问题和每个用户状态的列表将非常有用。</li>
		<li>策略 — <a href="https://help.okta.com/en/prod/Content/Topics/Security/Security_Policies.htm">Okta 策略</a>用于控制安全要素，包括密码复杂性和 MFA 要求，以及允许用户使用的设备。如果我们决定削弱目标安全配置的某些组件，这些信息将派上用场。</li>
		<li>区域 — <a href="https://help.okta.com/en/prod/Content/Topics/Security/network/network-zones.htm">网络区域</a>可用于定义 Okta 环境的安全边界。与策略类似，这些信息有助于我们了解环境的配置方式，并在对允许或阻止流量的方式进行任何更改之前做出明智的决策。</li>
	</ul>
	最后，我们将执行 <code>find-admins</code> 模块来枚举每个 Okta 用户的角色，并确定哪些用户分配有一个或多个管理员角色。
	
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/TkDuAJQwKabkyj375rfYPe.jpg" data-uuid="TkDuAJQwKabkyj375rfYPe" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>图 4 — 执行 Dorothy 的“发现”模块以获取有关 Okta 环境的信息</figcaption>
	其他有助于信息收集任务的发现模块包括：<code>find-users-without-mfa</code>，用于查找仅使用用户名和密码进行身份验证的用户；以及 <code>find-admin-groups</code>，用于确定分配有一个或多个管理员角色的用户组。
	 
	<h3>持久化</h3>
	在攻击者获得对目标环境的访问权限后，他们可能就会伺机建立持久后门。持久化可以帮助攻击者在失去初始落脚点的情况下维持访问权限。通常情况下，当安全团队检测到攻击者的存在并禁用了攻击者正在使用的遭入侵用户帐户，或在网络外围阻止了他们的通信时，敌手才可能失去访问权限。
	
	拥有一种或多种持久化机制意味着，即使其中一个途径被阻止或中断，攻击者依然能够继续执行他们的任务。在这个示例中，我们将使用 Dorothy 的 <code>create-user</code> 和 <code>create-admin-user</code> 模块来创建一个 Okta 用户，并为这个新用户<a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/persistence_administrator_role_assigned_to_okta_user.toml">分配一个管理员角色</a>。接下来，我们将为另一个 Okta 用户创建一个密码恢复问题，以便我们能够完成为该用户重置密码的过程，并控制其帐户，这是另一种持久化方法。
	
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/GBE6rQG2gxPGLhysSSTZet.jpg" data-uuid="GBE6rQG2gxPGLhysSSTZet" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>图 5 — 创建和修改 Okta 用户帐户以建立持久化</figcaption>
	Dorothy 还有其他一些持久化模块，也可帮助我们了解攻击者可能采取的步骤，例如 <code>reset-factors</code> 用于<a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/persistence_attempt_to_reset_mfa_factors_for_okta_user_account.toml">删除用户注册的身份验证因素</a>，<code>reset-password</code> 用于生成一个重置用户密码的一次性链接。
	 
	<h3>防御规避</h3>
	敌手会在整个任务中试图实施防御规避技术，以避免被检测到。例如，攻击者可能会试图禁用安全日志，以使安全团队察觉不到他们的违法行为。
	
	现在，我们已经获得了有关环境的信息，并配置了几种形式的持久化。下面我们执行 Dorothy 的 <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/okta_attempt_to_deactivate_okta_policy.toml"><code>change-policy-state</code></a> 和 <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/attempt_to_deactivate_okta_network_zone.toml"><code>change-zone-state</code></a> 模块，以削弱“目标”的安全控制。
	
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/ibEzpdD2KPKKK83d3n556d.jpg" data-uuid="ibEzpdD2KPKKK83d3n556d" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>图 6 — 停用 Okta 策略和网络区域对象</figcaption>
	其他以防御规避为主题的模块可以激活、停用或修改其他 Okta 对象，如应用程序和各个策略规则。
	
	到这里我们虚构的攻击场景就结束了，如果您想了解 Dorothy 的其他功能，请前往 <a href="https://github.com/elastic/dorothy">GitHub 存储库</a>了解更多信息。
	 
	<h2>使用 Elastic 安全检测可疑行为</h2>
	在这一部分，我们将演示 Okta 的<a href="https://help.okta.com/en/prod/Content/Topics/Reports/Reports_SysLog.htm">系统日志</a>如何增强我们的免费检测规则，以监测可疑行为并提醒团队注意。
	
	通过 Okta 的系统日志，能够对在组织环境中观测到的活动进行审计跟踪。这包括用户登录或更改密码、管理员更改配置等活动。该数据源对于安全监测、调查、合规性和响应活动非常有用。
	 
	<h3>通过 Fleet 采集 Okta 系统日志</h3>
	<a href="/guide/en/fleet/current/fleet-overview.html">Fleet</a> 在 Kibana 中提供了一个基于 Web 的 UI，用于添加和管理热门服务及平台（包括 Okta、AWS、Azure、Google Cloud Platform、Google Workspace 等）的集成。Fleet 的 Okta 集成提供了一种简便的方法来采集和规范 Okta 的系统日志事件。
	
	<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1fc3d0e8b7275ec1/5fcbba31a84f233eaf60eee8/7-Dorothy-blog-reviewing-fleet.png" data-sys-asset-uid="blt1fc3d0e8b7275ec1" alt="7-Dorothy-blog-reviewing-fleet.png" style="display: block; margin: auto">
	<figcaption>图 7 — 查看 Kibana 中 Fleet 的 Okta 集成</figcaption>
	已经在使用 Beats 的团队也可以使用 <a href="/guide/en/beats/filebeat/current/filebeat-module-okta.html">Okta Filebeat 模块</a>。
	 
	<h3>使用 Elastic 安全的免费检测规则检测可疑行为</h3>
	Elastic 安全保护团队为了开发针对终端、云和网络平台的检测和预防措施，对敌手的谍报技术进行了深入研究。我们的<a href="https://github.com/elastic/detection-rules">检测规则</a>是免费的，并且与更广泛的安全社区一起在开放的环境中开发。
	
	我们的 Okta 规则利用已规范化为 <a href="/guide/en/ecs/current/ecs-reference.html">Elastic Common Schema (ECS)</a> 且已编制索引的系统日志事件，并提醒安全团队注意相关和可疑的行为。
	
	下面的图 8 显示了在使用 Dorothy 模拟攻击者在 Okta 环境中可能采取的行动之后，Elastic 安全中显示的许多警报。
	
	<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt4504667e3ac7b82d/5fcbba4cee448a54fd0cbc2e/8-Dorothy-blog-reviewing-alerts.png" data-sys-asset-uid="blt4504667e3ac7b82d" alt="8-Dorothy-blog-reviewing-alerts.png" style="display: block; margin: auto">
	<figcaption>图 8 — 在 Elastic 安全中查看处于“未处理”状态的警报</figcaption>
	对于那些比较烦人的误报该怎么办呢？通过向 Elastic 安全的规则中添加例外情况来过滤常规和预期的行为，即可轻松化解这个烦恼。这项功能包括一个选项，可将与例外情况匹配的所有警报都关掉，这可大大节省您的时间。
	
	<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7ed73d87b82b1650/5fcbba59da1c393383d3dd8d/9-Dorothy-blog-adding_exception.png" data-sys-asset-uid="blt7ed73d87b82b1650" alt="9-Dorothy-blog-adding_exception.png" style="display: block; margin: auto">
	<figcaption>图 9 — 向 Elastic 安全中的 Okta 规则添加例外情况</figcaption>
	 
	
	<h2>用 Dorothy 评测您的云防御情况</h2>
	Okta 和其他身份管理解决方案经常成为敌手的攻击目标，话虽如此，但往往是监测不到位所致。我们着力打造 Dorothy 这款工具，就是为了帮助安全团队了解敌手如何在 Okta 环境中操作，从而进一步使他们能够测试其可见性和我们免费开放的检测规则的有效性。
	
	您可以通过访问该项目的 <a href="https://github.com/elastic/dorothy/wiki">Wiki</a> 页来了解如何开始使用 Dorothy。如果您还不是 Elastic 安全用户，现在即可注册<a href="/cn/cloud/">免费的云试用版</a>，并查看我们的免费<a href="/cn/blog/elastic-security-opens-public-detection-rules-repo">检测规则</a>。
	
</div>

blog-banner-dorothy-cow.png

blog-thumb-dorothy-cow.png

Testing your Okta visibility and detection with Dorothy and Elastic Security

使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力

Elastic 安全现已向全球开放其检测规则存储库。我们将与社区共同开发开放规则，并欢迎您晒出自己的社区驱动型检测。这是一次相互分享安全知识的机会。

Elastic 相信<a href="/cn/about/why-open-source">开源的力量</a>，重视社区的价值。我们以社区为先，确保为用户提供最优质的产品。Elastic 安全的<a href="/cn/security">两大核心目标</a>分别是阻止大规模威胁，和赋能每一位分析师。今天，我们又开放了一个全新的 GitHub 存储库 <a href="https://github.com/elastic/detection-rules">elastic/detection-rules</a>，致力于与安全社区一道，阻止更大规模的安全威胁。
Elastic 安全<a href="/cn/blog/elastic-siem-detections">检测引擎</a>的发布将在 Elastic Stack 中实现自动威胁检测。自检测引擎首次发布起，Elastic 安全情报和分析团队已增加了 50 多条规则，提高了在 Linux、macOS 和 Windows 操作系统中对攻击者技术的可视性。我们将继续拓宽检测覆盖范围，未来将涉足云服务、用户行为等诸多新兴领域。
在过去的版本中，我们采用内部存储库来管理检测引擎规则。针对 Kibana 查询语言 (KQL) 句法、模式用法和其他元数据的最新贡献规则，我们已添加自动测试予以验证，借此迭代完善测试流程。受益于现有的成熟规则开发体系，我们 无需 另起炉灶就能一往无前。
通过开放 <a href="https://github.com/elastic/detection-rules">elastic/detection-rules</a> GitHub 存储库，Elastic 安全将与社区共同开发开放规则，并欢迎您晒出自己的社区驱动型检测。这为我们所有人创造了相互分享知识、彼此交流学习，以及协作实现变革的宝贵机会。
 <h2>新存储库中有哪些内容？</h2><a href="https://github.com/elastic/detection-rules">elastic/detection-rules</a> GitHub 存储库提供 Elastic 安全规则，覆盖多项 <a href="https://attack.mitre.org/">MITRE ATT&CK</a>® 技术。当前规则逻辑主要使用 <a href="/guide/en/kibana/master/kuery-query.html">KQL</a> 编写，而利用 <a href="/guide/en/ecs/current/index.html">Elastic Common Schema (ECS)</a>，我们只需创建一次规则即可。通过使用 ECS 中定义的字段和分类，规则将自动适用于正确映射到 ECS 的 Beats 日志和其他数据源。
在 <a href="https://github.com/elastic/detection-rules/tree/main/rules">rules/</a> 文件夹下，规则会以 TOML 文件格式存储，并按照平台分组。我们尽量使用精简的扁平化层次结构，以便查找和添加新规则。如果您正在查找仅 Windows 环境下的规则，请导航进入 <a href="https://github.com/elastic/detection-rules/tree/main/rules/windows">rules/windows</a>。如果在查找某个规则时遇到困难或者想要跨规则检索，不妨借助我们的 CLI 运行 <code>python -m detection_rules rule-search</code> 指令，包含符合要求的元数据的文件将立即呈现。
除了查询外，每条规则还有多个元数据字段。其中采集了诸如题目、描述、噪音级别、ATT&CK 映射、标签以及调度间隔等信息。我们还有其他字段帮助分析师分拣信息、描述已知误报或调查的有用步骤。更多规则适用元数据信息，请查看 <a href="/guide/en/siem/guide/current/rules-ui-create.html#create-rule-ui">Kibana 规则创建指南</a>或贡献指南中的<a href="https://github.com/elastic/detection-rules/blob/main/CONTRIBUTING.md#rule-metadata">规则元数据总结</a>。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt683eae32569f7543/5efb61e38304ac0dbc4a5a0e/detection-rules-repo-blog-msbuild.png" data-sys-asset-uid="blt683eae32569f7543" alt="detection-rules-repo-blog-msbuild.png">
<figcaption>“MsBuild Making Network Connections”规则支持文件预览
</figcaption> 
<h2>如何将这些规则导入检测引擎？</h2>如果您使用的是 <a href="/cn/cloud/">Elastic Cloud 管理服务</a>或是支持<a href="/cn/subscriptions">全套免费功能</a>的 Elastic Stack 软件默认分发包，当您首次导航进入检测引擎时，便会看到最新规则。需要升级时，检测引擎会识别规则的增加或变更并发出<a href="/guide/en/siem/guide/current/rules-ui-create.html#load-prebuilt-rules">提示</a>，让您决定是否升级这些规则。升级后依照步骤操作即可获取最新规则。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1ca938b9d35957ee/5efb6250f715ab0f6bc3dea1/detection-rules-repo-blog-msbuild-network-connections.png" data-sys-asset-uid="blt1ca938b9d35957ee" alt="detection-rules-repo-blog-msbuild-network-connections.png">
<figcaption>“MsBuild Making Network Connection”相同规则已载入检测引擎
</figcaption> 
<h2>谁可以使用该存储库？</h2>在该存储库中，Elastic 安全情报和分析团队会开发规则、创建问题、管理 Pull Request 和目标版本。开放存储库后，我们就可以邀请所有外部贡献者加入此工作流。如此一来，贡献者将有机会了解我们的开发过程，掌握通过检测引擎发布规则的清晰路径。
如果您准备好加入贡献者团队，请签署 Elastic<a href="/cn/contributor-agreement"> 贡献者许可协议 (CLA)</a>。作为所有 Elastic GitHub 存储库的使用准则，签署该协议即意味着我们可以将您贡献的代码自由分发给 Elastic 用户。
 <h2>如何执行威胁检测？</h2>一般来说，我们更倾向于围绕敌对行为执行检测。换言之，我们专注于 ATT&CK 技术。这意味着我们需要在创建规则之前，投入更多的精力调查、研究某项技术是如何运作的。正是基于这种方式，我们才能够更好地检测、阻止当前和未来威胁，而非止步于应对已有威胁。
从行为着手也意味着我们需要多种类型的规则。一些会用于检测原子事件，另一些则可以请求聚合多个事件或查找超过某一阈值的异常值。借助<a href="https://eql.readthedocs.io">事件查询语言 (EQL)</a>，我们可以创建用于查找涉及多个事件行为序列的规则。
当然，我们理解有时某一项技术可能对于所有用户来说，都很难从行为角度予以检测。因此您可以随时添加针对某种特定行为或工具的规则，其本质上可能更近似于一种签名。
如果想要更深入探讨如何创建成熟检测，请阅读<a href="https://github.com/elastic/detection-rules/tree/main/PHILOSOPHY.md">检测规则存储库</a>理论。
 <h2>为什么需要新存储库？</h2>如果您曾分享过公共规则，可能会对其他知名 GitHub 存储库有所了解，例如 MITRE <a href="https://github.com/mitre-attack/car">网络分析存储库 (CAR)</a>、<a href="https://github.com/Neo23x0/sigma">Sigma</a> 或是基于 Elastic EQL 的<a href="https://eqllib.readthedocs.io">EQL 分析库</a>。您可能在想：我们为什么需要新存储库？为什么不使用现有存储库呢？
会有这种想法很正常，但在回答这一问题前首先要解决另外一个问题：为什么会存在其他存储库？CAR 和 Sigma 都是刻意不区分语言或平台的，而且有时也不分数据来源。相反，EQL 分析库则是以某种特定语言创建的。
立足于全新检测规则存储库，我们正在尝试实现一个不太一样的目标。我们希望为 Elastic 安全用户提供适用于不同数据源的最佳检测。依托出色的 ECS 模式平衡器，我们成功创建了可一次性适用于多个数据源的规则。
鉴于 Elastic Stack 支持多种语言，我们的规则自然也要体现出这一点。查询语言的开发通常是为了解决不同类型的问题，如果存在另外一种效果更好的语言，我们就不应限制规则开发人员只使用某一种语言。目前我们的存储库中已有 <a href="/guide/en/kibana/master/kuery-query.html">KQL</a> 和 <a href="/guide/en/kibana/current/lucene-query.html">Lucene</a> 规则，以及使用 <a href="/guide/en/machine-learning/6.8/ml-jobs.html">机器学习异常检测</a>作业的规则。我们正在<a href="https://github.com/elastic/elasticsearch/issues/49581">努力</a>实现将 <a href="https://eql.readthedocs.io">EQL</a> 整合并入 Elastic Stack 和我们的存储库中。
不仅如此，我们还将确保使用最佳实践以实现最佳 Elasticsearch 效果。例如，搜索 <code>process.path:*\\cmd.exe</code> 时，需要执行通配符检查，而这要比简单的关键词检查成本更高。相较于在搜索时使用前导通配符，我们建议选择 <code>process.name:cmd.exe</code>，这样效果更好，结果也最准确。同样，ECS 还包含 <code>process.args</code>字段，即 <code>process.command_line</code> 字段的解析版本。我们推荐使用解析字段，因为解析字段不仅效果更好，而且不容易出现<a href="https://github.com/elastic/detection-rules/blob/main/PHILOSOPHY.md#does-a-rule-have-trivial-evasions">多余空格或者引号规避</a>问题。可谓是一举多得。
 <h2>可以添加其他存储库中的规则吗？</h2>在您的操作环境中，只要 Kibana 角色获得适当授权，便可向您的检测引擎添加规则。如果您想要向 <a href="https://github.com/elastic/detection-rules">elastic/detection-rules</a> 存储库中添加规则，答案显而易见：<a href="/cn/blog/it-depends">一切视情况而定</a>。如果该规则可以在 Elastic 许可之下获得次级许可，添加时自然不存在问题。而且在大多数情况下，该操作的要求相当简单：只需在 <code>rule.author</code> 数组中保留原作者姓名，并相应更新 <code>NOTICE.txt</code>，以致谢原作者即可。我们尊重他人的劳动成果，希望您愿意与我们同行！
有关如何获得本存储库许可的更多信息，请参阅 README 中的<a href="https://github.com/elastic/detection-rules#licensing">许可</a>章节。
 <h2>如何贡献？</h2>迫不及待地想要分享您的规则逻辑吗？立即访问 GitHub <a href="https://github.com/elastic/detection-rules">elastic/detection-rules</a>。我们准备了详细的操作说明，指导您导航进入存储库，分叉、克隆以及创建规则。其中批量编辑文件的命令行工具可以让新规则创建更加便捷。当您准备好向存储库内添加新规则时，运行 <code>python -m detection_rules create-rule</code>，然后您将收到所需元数据的提示。我们建议您尽可能使用 CLI，从而减少在重复使用其他规则或模板中的 TOML 文件内容时出现复制粘贴错误。
规则准备就绪后，您可以运行 <code>python -m detection_rules test</code> 命令，从而执行本地单元测试，以验证句法、模式用法等。接下来，创建 Pull Request，随后情报和分析团队成员会审核您贡献的规则。如我方需要改动，会和您一起协作，完成推荐的改动。&nbsp;
如果您对某一规则有不错的思路，但想与我们就此进行合作或获得反馈，您可以创建一个<a href="https://github.com/elastic/detection-rules/issues/new/choose">新规则</a>问题。我们期待能为您提供帮助，一起集思广益！
更多信息，请查阅<a href="https://github.com/elastic/detection-rules/tree/main/CONTRIBUTING.md">贡献</a>指南。
 <h2>未来发展？</h2>欢迎加入我们的新规则存储库和工作流！我们欢迎您贡献规则，期待在 <code>rule.author</code> 字段中看到您的姓名。检测规则存储库将继续与 Elastic 安全功能一起优化更新，对于未来我们充满期待。
如果您想要追踪堆栈中 EQL 开发情况，欢迎订阅 <a href="https://github.com/elastic/elasticsearch/issues/49581">GitHub 问题</a>。或者您也可以查看<a href="/guide/en/elasticsearch/reference/master/eql.html">进度记录</a>，了解 Elasticsearch 团队动向。
如果您在规则创建或全新<a href="https://github.com/elastic/detection-rules">检测规则</a> GitHub 存储库导航方面有任何反馈或问题，请在 GitHub 中<a href="https://github.com/elastic/detection-rules/issues/new/choose">创建问题</a>并添加 <a href="https://discuss.elastic.co/c/security">detection-rules</a> 标签，以访问讨论论坛寻求帮助，或者在 <a href="http://ela.st/slack">Elastic Slack 社区</a> #detection-rules 频道联系我们。

AUTHOR

Articles By Elastic Security Intelligence & Analytics Team

从一端到另一端 - 使用 Deimos 植入程序攀登金字塔

使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力

Elastic 安全开放公共检测规则存储库

注册 Elastic Cloud 免费试用版

产品和解决方案

公司

资源

解决方案

Elastic (ELK) Stack

新增功能

AUTHOR

Articles By Elastic Security Intelligence & Analytics Team

从一端到另一端 - 使用 Deimos 植入程序攀登金字塔

使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力

Elastic 安全开放公共检测规则存储库

注册 Elastic Cloud 免费试用版

公司

资源