Kategorie
Detection Engineering
Eine eingehende Untersuchung, bei der ein Windows Authenticode-Validierungsfehler von vagen Fehlercodes bis hin zu nicht dokumentierten Kernelroutinen verfolgt wird.
SHELLTER: ein kommerzielles Umgehungs-Framework, das in freier Wildbahn missbraucht wird
Elastic Security Labs entdeckte das jüngste Aufkommen von Infostealern, die eine illegal erworbene Version des kommerziellen Umgehungs-Frameworks SHELLTER verwenden, um Nutzlasten nach der Ausnutzung bereitzustellen.
Microsoft Entra ID OAuth-Phishing und -Erkennungen
In diesem Artikel werden OAuth-Phishing und tokenbasierter Missbrauch in Microsoft Entra ID untersucht. Durch die Emulation und Analyse von Token, Bereich und Geräteverhalten während der Anmeldeaktivität ermitteln wir High-Fidelity-Signale, die Verteidiger verwenden können, um OAuth-Missbrauch zu erkennen und zu suchen.
Modalitäten für falsches Verhalten: Erkennen von Werkzeugen, nicht von Techniken
Wir untersuchen das Konzept der Ausführungsmodalität und wie modalitätsfokussierte Erkennungen verhaltensorientierte Erkennungen ergänzen können.
Bit ByBit - Emulation des größten Kryptowährungsraubs der DVRK
Eine High-Fidelity-Emulation des größten Kryptowährungsraubs der DVRK über einen kompromittierten macOS-Entwickler und AWS-Pivots.
Jetzt verfügbar: der 2025 State of Detection Engineering bei Elastic
Der 2025 State of Detection Engineering bei Elastic untersucht, wie wir unsere SIEM- und EDR-Regelsätze erstellen, pflegen und bewerten.
AWS SNS-Missbrauch: Datenexfiltration und Phishing
Im Rahmen einer kürzlich durchgeführten internen Zusammenarbeit haben wir uns mit öffentlich bekannten SNS-Missbrauchsversuchen und unserem Wissen über die Datenquelle befasst, um Erkennungsfunktionen zu entwickeln.
Erkennung von Hotkey-basierten Keyloggern unter Verwendung einer nicht dokumentierten Kernel-Datenstruktur
In diesem Artikel untersuchen wir, was Hotkey-basierte Keylogger sind und wie man sie erkennen kann. Insbesondere erklären wir, wie diese Keylogger Tastatureingaben abfangen, und präsentieren dann eine Erkennungstechnik, die eine undokumentierte Hotkey-Tabelle im Kernel-Space nutzt.
Linux Detection Engineering - Das große Finale zum Thema Linux-Persistenz
Am Ende dieser Serie werden Sie über ein fundiertes Wissen sowohl über gängige als auch seltene Linux-Persistenztechniken verfügen, und Sie werden verstehen, wie Sie Erkennungsmaßnahmen für gängige und fortgeschrittene Fähigkeiten von Angreifern effektiv entwickeln können.
Emulieren von AWS S3 SSE-C Ransom für die Erkennung von Bedrohungen
In diesem Artikel werden wir untersuchen, wie Bedrohungsakteure die Server-Side Encryption mit von Kunden bereitgestellten Schlüsseln (SSE-C) von Amazon S3 für Lösegeld- und Erpressungsoperationen nutzen.
Linux Detection Engineering – Der Gipfel der Persistenzmechanismen rückt näher
Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.
未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知
本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。
Bekanntmachung des Elastic Bounty-Programms für den Schutz von Verhaltensregeln
Elastic startet eine Erweiterung seines Security Bounty Programms und lädt Forscher zum Testen seiner SIEM- und EDR-Regeln auf Umgehungs- und Bypass-Techniken ein, beginnend mit Windows-Endpunkten. Mit dieser Initiative wird die Zusammenarbeit mit der Sicherheits-Community gestärkt und die Robustheit von Elastic im Kampf gegen sich entwickelnde Bedrohungen gewährleistet.
Linux Detection Engineering – Eine Fortsetzung zu Persistenzmechanismen
This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.
Detonating Beacons to Illuminate Detection Gaps
Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.
Exploring AWS STS AssumeRoot
Erkunden Sie AWS STS AssumeRoot, seine Risiken, Erkennungsstrategien und praktischen Szenarien zum Schutz vor Rechteausweitung und Kontokompromittierung unter Verwendung der SIEM- und CloudTrail-Daten von Elastic.
Streamlining Security: Integrating Amazon Bedrock with Elastic
Dieser Artikel führt Sie durch den Prozess der Einrichtung der Amazon Bedrock-Integration und der Aktivierung der vordefinierten Erkennungsregeln von Elastic, um Ihre Sicherheitsabläufe zu optimieren.
Verbessern Sie Ihr Threat Hunting mit Elastic
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
Überlaufen: Wenn Ihr Drucker mehr als nur Tinte verschüttet
Elastic Security Labs erörtert Erkennungs- und Minderungsstrategien für Schwachstellen im CUPS-Drucksystem, die es nicht authentifizierten Angreifern ermöglichen, das System über IPP und mDNS auszunutzen, was zu Remote-Code-Ausführung (RCE) auf UNIX-basierten Systemen wie Linux, macOS, BSDs, ChromeOS und Solaris führt.
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Linux Detection Engineering - Eine Fortsetzung von Persistenzmechanismen
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
Now in beta: New Detection as Code capabilities
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Schützen Sie Ihre Geräte vor Informationsdiebstahl
In diesem Artikel stellen wir die Keylogger- und Keylogging-Erkennungsfunktionen vor, die in diesem Jahr zu Elastic Defend hinzugefügt wurden (ab Version 8.12), das für den Endpunktschutz in Elastic Security verantwortlich ist.
Elastic erweitert die LLM-Sicherheit mit standardisierten Feldern und Integrationen
Entdecken Sie die neuesten Fortschritte von Elastic im Bereich LLM-Sicherheit mit Schwerpunkt auf standardisierten Feldintegrationen und verbesserten Erkennungsfunktionen. Erfahren Sie, wie Sie Ihre Systeme durch die Einführung dieser Standards schützen können.
Einbettung von Sicherheit in LLM-Workflows: Der proaktive Ansatz von Elastic
Erfahren Sie, wie Elastic die Sicherheit direkt in große Sprachmodelle (LLMs) einbettet. Entdecken Sie unsere Strategien zur Erkennung und Entschärfung einiger der wichtigsten OWASP-Schwachstellen in LLM-Anwendungen und sorgen Sie so für sicherere KI-gesteuerte Anwendungen.
Linux-Erkennungsentwicklung mit Auditd
In diesem Artikel erfahren Sie mehr über die Verwendung von Auditd und Auditd Manager für die Erkennungstechnik.
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
Aufdeckung von Trends im Malware-Verhalten
Eine Analyse eines vielfältigen Datensatzes von Windows-Malware, der aus mehr als 100.000 Samples extrahiert wurde, um Einblicke in die am weitesten verbreiteten Taktiken, Techniken und Verfahren zu erhalten.
Überwachen von Okta-Bedrohungen mit Elastic Security
Dieser Artikel führt die Leser durch die Einrichtung eines Okta-Labors zur Erkennung von Bedrohungen und betont, wie wichtig es ist, SaaS-Plattformen wie Okta zu sichern. Darin wird das Erstellen einer Laborumgebung mit dem Elastic Stack, die Integration von SIEM-Lösungen und Okta beschrieben.
Ransomware im Honeypot: Wie wir Schlüssel mit klebrigen Canary-Dateien erbeuten
In diesem Artikel wird beschrieben, wie Verschlüsselungsschlüssel von Ransomware mithilfe des Elastic Defend Ransomware-Schutzes erfasst werden.
Starterleitfaden zum Verständnis von Okta
Dieser Artikel befasst sich mit der Architektur und den Diensten von Okta und legt eine solide Grundlage für die Bedrohungsforschung und das Detection Engineering. Unverzichtbare Lektüre für alle, die die Bedrohungssuche und -erkennung in Okta-Umgebungen beherrschen wollen.
Verdoppelung: Erkennen von In-Memory-Bedrohungen mit Kernel-ETW-Aufrufstapeln
Mit Elastic Security 8.11 haben wir weitere Kernel-Telemetrie-Call-Stack-basierte Erkennungen hinzugefügt, um die Wirksamkeit gegen In-Memory-Bedrohungen zu erhöhen.
Google Cloud für Cyber-Datenanalysen
In diesem Artikel wird erläutert, wie wir mit Google Cloud eine umfassende Datenanalyse von Cyberbedrohungen durchführen, von der Datenextraktion und -vorverarbeitung bis hin zur Trendanalyse und -darstellung. Es unterstreicht den Wert von BigQuery, Python und Google Sheets und zeigt, wie Daten für eine aufschlussreiche Cybersicherheitsanalyse verfeinert und visualisiert werden können.
Signalisierung von innen: Wie eBPF mit Signalen interagiert
In diesem Artikel wird die Semantik von UNIX-Signalen untersucht, wenn sie aus einem eBPF-Programm generiert werden.
Die Straffung von ES|QL-Abfrage und Regelvalidierung: Integration mit GitHub CI
ES|QL ist die neue Pipe-Abfragesprache von Elastic. Elastic Security Labs nutzt diese neue Funktion voll aus und führt Sie durch die Durchführung der Validierung von ES|QL-Regeln für die Detection Engine.
Beschleunigung der Elastic-Erkennungsmethoden mit LLMs
Erfahren Sie mehr darüber, wie Elastic Security Labs sich darauf konzentriert hat, unsere Erkennungs-Engineering-Workflows durch die Nutzung generativer KI-Funktionen zu beschleunigen.
Verwenden von LLMs und ESRE zum Suchen ähnlicher Benutzersitzungen
In unserem letzten Artikel haben wir uns mit der Verwendung des GPT-4 Large Language Model (LLM) beschäftigt, um Linux-Benutzersitzungen zu verdichten. Im Rahmen desselben Experiments haben wir einige Zeit darauf verwendet, Sitzungen zu untersuchen, die Ähnlichkeiten aufweisen. Diese ähnlichen Sitzungen können den Analysten anschließend dabei helfen, verdächtige Aktivitäten zu identifizieren.
Vorhang lüften mit Aufrufstapeln
In diesem Artikel zeigen wir Ihnen, wie wir Regeln und Ereignisse kontextualisieren und wie Sie Aufruflisten nutzen können, um alle Warnungen, die in Ihrer Umgebung auftreten, besser zu verstehen.
Verwenden von LLMs zum Zusammenfassen von Benutzersitzungen
In dieser Veröffentlichung werden wir über die gewonnenen Erkenntnisse und die wichtigsten Erkenntnisse aus unseren Experimenten mit GPT-4 sprechen, um die Benutzersitzungen zusammenzufassen.
Ins Detail: Wie wir Detonate betreiben
Erkunden Sie die technische Implementierung des Detonate-Systems, einschließlich der Erstellung von Sandkästen, der unterstützenden Technologie, der Telemetrieerfassung und wie man Dinge in die Luft jagt.
Den Einsatz erhöhen: Erkennen von In-Memory-Bedrohungen mit Kernel-Aufrufstapeln
Unser Ziel ist es, Angreifer zu übertreffen und Schutz vor den neuesten Angreifern zu bieten. Mit Elastic Security 8.8 haben wir neue Kernel-Call-Stack-basierte Erkennungen hinzugefügt, die uns eine verbesserte Wirksamkeit gegen In-Memory-Bedrohungen bieten.
Erkennen Sie DGA-Aktivitäten (Domain Generation Algorithm) mit der neuen Kibana-Integration
Wir haben der Integrations-App in Kibana ein DGA-Erkennungspaket hinzugefügt. Mit einem einzigen Klick können Sie das DGA-Modell und die zugehörigen Ressourcen installieren und verwenden, einschließlich Erfassungspipelinekonfigurationen, Anomalieerkennungsaufträgen und Erkennungsregeln.
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
Klick, Klick... Bumm! Automatisiertes Testen von Schutzmaßnahmen mit Detonate
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen im großen Maßstab zu testen, haben wir Detonate entwickelt, ein System, mit dem Sicherheitsforscher die Wirksamkeit unserer Elastic Security-Lösung automatisiert messen.
Jagd nach verdächtigen Windows-Bibliotheken zur Umgehung von Ausführungs- und Verteidigungsmaßnahmen
Erfahren Sie mehr über das Erkennen von Bedrohungen durch das Durchsuchen von DLL-Ladeereignissen, eine Möglichkeit, das Vorhandensein von bekannter und unbekannter Schadsoftware in lauten Prozessereignisdaten aufzudecken.
Detect Credential Access with Elastic Security
Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.
Erkennung von Angriffen durch Ausbeutung der natürlichen Ressourcen mit neuer elastischer Integration
Wir haben der Integrations-App in Kibana ein Erkennungspaket für Living off the land (LotL) hinzugefügt. Mit einem einzigen Klick können Sie das ProblemChild-Modell und die zugehörigen Assets, einschließlich Konfigurationen und Erkennungsregeln zur Anomalieerkennung, installieren und verwenden.
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Identifizieren von Beaconing-Malware mit Elastic
In diesem Blog führen wir Benutzer durch die Identifizierung von Beaconing-Malware in ihrer Umgebung mithilfe unseres Beaconing-Identifizierungsframeworks.
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
Google Workspace Attack Surface
During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.
Google Workspace Attack Surface
During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.
Get-InjectedThreadEx – Erkennen von Garnerstellungstrampolinen
In diesem Blog zeigen wir, wie Sie jede der vier Klassen von Prozesstrampolining erkennen können, und veröffentlichen ein aktualisiertes PowerShell-Erkennungsskript – Get-InjectedThreadEx
Analyse der Log4Shell-Schwachstelle & CVE-2021-45046
In diesem Beitrag behandeln wir die nächsten Schritte, die das Elastic Security-Team unternimmt, damit sich Benutzer weiterhin vor CVE-2021-44228 oder Log4Shell schützen können.
Security operations: Cloud monitoring and detection with Elastic Security
As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.
Zusammenfassung der KNOTWEED-Bewertung
KNOTWEED setzt die Subzero-Spyware mithilfe von 0-Day-Exploits für Adobe Reader und das Windows-Betriebssystem ein. Sobald der erste Zugriff erlangt wurde, werden verschiedene Abschnitte von Subzero verwendet, um die Persistenz aufrechtzuerhalten und Aktionen auf dem Host auszuführen.
Erkennen der Ausnutzung von CVE-2021-44228 (log4j2) mit Elastic Security
Dieser Blogpost gibt einen Überblick über CVE-2021-44228 und zeigt, wie Elastic Security-Nutzer erkennen können, ob die Schwachstelle in ihrer Umgebung aktiv ausgenutzt wird. Wenn Neues bekannt wird, wird der Post aktualisiert.
Erkennungsregeln für SIGRed-Schwachstellen
Die SIGRed-Sicherheitsanfälligkeit betrifft alle Systeme, die den Windows DNS-Serverdienst (Windows 2003+) nutzen. Um Ihre Umgebung zu schützen, empfehlen wir, die in diesem Blogbeitrag enthaltene Erkennungslogik mithilfe von Technologien wie Elastic Security zu implementieren.
Reaktion von Elastic auf die Spring4Shell-Schwachstelle (CVE-2022-22965)
Geben Sie auf Führungsebene Details zu CVE-2022-22965 an, einer kürzlich bekannt gewordenen Schwachstelle zur Remotecodeausführung (Remote Code Execution, RCE), die auch als "Spring4Shell" bekannt ist.
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
Erkennen und Reagieren auf verschmutzte Rohre mit Elastic
Elastic Security veröffentlicht eine Erkennungslogik für den Dirty Pipe-Exploit.
Adversary Tradecraft 101: Auf der Jagd nach Persistenz mit Elastic Security (Teil 2)
Erfahren Sie, wie Elastic Endpoint Security und Elastic SIEM verwendet werden können, um bösartige Persistenztechniken in großem Umfang zu suchen und zu erkennen.
Auf der Jagd nach In-Memory-.NET-Angriffen
Als Fortsetzung meiner DerbyCon-Präsentation wird dieser Beitrag einen aufkommenden Trend untersuchen, bei dem Angreifer . NET-basierte In-Memory-Techniken, um der Erkennung zu entgehen
Jagd in Erinnerung
Threat Hunters haben die schwierige Aufgabe, riesige Quellen unterschiedlicher Daten zu durchsuchen, um gegnerische Aktivitäten in jeder Phase des Angriffs zu lokalisieren.
Nimbuspwn: Nutzung von Schwachstellen, um Linux per Privilege Escalation auszunutzen
Das Microsoft 365 Defender-Team hat einen Beitrag veröffentlicht, in dem mehrere identifizierte Schwachstellen aufgeführt sind. Diese Schwachstellen ermöglichen es gegnerischen Gruppen, Berechtigungen auf Linux-Systemen zu erweitern, was die Bereitstellung von Payloads, Ransomware oder anderen Angriffen ermöglicht.
Okta-Transparenz und Erkennung mit Dorothy und Elastic Security testen
Dorothy ist ein Tool, mit dem Sicherheitsteams die Transparenz- und Erkennungsfunktionen für ihre Okta-Umgebung testen können. IAM-Lösungen werden oft unzureichend überwacht, obwohl sie ein häufiges Ziel für Angreifer sind. In diesem Blogeintrag möchte ich Ihnen Dorothy vorstellen.
Offensive Tools nutzen: Erstellen von Erkennungen gegen Koadic mithilfe von EQL
Finden Sie neue Wege, um Verhaltenserkennungen für Post-Exploitation-Frameworks wie Koadic mithilfe der Event Query Language (EQL) zu erstellen.
Adversary tradecraft 101: Auf der Jagd nach Persistenz mit Elastic Security (Teil 1)
Erfahren Sie, wie Elastic Endpoint Security und Elastic SIEM verwendet werden können, um bösartige Persistenztechniken in großem Umfang zu suchen und zu erkennen.
Praktisches Security Engineering: Stateful Detection
Durch die Formalisierung der zustandsbehafteten Erkennung in Ihren Regeln sowie in Ihrem Engineering-Prozess erhöhen Sie die Erkennungsabdeckung für zukünftige und vergangene Übereinstimmungen. In diesem Blogbeitrag erfahren Sie, warum die zustandsbehaftete Erkennung ein wichtiges Konzept ist, das implementiert werden muss.
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.