Kategorie
Aktivierung
5 Dezember 2025
Automating detection tuning requests with Kibana cases
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
TOR Exit Node Monitoring Übersicht
Learn how to monitor your enterprise for TOR exit node activity.
Zeit-bis-zum-Patch-Metriken: Ein Überlebenszeitanalyse-Ansatz mit Qualys und Elastic
In diesem Artikel beschreiben wir, wie wir mithilfe des Elastic Stack eine Überlebenszeitanalyse auf Daten zum Schwachstellenmanagement (VM) von Qualys VMDR angewendet haben.
MCP-Tools: Angriffsvektoren und Verteidigungsempfehlungen für autonome Agenten
Diese Forschung untersucht, wie Model Context Protocol (MCP)-Tools die Angriffsfläche für autonome Agenten erweitern, und beschreibt detailliert Exploit-Vektoren wie Tool Poisoning, Orchestration Injection und Rug-Pull-Neudefinitionen neben praktischen Verteidigungsstrategien.
Jetzt verfügbar: der 2025 State of Detection Engineering bei Elastic
Der 2025 State of Detection Engineering bei Elastic untersucht, wie wir unsere SIEM- und EDR-Regelsätze erstellen, pflegen und bewerten.
Linux Detection Engineering - Das große Finale zum Thema Linux-Persistenz
Am Ende dieser Serie werden Sie über ein fundiertes Wissen sowohl über gängige als auch seltene Linux-Persistenztechniken verfügen, und Sie werden verstehen, wie Sie Erkennungsmaßnahmen für gängige und fortgeschrittene Fähigkeiten von Angreifern effektiv entwickeln können.
Emulieren von AWS S3 SSE-C Ransom für die Erkennung von Bedrohungen
In diesem Artikel werden wir untersuchen, wie Bedrohungsakteure die Server-Side Encryption mit von Kunden bereitgestellten Schlüsseln (SSE-C) von Amazon S3 für Lösegeld- und Erpressungsoperationen nutzen.
WinVisor – Ein Hypervisor-basierter Emulator für Windows x64-Anwendungen im Benutzermodus
WinVisor ist ein Hypervisor-basierter Emulator für Windows-x64-Benutzermodusprogramme, der die Windows Hypervisor Platform API zur Bereitstellung einer virtualisierten Umgebung für die Protokollierung von Systemaufrufen und die Möglichkeit der Speicherintrospektion nutzt.
Streamlining Security: Integrating Amazon Bedrock with Elastic
Dieser Artikel führt Sie durch den Prozess der Einrichtung der Amazon Bedrock-Integration und der Aktivierung der vordefinierten Erkennungsregeln von Elastic, um Ihre Sicherheitsabläufe zu optimieren.
Verbessern Sie Ihr Threat Hunting mit Elastic
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
Sturm am Horizont: Einblicke in das AJCloud IoT-Ökosystem
WLAN-Kameras sind aufgrund ihrer Erschwinglichkeit und Bequemlichkeit beliebt, weisen aber oft Sicherheitslücken auf, die ausgenutzt werden können.
Kernel ETW ist das beste ETW
Diese Studie konzentriert sich auf die Bedeutung nativer Auditprotokolle in Secure-by-Design-Software und betont die Notwendigkeit, ETW-Logging auf Kernel-Ebene über Hooks im Benutzermodus durchzuführen, um den Manipulationsschutz zu verbessern.
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Linux Detection Engineering - Eine Fortsetzung von Persistenzmechanismen
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Schützen Sie Ihre Geräte vor Informationsdiebstahl
In diesem Artikel stellen wir die Keylogger- und Keylogging-Erkennungsfunktionen vor, die in diesem Jahr zu Elastic Defend hinzugefügt wurden (ab Version 8.12), das für den Endpunktschutz in Elastic Security verantwortlich ist.
Linux-Erkennungsentwicklung mit Auditd
In diesem Artikel erfahren Sie mehr über die Verwendung von Auditd und Auditd Manager für die Erkennungstechnik.
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
Aufdeckung von Trends im Malware-Verhalten
Eine Analyse eines vielfältigen Datensatzes von Windows-Malware, der aus mehr als 100.000 Samples extrahiert wurde, um Einblicke in die am weitesten verbreiteten Taktiken, Techniken und Verfahren zu erhalten.
Überwachen von Okta-Bedrohungen mit Elastic Security
Dieser Artikel führt die Leser durch die Einrichtung eines Okta-Labors zur Erkennung von Bedrohungen und betont, wie wichtig es ist, SaaS-Plattformen wie Okta zu sichern. Darin wird das Erstellen einer Laborumgebung mit dem Elastic Stack, die Integration von SIEM-Lösungen und Okta beschrieben.
STIXy Situationen: Entkommen Sie Ihren Bedrohungsdaten
Strukturierte Bedrohungsdaten werden in der Regel mit STIX formatiert. Um Ihnen dabei zu helfen, diese Daten in Elasticsearch zu übertragen, veröffentlichen wir ein Python-Skript, das STIX in ein ECS-Format konvertiert, das Sie in Ihren Stack einfügen können.
Starterleitfaden zum Verständnis von Okta
Dieser Artikel befasst sich mit der Architektur und den Diensten von Okta und legt eine solide Grundlage für die Bedrohungsforschung und das Detection Engineering. Unverzichtbare Lektüre für alle, die die Bedrohungssuche und -erkennung in Okta-Umgebungen beherrschen wollen.
Google Cloud für Cyber-Datenanalysen
In diesem Artikel wird erläutert, wie wir mit Google Cloud eine umfassende Datenanalyse von Cyberbedrohungen durchführen, von der Datenextraktion und -vorverarbeitung bis hin zur Trendanalyse und -darstellung. Es unterstreicht den Wert von BigQuery, Python und Google Sheets und zeigt, wie Daten für eine aufschlussreiche Cybersicherheitsanalyse verfeinert und visualisiert werden können.
Signalisierung von innen: Wie eBPF mit Signalen interagiert
In diesem Artikel wird die Semantik von UNIX-Signalen untersucht, wenn sie aus einem eBPF-Programm generiert werden.
Die Straffung von ES|QL-Abfrage und Regelvalidierung: Integration mit GitHub CI
ES|QL ist die neue Pipe-Abfragesprache von Elastic. Elastic Security Labs nutzt diese neue Funktion voll aus und führt Sie durch die Durchführung der Validierung von ES|QL-Regeln für die Detection Engine.
Verwenden von LLMs und ESRE zum Suchen ähnlicher Benutzersitzungen
In unserem letzten Artikel haben wir uns mit der Verwendung des GPT-4 Large Language Model (LLM) beschäftigt, um Linux-Benutzersitzungen zu verdichten. Im Rahmen desselben Experiments haben wir einige Zeit darauf verwendet, Sitzungen zu untersuchen, die Ähnlichkeiten aufweisen. Diese ähnlichen Sitzungen können den Analysten anschließend dabei helfen, verdächtige Aktivitäten zu identifizieren.
Hinter den Kulissen von Microsofts Plan, PPLFault zu töten
In dieser Forschungspublikation erfahren wir mehr über bevorstehende Verbesserungen des Windows-Subsystems für die Codeintegrität, die es Malware erschweren, Anti-Malware-Prozesse und andere wichtige Sicherheitsfunktionen zu manipulieren.
Vorhang lüften mit Aufrufstapeln
In diesem Artikel zeigen wir Ihnen, wie wir Regeln und Ereignisse kontextualisieren und wie Sie Aufruflisten nutzen können, um alle Warnungen, die in Ihrer Umgebung auftreten, besser zu verstehen.
Verwenden von LLMs zum Zusammenfassen von Benutzersitzungen
In dieser Veröffentlichung werden wir über die gewonnenen Erkenntnisse und die wichtigsten Erkenntnisse aus unseren Experimenten mit GPT-4 sprechen, um die Benutzersitzungen zusammenzufassen.
Vergessen Sie anfällige Treiber – Admin ist alles, was Sie brauchen
„Bring Your Own Vulnerable Driver“ (BYOVD) ist eine zunehmend beliebte Angriffstechnik, bei der ein Bedrohungsakteur zusammen mit seiner Malware einen bekanntermaßen anfälligen signierten Treiber mitbringt, ihn in den Kernel lädt und ihn dann ausnutzt, um innerhalb des Kernels eine Aktion auszuführen, die er andernfalls nicht durchführen könnte. BYOVD wird seit über einem Jahrzehnt von hochentwickelten Bedrohungsakteuren eingesetzt und kommt bei Ransomware und handelsüblicher Malware immer häufiger vor.
Den Einsatz erhöhen: Erkennen von In-Memory-Bedrohungen mit Kernel-Aufrufstapeln
Unser Ziel ist es, Angreifer zu übertreffen und Schutz vor den neuesten Angreifern zu bieten. Mit Elastic Security 8.8 haben wir neue Kernel-Call-Stack-basierte Erkennungen hinzugefügt, die uns eine verbesserte Wirksamkeit gegen In-Memory-Bedrohungen bieten.
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
Auspacken von ICEDID
ICEDID verpackt seine Nutzlast in benutzerdefinierten Dateiformaten und mit einem eigenen Verschlüsselungsschema. Wir veröffentlichen eine Reihe von Tools, die den Entpackungsprozess automatisieren und Analysten und der Community helfen, auf ICEDID zu reagieren.
Die Zukunft der Sicherheit mit ChatGPT
Kürzlich kündigte OpenAI APIs für Ingenieure an, um ChatGPT- und Whisper-Modelle in ihre Apps und Produkte zu integrieren. Eine Zeit lang konnten Ingenieure die REST-API-Aufrufe für ältere Modelle verwenden und ansonsten die ChatGPT-Schnittstelle über ihre Website verwenden.
Elastic Global Threat Report – Übersicht über die mehrteilige Serie
Jeden Monat analysiert das Team der Elastic Security Labs einen anderen Trend oder eine andere Korrelation aus dem Elastic Global Threat Report. Dieser Beitrag gibt einen Überblick über die einzelnen Publikationen.
Jagd nach verdächtigen Windows-Bibliotheken zur Umgehung von Ausführungs- und Verteidigungsmaßnahmen
Erfahren Sie mehr über das Erkennen von Bedrohungen durch das Durchsuchen von DLL-Ladeereignissen, eine Möglichkeit, das Vorhandensein von bekannter und unbekannter Schadsoftware in lauten Prozessereignisdaten aufzudecken.
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Identifizieren von Beaconing-Malware mit Elastic
In diesem Blog führen wir Benutzer durch die Identifizierung von Beaconing-Malware in ihrer Umgebung mithilfe unseres Beaconing-Identifizierungsframeworks.
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
Zusammenfassung der Sicherheitslücke: Follina, CVE-2022-30190
Elastic stellt eine neue Malware-Signatur bereit, um die Verwendung der Follina-Schwachstelle zu identifizieren. Erfahren Sie mehr in diesem Beitrag.
Der 2022 Global Threat Report von Elastic: Eine Roadmap für die Navigation in der wachsenden Bedrohungslandschaft von heute
Threat Intelligence-Ressourcen wie der 2022 Elastic Global Threat Report sind entscheidend, um Teams bei der Bewertung ihrer organisatorischen Transparenz, Fähigkeiten und Expertise bei der Identifizierung und Abwehr von Cybersicherheitsbedrohungen zu unterstützen.
Prognose und Empfehlungen: 2022 Elastic Global Threat Report
Mit der Veröffentlichung unseres ersten Global Threat Report bei Elastic sind Kunden, Partner und die gesamte Sicherheits-Community in der Lage, viele der Schwerpunktbereiche zu identifizieren, die unser Team in den letzten 12 Monaten hatte.
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
Holen Sie das Beste aus Transformatoren in Elastic heraus
In diesem Blog werden wir kurz darüber sprechen, wie wir ein Transformer-Modell, das für eine MLM-Aufgabe (Masked Language Modeling) gedacht ist, fein abgestimmt haben, um es für eine Klassifizierungsaufgabe geeignet zu machen.
Adversary Tradecraft 101: Auf der Jagd nach Persistenz mit Elastic Security (Teil 2)
Erfahren Sie, wie Elastic Endpoint Security und Elastic SIEM verwendet werden können, um bösartige Persistenztechniken in großem Umfang zu suchen und zu erkennen.
Jagd in Erinnerung
Threat Hunters haben die schwierige Aufgabe, riesige Quellen unterschiedlicher Daten zu durchsuchen, um gegnerische Aktivitäten in jeder Phase des Angriffs zu lokalisieren.
Nimbuspwn: Nutzung von Schwachstellen, um Linux per Privilege Escalation auszunutzen
Das Microsoft 365 Defender-Team hat einen Beitrag veröffentlicht, in dem mehrere identifizierte Schwachstellen aufgeführt sind. Diese Schwachstellen ermöglichen es gegnerischen Gruppen, Berechtigungen auf Linux-Systemen zu erweitern, was die Bereitstellung von Payloads, Ransomware oder anderen Angriffen ermöglicht.
Okta-Transparenz und Erkennung mit Dorothy und Elastic Security testen
Dorothy ist ein Tool, mit dem Sicherheitsteams die Transparenz- und Erkennungsfunktionen für ihre Okta-Umgebung testen können. IAM-Lösungen werden oft unzureichend überwacht, obwohl sie ein häufiges Ziel für Angreifer sind. In diesem Blogeintrag möchte ich Ihnen Dorothy vorstellen.
Offensive Tools nutzen: Erstellen von Erkennungen gegen Koadic mithilfe von EQL
Finden Sie neue Wege, um Verhaltenserkennungen für Post-Exploitation-Frameworks wie Koadic mithilfe der Event Query Language (EQL) zu erstellen.
Adversary tradecraft 101: Auf der Jagd nach Persistenz mit Elastic Security (Teil 1)
Erfahren Sie, wie Elastic Endpoint Security und Elastic SIEM verwendet werden können, um bösartige Persistenztechniken in großem Umfang zu suchen und zu erkennen.
Praktisches Security Engineering: Stateful Detection
Durch die Formalisierung der zustandsbehafteten Erkennung in Ihren Regeln sowie in Ihrem Engineering-Prozess erhöhen Sie die Erkennungsabdeckung für zukünftige und vergangene Übereinstimmungen. In diesem Blogbeitrag erfahren Sie, warum die zustandsbehaftete Erkennung ein wichtiges Konzept ist, das implementiert werden muss.
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.