Detection Engineering

Tomando SHELLTER: un marco de evasión comercial abusado en la práctica

Elastic Security Labs detectó la reciente aparición de ladrones de información que emplean una versión adquirida ilícitamente del marco de evasión comercial SHELLTER para implementar cargas útiles posteriores a la explotación.

Suplantación de identidad (phishing) y detecciones de Microsoft Entra ID OAuth

Este artículo explora el phishing de OAuth y el abuso basado en tokens en Microsoft Entra ID. A través de la emulación y el análisis de tokens, alcance y comportamiento del dispositivo durante la actividad de inicio de sesión, descubrimos señales de alta fidelidad que los defensores pueden usar para detectar y buscar el uso indebido de OAuth.

Modalidades de mal comportamiento: detección de herramientas, no de técnicas

Exploramos el concepto de modalidad de ejecución y cómo las detecciones centradas en la modalidad pueden complementar las centradas en el comportamiento.

Bit ByBit: emulación del mayor robo de criptomonedas de la RPDC

Una emulación de alta fidelidad del mayor robo de criptomonedas de la RPDC a través de un desarrollador de macOS comprometido y cambios en AWS.

Ya disponible: el 2025 Estado de la ingeniería de detección en Elastic

El estado 2025 de la ingeniería de detección en Elastic explora cómo creamos, mantenemos y evaluamos nuestros conjuntos de reglas SIEM y EDR.

Abuso de AWS SNS: exfiltración de datos y phishing

Durante una reciente colaboración interna, investigamos intentos de abuso de redes sociales conocidos públicamente y nuestro conocimiento de la fuente de datos para desarrollar capacidades de detección.

Detección de keyloggers basados en teclas de acceso rápido usando una estructura de datos del kernel no documentada

En este artículo, exploramos qué son los keyloggers basados en teclas de acceso rápido y cómo detectarlos. Específicamente, explicamos cómo estos keyloggers interceptan las pulsaciones de teclas y, luego, presentamos una técnica de detección que aprovecha una tabla de teclas de acceso rápido no documentada en el espacio del kernel.

Ingeniería de detección de Linux: la gran final de la persistencia en Linux

Al final de esta serie, tendrás un conocimiento sólido de las técnicas de persistencia de Linux, tanto comunes como raras, y comprenderás cómo diseñar detecciones de manera efectiva para las capacidades de adversarios comunes y avanzadas.

Emulación de AWS S3 SSE-C Ransom para la detección de amenazas

En este artículo, vamos a analizar cómo los actores de amenazas usan el cifrado del lado del servidor de Amazon S3 con claves proporcionadas por el cliente (SSE-C) para operaciones de rescate/extorsión.

Ingeniería de detección en Linux: nos acercamos a la cúspide de los mecanismos de persistencia

Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

Anunciamos el Programa de Recompensas de Elastic para la Protección de Reglas de Comportamiento

Elastic está lanzando una expansión de su programa de recompensas de seguridad; para eso, invita a los investigadores a probar sus reglas de SIEM y EDR para técnicas de evasión, comenzando con los endpoints de Windows. Esta iniciativa fortalece la colaboración con la comunidad de seguridad, ya que garantiza que las defensas de Elastic se mantienen sólidas frente a las amenazas en evolución.

Ingeniería de detección en Linux: una continuación sobre los mecanismos de persistencia

This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.

Detonating Beacons to Illuminate Detection Gaps

Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.

Exploring AWS STS AssumeRoot

Explora AWS STS AssumeRoot, sus riesgos, estrategias de detección y escenarios prácticos para protegerte contra la escalada de privilegios y el riesgo en las cuentas utilizando los datos de SIEM y CloudTrail de Elastic.

Streamlining Security: Integrating Amazon Bedrock with Elastic

Este artículo te guiará a través del proceso de configuración de la integración de Amazon Bedrock y habilitará las reglas de detección prediseñadas de Elastic para optimizar tus operaciones de seguridad.

Eleva tu búsqueda de amenazas con Elastic

Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.

Desbordamiento: cuando tu impresora derrama más que tinta

Elastic Security Labs analiza las estrategias de detección y mitigación de vulnerabilidades en el sistema de impresión CUPS, que permiten a los atacantes no autenticados explotar el sistema a través de IPP y mDNS, lo que resulta en la ejecución remota de código (RCE) en sistemas basados en UNIX, como Linux, macOS, BSDs, ChromeOS y Solaris.

Elastic releases the Detection Engineering Behavior Maturity Model

Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..

Ingeniería de detección de Linux: una secuela sobre mecanismos de persistencia

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

Proteger sus dispositivos contra el robo de información

En este artículo, presentaremos las características de keylogger y detección de keylogging agregadas este año a Elastic Defend (a partir de la versión 8.12), que es responsable de la protección de endpoints en Elastic Security.

Elastic hace progresar la seguridad de LLM con campos e integraciones estandarizados

Descubre los últimos avances de Elastic en seguridad de LLM, centrados en integraciones de campo estandarizadas y capacidades de detección mejoradas. Descubre cómo la adopción de estos estándares puede proteger tus sistemas.

Incorporación de la seguridad en flujos de trabajo de LLM: el enfoque proactivo de Elastic

Sumérgete en la exploración de Elastic sobre la incorporación de seguridad directamente en los modelos de lenguaje grandes (LLM). Descubre nuestras estrategias para detectar y mitigar varias de las principales vulnerabilidades de OWASP en aplicaciones de LLM, lo que garantiza aplicaciones impulsadas por IA más seguras y protegidas.

Ingeniería de detección de Linux con Auditd

En este artículo, obtenga más información sobre el uso de Auditd y Auditd Manager para la ingeniería de detección.

In-the-Wild Windows LPE 0-days: Insights & Detection Strategies

This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.

Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities

Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.

Revelando las tendencias del comportamiento del malware

Un análisis de un conjunto de datos diverso de malware para Windows extraído de más de 100.000 muestras que revela información sobre las tácticas, técnicas y procedimientos más frecuentes.

Monitoreo de amenazas de Okta con Elastic Security

Este artículo guía a los lectores a través del establecimiento de un laboratorio de detección de amenazas de Okta, enfatizando la importancia de proteger las plataformas SaaS como Okta. Detalla la creación de un entorno de laboratorio con el Elastic Stack, la integración de soluciones SIEM y Okta.

Ransomware en el honeypot: cómo capturamos las claves con archivos canary pegajosos

En este artículo, se describe el proceso de captura de claves de cifrado del ransomware mediante la protección contra ransomware de Elastic Defender.

Guía de inicio para entender Okta

Este artículo profundiza en la arquitectura y los servicios de Okta, sentando una base estable para la investigación de amenazas y la ingeniería de detección. Lectura esencial para aquellos que buscan dominar la caza y detección de amenazas en entornos Okta.

Duplicación: Detección de amenazas en memoria con pilas de llamadas ETW del kernel

Con Elastic Security 8.11, agregamos más detecciones basadas en la pila de llamadas de telemetría del kernel para aumentar la eficacia contra las amenazas en memoria.

Google Cloud para el análisis de datos cibernéticos

En este artículo, se explica cómo llevamos a cabo un análisis exhaustivo de datos sobre amenazas cibernéticas con Google Cloud, desde la extracción y el preprocesamiento de datos hasta el análisis y la presentación de tendencias. Enfatiza el valor de BigQuery, Python y Google Sheets, mostrando cómo refinar y visualizar datos para un análisis de ciberseguridad perspicaz.

Señalización desde dentro: cómo interactúa eBPF con las señales

Este artículo explora algunas de las semánticas de las señales UNIX cuando se generan a partir de un programa eBPF.

Optimización de ES|Validación de reglas y consultas de QL: Integración con GitHub CI

ES|QL es el nuevo lenguaje de consultas canalizadas de Elastic. Aprovechando al máximo esta nueva característica, Elastic Security Labs explica cómo ejecutar la validación de ES|Reglas de QL para el motor de detección.

Acelerar el proceso de detección de Elastic con los LLM

Obtén más información sobre cómo Elastic Security Labs se ha enfocado en acelerar nuestros flujos de trabajo de ingeniería de detección al aprovechar más capacidades de la IA generativa.

Uso de LLM y ESRE para encontrar sesiones de usuario similares

En nuestro artículo anterior, analizamos el uso del modelo de lenguaje grande (LLM) de GPT-4 para condensar las sesiones de usuario de Linux. En el contexto del mismo experimento, dedicamos un tiempo a examinar las sesiones que compartían similitudes. Posteriormente, estas sesiones similares pueden ayudar a los analistas a identificar actividades sospechosas relacionadas.

Descorrer la cortina con pilas de llamadas

En este artículo, le mostraremos cómo contextualizamos las reglas y los eventos, y cómo puede aprovechar las pilas de llamadas para comprender mejor las alertas que encuentre en su entorno.

Uso de LLM para resumir sesiones de usuario

En esta publicación, hablaremos sobre las lecciones aprendidas y los puntos clave de nuestros experimentos con GPT-4 para resumir las sesiones de usuario.

Entre la maleza: cómo ejecutamos Detonate

Analiza la implementación técnica del sistema Detonate, incluida la creación de sandbox, la tecnología de soporte, la recopilación de telemetría y cómo hacer explotar cosas.

Subiendo la apuesta: Detección de amenazas en memoria con pilas de llamadas del kernel

Nuestro objetivo es superar en innovación a los adversarios y mantener las protecciones contra la vanguardia de los atacantes. Con Elastic Security 8.8, agregamos nuevas detecciones basadas en la pila de llamadas del kernel que nos brindan una eficacia mejorada contra las amenazas en memoria.

Detecta la actividad del algoritmo de generación de dominios (DGA) con la nueva integración de Kibana

Agregamos un paquete de detección de DGA a la aplicación Integraciones en Kibana. Con un solo clic, puede instalar y empezar a usar el modelo DGA y los activos asociados, incluidas las configuraciones de canalización de ingesta, los trabajos de detección de anomalías y las reglas de detección.

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

Clic, clic... ¡bum! Automatizar las pruebas de protección con Detonate

Para automatizar este proceso y probar nuestras protecciones a escala, creamos Detonate, un sistema que usan los ingenieros de investigación de seguridad para medir la eficacia de nuestra solución Elastic Security de manera automatizada.

Búsqueda de bibliotecas de Windows sospechosas para la ejecución y la evasión de la defensa

Obtenga más información sobre cómo detectar amenazas mediante la búsqueda de eventos de carga de DLL, una forma de revelar la presencia de malware conocido y desconocido en datos de eventos de proceso ruidosos.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

Detección de ataques Living-of-the-land con nueva Integración Elástica

Agregamos un paquete de detección de vida de la tierra (LotL) a la aplicación Integraciones en Kibana. Con un solo clic, puede instalar y comenzar a usar el modelo ProblemChild y los activos asociados, incluidas las configuraciones de detección de anomalías y las reglas de detección.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Identificación de malware de balizas con Elastic

En este blog, guiamos a los usuarios a través de la identificación de malware de balizas en su entorno empleando nuestro marco de identificación de balizas.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.

Google Workspace Attack Surface

During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.

Google Workspace Attack Surface

During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.

Get-InjectedThreadEx: detección de trampolines de creación de subprocesos

En este blog, demostraremos cómo detectar cada una de las cuatro clases de trampolín de procesos y lanzar un script de detección de PowerShell actualizado: Get-InjectedThreadEx

Análisis de la vulnerabilidad Log4Shell y CVE-2021-45046

En esta publicación, cubrimos los próximos pasos que el equipo de Elastic Security está tomando para que los usuarios continúen proteger contra CVE-2021-44228 o Log4Shell.

Security operations: Cloud monitoring and detection with Elastic Security

As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.

Resumen de la evaluación de KNOTWEED

KNOTWEED despliega el software espía Subzero mediante el uso de exploits de día 0 para Adobe Reader y el sistema operativo Windows. Una vez que se obtiene el acceso inicial, emplea diferentes secciones de Subzero para mantener la persistencia y realizar acciones en el host.

Detección de explotación de CVE-2021-44228 (Log4j2) con Elastic Security

En esta entrada de blog, se proporciona un resumen de CVE-2021-44228 y se proporcionan a los usuarios de Elastic Security detecciones para encontrar la explotación activa de la vulnerabilidad en su entorno. Se proporcionarán más actualizaciones a esta publicación a medida que aprendamos más.

Reglas de detección para vulnerabilidades SIGRed

La vulnerabilidad SIGRed afecta a todos los sistemas que aprovechan el servicio de servidor DNS de Windows (Windows 2003+). Para defender tu entorno, te recomendamos implementar la lógica de detección incluida en esta entrada de blog empleando tecnología como Elastic Security.

Respuesta de Elastic a la vulnerabilidad de Spring4Shell (CVE-2022-22965)

Proporcione detalles de nivel ejecutivo sobre CVE-2022-22965, una vulnerabilidad de ejecución remota de código (RCE) recientemente revelada, también conocida como "Spring4Shell".

Handy Elastic Tools for the Enthusiastic Detection Engineer

Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.

Detección y respuesta a tuberías sucias con Elastic

Elastic Security está lanzando lógica de detección para el exploit Dirty Pipe.

Oficio adversario 101: A la caza de la persistencia con Elastic Security (Parte 2)

Descubre cómo se pueden usar Elastic Endpoint Security y Elastic SIEM para buscar y detectar técnicas de persistencia maliciosas a escala.

A la caza de ataques de .NET en memoria

Como seguimiento a mi presentación en DerbyCon, esta publicación investigará una tendencia emergente de adversarios que usan . Técnicas en memoria basadas en NET para evadir la detección

Caza en la memoria

Los cazadores de amenazas se encargan de la difícil tarea de examinar vastas fuentes de datos diversos para identificar la actividad de los adversarios en cualquier etapa del ataque.

Nimbuspwn: Aprovechando las vulnerabilidades para explotar Linux a través de la escalada de privilegios

El equipo de Microsoft 365 Defender publicó una publicación en la que se detallan varias vulnerabilidades identificadas. Estas vulnerabilidades permiten a los grupos adversarios aumentar los privilegios en los sistemas Linux, lo que permite el despliegue de cargas útiles, ransomware u otros ataques.

Prueba la visibilidad y detección de Okta con Dorothy y Elastic Security

Dorothy es una herramienta para que los equipos de seguridad prueben sus capacidades de visibilidad y detección para su entorno Okta. Las soluciones de IAM suelen ser el objetivo de los adversarios, pero están mal monitorear. Aprenda cómo comenzar con Dorothy en esta publicación.

Adopción de herramientas ofensivas: creación de detecciones contra Koadic mediante EQL

Encuentre nuevas formas de crear detecciones de comportamiento en marcos posteriores a la explotación, como Koadic, mediante el lenguaje de consulta de eventos (EQL).

Oficio adversario 101: A la caza de la persistencia con Elastic Security (Parte 1)

Descubre cómo se pueden usar Elastic Endpoint Security y Elastic SIEM para buscar y detectar técnicas de persistencia maliciosas a escala.

Ingeniería de seguridad práctica: Detección con estado

Al formalizar la detección con estado en las reglas, así como en el proceso de ingeniería, aumenta la cobertura de detección en coincidencias futuras y pasadas. En esta entrada de blog, aprenderá por qué la detección con estado es un concepto importante que se debe implementar.

Elastic Security opens public detection rules repo

Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.