Categoría
Habilitación
5 de diciembre de 2025
Automating detection tuning requests with Kibana cases
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
Descripción general del monitoreo del nodo de salida de TOR
Learn how to monitor your enterprise for TOR exit node activity.
Métricas de tiempo hasta parches: un enfoque de análisis de supervivencia con Qualys y Elastic
En este artículo, describimos cómo aplicamos el análisis de supervivencia a los datos de gestión de vulnerabilidades (VM) de Qualys VMDR, empleando el Elastic Stack.
Herramientas MCP: vectores de ataque y recomendaciones de defensa para agentes autónomos
Esta investigación examina cómo las herramientas de Model Context Protocol (MCP) amplían la superficie de ataque para los agentes autónomos, detallando vectores de explotación como el envenenamiento de herramientas, la inyección de orquestación y las redefiniciones junto con estrategias prácticas de defensa.
Ya disponible: el 2025 Estado de la ingeniería de detección en Elastic
El estado 2025 de la ingeniería de detección en Elastic explora cómo creamos, mantenemos y evaluamos nuestros conjuntos de reglas SIEM y EDR.
Ingeniería de detección de Linux: la gran final de la persistencia en Linux
Al final de esta serie, tendrás un conocimiento sólido de las técnicas de persistencia de Linux, tanto comunes como raras, y comprenderás cómo diseñar detecciones de manera efectiva para las capacidades de adversarios comunes y avanzadas.
Emulación de AWS S3 SSE-C Ransom para la detección de amenazas
En este artículo, vamos a analizar cómo los actores de amenazas usan el cifrado del lado del servidor de Amazon S3 con claves proporcionadas por el cliente (SSE-C) para operaciones de rescate/extorsión.
WinVisor: un emulador basado en hipervisor para ejecutables en modo usuario de Windows x64
WinVisor es un emulador basado en hipervisor para ejecutables en modo de usuario de Windows x64 que utiliza la API de la Plataforma de Hipervisor de Windows para ofrecer un entorno virtualizado que permite hacer el logging de llamadas al sistema y realizar una introspección de memoria.
Streamlining Security: Integrating Amazon Bedrock with Elastic
Este artículo te guiará a través del proceso de configuración de la integración de Amazon Bedrock y habilitará las reglas de detección prediseñadas de Elastic para optimizar tus operaciones de seguridad.
Eleva tu búsqueda de amenazas con Elastic
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
Tormenta en el horizonte: dentro del ecosistema IoT de AJCloud
Las cámaras Wi-Fi son populares debido a su precio accesible y conveniencia, pero muchas veces tienen vulnerabilidades de seguridad que pueden ser explotadas.
Kernel ETW es el mejor ETW
Esta investigación se centra en la importancia de los logs de auditoría nativos en el software seguro por diseño, lo que enfatiza la necesidad de contar con un log ETW a nivel de kernel sobre los ganchos en modo de usuario para mejorar las protecciones antimanipulación.
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Ingeniería de detección de Linux: una secuela sobre mecanismos de persistencia
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Proteger sus dispositivos contra el robo de información
En este artículo, presentaremos las características de keylogger y detección de keylogging agregadas este año a Elastic Defend (a partir de la versión 8.12), que es responsable de la protección de endpoints en Elastic Security.
Ingeniería de detección de Linux con Auditd
En este artículo, obtenga más información sobre el uso de Auditd y Auditd Manager para la ingeniería de detección.
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
Revelando las tendencias del comportamiento del malware
Un análisis de un conjunto de datos diverso de malware para Windows extraído de más de 100.000 muestras que revela información sobre las tácticas, técnicas y procedimientos más frecuentes.
Monitoreo de amenazas de Okta con Elastic Security
Este artículo guía a los lectores a través del establecimiento de un laboratorio de detección de amenazas de Okta, enfatizando la importancia de proteger las plataformas SaaS como Okta. Detalla la creación de un entorno de laboratorio con el Elastic Stack, la integración de soluciones SIEM y Okta.
Situaciones de STIX: Hacer ECScapar tus datos de amenazas
Los datos estructurados de amenazas se suelen formatear con STIX. Para poder obtener estos datos en Elasticsearch, lanzamos un script de Python que convierte STIX a un formato ECS para que se ingiera en tu pila.
Guía de inicio para entender Okta
Este artículo profundiza en la arquitectura y los servicios de Okta, sentando una base estable para la investigación de amenazas y la ingeniería de detección. Lectura esencial para aquellos que buscan dominar la caza y detección de amenazas en entornos Okta.
Google Cloud para el análisis de datos cibernéticos
En este artículo, se explica cómo llevamos a cabo un análisis exhaustivo de datos sobre amenazas cibernéticas con Google Cloud, desde la extracción y el preprocesamiento de datos hasta el análisis y la presentación de tendencias. Enfatiza el valor de BigQuery, Python y Google Sheets, mostrando cómo refinar y visualizar datos para un análisis de ciberseguridad perspicaz.
Señalización desde dentro: cómo interactúa eBPF con las señales
Este artículo explora algunas de las semánticas de las señales UNIX cuando se generan a partir de un programa eBPF.
Optimización de ES|Validación de reglas y consultas de QL: Integración con GitHub CI
ES|QL es el nuevo lenguaje de consultas canalizadas de Elastic. Aprovechando al máximo esta nueva característica, Elastic Security Labs explica cómo ejecutar la validación de ES|Reglas de QL para el motor de detección.
Uso de LLM y ESRE para encontrar sesiones de usuario similares
En nuestro artículo anterior, analizamos el uso del modelo de lenguaje grande (LLM) de GPT-4 para condensar las sesiones de usuario de Linux. En el contexto del mismo experimento, dedicamos un tiempo a examinar las sesiones que compartían similitudes. Posteriormente, estas sesiones similares pueden ayudar a los analistas a identificar actividades sospechosas relacionadas.
Dentro del plan de Microsoft para acabar con PPLFault
En esta publicación de investigación, aprenderemos sobre las próximas mejoras en el subsistema de integridad del código de Windows que dificultarán que el malware manipule los procesos antimalware y otras características de seguridad importantes.
Descorrer la cortina con pilas de llamadas
En este artículo, le mostraremos cómo contextualizamos las reglas y los eventos, y cómo puede aprovechar las pilas de llamadas para comprender mejor las alertas que encuentre en su entorno.
Uso de LLM para resumir sesiones de usuario
En esta publicación, hablaremos sobre las lecciones aprendidas y los puntos clave de nuestros experimentos con GPT-4 para resumir las sesiones de usuario.
Olvídate de los controladores vulnerables, solo necesitas derechos de administrador
Bring Your Own Vulnerable Driver (BYOVD) es una técnica de ataque cada vez más popular en la que un agente de amenazas lleva un controlador firmado vulnerable conocido junto con su malware, lo carga en el kernel y luego lo explota para realizar alguna acción dentro del kernel que, de otro modo, no podría hacer. Empleado por actores de amenazas avanzados durante más de una década, BYOVD se está volviendo cada vez más común en ransomware y malware básico.
Subiendo la apuesta: Detección de amenazas en memoria con pilas de llamadas del kernel
Nuestro objetivo es superar en innovación a los adversarios y mantener las protecciones contra la vanguardia de los atacantes. Con Elastic Security 8.8, agregamos nuevas detecciones basadas en la pila de llamadas del kernel que nos brindan una eficacia mejorada contra las amenazas en memoria.
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
Desempacar ICEDID
ICEDID es conocido por empaquetar sus cargas útiles empleando formatos de archivo personalizados y un esquema de cifrado personalizado. Estamos lanzando un conjunto de herramientas para automatizar el proceso de desempaquetado y ayudar a los analistas y a la comunidad a responder a ICEDID.
Explorando el futuro de la seguridad con ChatGPT
Recientemente, OpenAI anunció API para que los ingenieros integren los modelos de ChatGPT y Whisper en sus aplicaciones y productos. Durante algún tiempo, los ingenieros podían usar las llamadas a la API REST para modelos más antiguos y, de lo contrario, usar la interfaz de ChatGPT a través de su sitio web.
Descripción general del serial multiparte de Elastic Global Threat Report
Cada mes, el equipo de Elastic Security Labs analiza una tendencia o correlación diferente del Reporte Global de Amenazas de Elastic. Esta publicación proporciona una descripción general de esas publicaciones individuales.
Búsqueda de bibliotecas de Windows sospechosas para la ejecución y la evasión de la defensa
Obtenga más información sobre cómo detectar amenazas mediante la búsqueda de eventos de carga de DLL, una forma de revelar la presencia de malware conocido y desconocido en datos de eventos de proceso ruidosos.
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Identificación de malware de balizas con Elastic
En este blog, guiamos a los usuarios a través de la identificación de malware de balizas en su entorno empleando nuestro marco de identificación de balizas.
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
Resumen de vulnerabilidad: Follina, CVE-2022-30190
Elastic está desplegando una nueva firma de malware para identificar el uso de la vulnerabilidad Follina. Obtenga más información en esta publicación.
Reporte de 2022 Amenazas Globales de Elastic: Una hoja de ruta para navegar por el creciente panorama de amenazas actual
Los recursos de inteligencia de amenazas, como el Reporte de Amenazas Global de 2022 Elastic, son fundamentales para ayudar a los equipos a evaluar la visibilidad, las capacidades y la experiencia de su organización para identificar y prevenir amenazas de ciberseguridad.
Pronóstico y recomendaciones: Reporte de amenazas globales de 2022 Elastic
Con el lanzamiento de nuestro primer Reporte de Amenazas Globales en Elastic, los clientes, socios y la comunidad de seguridad en general pueden identificar muchas de las áreas de enfoque que nuestro equipo tuvo en los últimos 12 meses.
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
Cómo aprovechar al máximo los transformadores en Elastic
En este blog, hablaremos brevemente sobre cómo ajustamos un modelo de transformador destinado a una tarea de modelado de lenguaje enmascarado (MLM), para que sea adecuado para una tarea de clasificación.
Oficio adversario 101: A la caza de la persistencia con Elastic Security (Parte 2)
Descubre cómo se pueden usar Elastic Endpoint Security y Elastic SIEM para buscar y detectar técnicas de persistencia maliciosas a escala.
Caza en la memoria
Los cazadores de amenazas se encargan de la difícil tarea de examinar vastas fuentes de datos diversos para identificar la actividad de los adversarios en cualquier etapa del ataque.
Nimbuspwn: Aprovechando las vulnerabilidades para explotar Linux a través de la escalada de privilegios
El equipo de Microsoft 365 Defender publicó una publicación en la que se detallan varias vulnerabilidades identificadas. Estas vulnerabilidades permiten a los grupos adversarios aumentar los privilegios en los sistemas Linux, lo que permite el despliegue de cargas útiles, ransomware u otros ataques.
Prueba la visibilidad y detección de Okta con Dorothy y Elastic Security
Dorothy es una herramienta para que los equipos de seguridad prueben sus capacidades de visibilidad y detección para su entorno Okta. Las soluciones de IAM suelen ser el objetivo de los adversarios, pero están mal monitorear. Aprenda cómo comenzar con Dorothy en esta publicación.
Adopción de herramientas ofensivas: creación de detecciones contra Koadic mediante EQL
Encuentre nuevas formas de crear detecciones de comportamiento en marcos posteriores a la explotación, como Koadic, mediante el lenguaje de consulta de eventos (EQL).
Oficio adversario 101: A la caza de la persistencia con Elastic Security (Parte 1)
Descubre cómo se pueden usar Elastic Endpoint Security y Elastic SIEM para buscar y detectar técnicas de persistencia maliciosas a escala.
Ingeniería de seguridad práctica: Detección con estado
Al formalizar la detección con estado en las reglas, así como en el proceso de ingeniería, aumenta la cobertura de detección en coincidencias futuras y pasadas. En esta entrada de blog, aprenderá por qué la detección con estado es un concepto importante que se debe implementar.
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.