Detection Engineering

S'abriter : un cadre d'évasion commerciale utilisé de manière abusive dans la nature

Elastic Security Labs a détecté l'émergence récente de voleurs d'informations utilisant une version illicite du cadre d'évasion commercial, SHELLTER, pour déployer des charges utiles post-exploitation.

Microsoft Entra ID OAuth Phishing et détections

Cet article explore le phishing OAuth et les abus basés sur les jetons dans Microsoft Entra ID. Grâce à l'émulation et à l'analyse des jetons, de la portée et du comportement de l'appareil pendant l'activité de connexion, nous faisons apparaître des signaux de haute fidélité que les défenseurs peuvent utiliser pour détecter et traquer les abus d'OAuth.

Des modalités qui se comportent mal : Détecter des outils et non des techniques

Nous explorons le concept de modalité d'exécution et la manière dont les détections axées sur la modalité peuvent compléter celles axées sur le comportement.

Bit ByBit - émulation du plus grand vol de crypto-monnaie de la RPDC

Une émulation haute-fidélité du plus grand vol de crypto-monnaie de la RPDC via un développeur macOS compromis et des pivots AWS.

Maintenant disponible : 2025 L'état de l'ingénierie de détection à Elastic

Le site 2025 State of Detection Engineering at Elastic explore la manière dont nous créons, maintenons et évaluons nos ensembles de règles SIEM et EDR.

Abus d'AWS SNS : Exfiltration de données et hameçonnage

Au cours d'une récente collaboration interne, nous nous sommes penchés sur les tentatives d'abus des SRS connues du public et sur notre connaissance de la source de données afin de développer des capacités de détection.

Détection des keyloggers basés sur des raccourcis clavier à l'aide d'une structure de données du noyau non documentée

Dans cet article, nous examinons ce que sont les keyloggers basés sur des raccourcis clavier et comment les identifier. Plus précisément, nous expliquons comment ces keyloggers interceptent les frappes, puis nous présentons une technique de détection qui exploite une table de raccourcis clavier non documentée dans l'espace du noyau.

Ingénierie de détection Linux - La grande finale sur la persistance Linux

À la fin de cette série, vous aurez une connaissance approfondie des techniques de persistance de Linux, qu'elles soient courantes ou rares, et vous saurez comment concevoir des détections efficaces pour les capacités courantes et avancées des utilisateurs malveillants.

Emulation du rançongiciel AWS S3 SSE-C pour la détection des menaces

Dans cet article, nous allons explorer comment les utilisateurs malveillants exploitent le chiffrement côté serveur d'Amazon S3 avec des clés fournies par le client (SSE-C) pour des opérations de demande de rançon ou d'extorsion.

Ingénierie de détection Linux - Approche du sommet sur les mécanismes de persistance

Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

Annonce du programme de récompense Elastic pour les protections des règles de comportement

Elastic lance une extension de son programme de récompenses de sécurité, invitant les chercheurs à tester ses règles SIEM et EDR pour des techniques d'évasion et de contournement, en commençant par les points de terminaison Windows. Cette initiative renforce la collaboration avec la communauté de la sécurité, garantissant que les défenses d’Elastic restent robustes face à l’évolution des menaces.

Ingénierie de détection Linux - Une continuation sur les mécanismes de persistance

This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.

Detonating Beacons to Illuminate Detection Gaps

Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.

Exploring AWS STS AssumeRoot

Explorez AWS STS AssumeRoot, ses risques, ses stratégies de détection et des scénarios pratiques pour sécuriser contre l'escalade des privilèges et la compromission des comptes en utilisant les données SIEM et CloudTrail d'Elastic.

Streamlining Security: Integrating Amazon Bedrock with Elastic

Cet article vous guidera tout au long du processus de configuration de l'intégration Amazon Bedrock et de l'activation des règles de détection prédéfinies d'Elastic afin de rationaliser vos opérations de sécurité.

Optimisez votre recherche des menaces avec Elastic

Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.

Débordement d'overflow : lorsque votre imprimante renverse plus que de l'encre

Elastic Security Labs présente des stratégies de détection et d'atténuation des vulnérabilités du système d'impression CUPS, qui permettent à des attaquants non authentifiés d'exploiter le système via IPP et mDNS, ce qui entraîne l'exécution de code à distance (RCE) sur les systèmes basés sur UNIX tels que Linux, macOS, BSD, ChromeOS et Solaris.

Elastic releases the Detection Engineering Behavior Maturity Model

Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..

Ingénierie de détection Linux - Une suite sur les mécanismes de persistance

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

Protéger vos appareils contre le vol d'informations

Dans cet article, nous vous présentons les fonctionnalités de détection des enregistreurs de frappe et des enregistreurs de frappe ajoutées cette année à Elastic Defend (à partir de la version 8.12), qui est responsable de la protection des points d'extrémité dans Elastic Security.

Elastic améliore la sécurité du LLM avec des champs et des intégrations standardisés

Découvrez les dernières avancées d'Elastic en matière de sécurité LLM, en vous concentrant sur les intégrations de champs standardisés et les capacités de détection améliorées. Découvrez comment l'adoption de ces normes peut protéger vos systèmes.

Intégrer la sécurité aux workflow LLM : l'approche proactive d'Elastic

Découvrez comment Elastic a intégré la sécurité directement dans les Large Language Models (LLM). Découvrez nos stratégies de détection et d'atténuation de plusieurs des principales vulnérabilités OWASP dans les applications LLM, afin de garantir des applications pilotées par l'IA plus sûres et plus sécurisées.

Ingénierie de détection Linux avec Auditd

Dans cet article, vous apprendrez à utiliser Auditd et Auditd Manager pour l'ingénierie de détection.

In-the-Wild Windows LPE 0-days: Insights & Detection Strategies

This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.

Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities

Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.

Dévoiler les tendances du comportement des logiciels malveillants

Une analyse d'un ensemble de données diverses de logiciels malveillants pour Windows extraites de plus de 100 000 échantillons, révélant des informations sur les tactiques, techniques et procédures les plus répandues.

Surveillance des menaces Okta avec Elastic Security

Cet article guide les lecteurs dans la mise en place d'un laboratoire de détection des menaces Okta, en soulignant l'importance de sécuriser les plateformes SaaS comme Okta. Il détaille la création d'un environnement de laboratoire avec Elastic Stack, l'intégration de solutions SIEM et Okta.

Ransomware dans le pot de miel : comment capturer les clés avec des fichiers canaris collants

Cet article décrit le processus de capture des clés de chiffrement des ransomwares à l'aide de la protection Elastic Defend contre les ransomwares.

Guide de démarrage pour comprendre Okta

Cet article se penche sur l'architecture et les services d'Okta, posant ainsi des bases solides pour la recherche sur les menaces et l'ingénierie de détection. Une lecture essentielle pour ceux qui souhaitent maîtriser la chasse et la détection des menaces dans les environnements Okta.

Doubler la mise : détecter les menaces en mémoire avec les piles d'appels ETW du noyau

Avec Elastic Security 8.11, nous avons ajouté d'autres détections basées sur la pile d'appels télémétriques du noyau afin d'accroître l'efficacité contre les menaces en mémoire.

Google Cloud pour l'analyse des cyberdonnées

Cet article explique comment nous effectuons une analyse complète des données sur les cybermenaces à l'aide de Google Cloud, depuis l'extraction et le prétraitement des données jusqu'à l'analyse des tendances et la présentation. Il met l'accent sur la valeur de BigQuery, Python et Google Sheets - en montrant comment affiner et visualiser les données pour une analyse perspicace de la cybersécurité.

Signalisation de l'intérieur : comment l'eBPF interagit avec les signaux

Cet article explore la sémantique des signaux UNIX lorsqu'ils sont générés par un programme eBPF.

Rationalisation de la validation des requêtes et des règles ES|QL : Intégration avec GitHub CI

ES|QL est le nouveau langage de requête d'Elastic. Pour tirer pleinement parti de cette nouvelle fonctionnalité, Elastic Security Labs explique comment exécuter la validation des règles ES|QL pour le moteur de détection.

Accélérer la détection élastique des échanges avec les LLM

Découvrez comment Elastic Security Labs s’est concentré sur l’accélération de ses workflows d’ingénierie de détection en exploitant des capacités d’IA plus génératives.

Utiliser les LLM et ESRE pour trouver des sessions utilisateur similaires

Dans notre article précédent, nous avons exploré l’utilisation du modèle de langage étendu (LLM) GPT-4 pour condenser les sessions utilisateur Linux. Dans le cadre de la même expérience, nous avons consacré du temps à l'examen des sessions présentant des similitudes. Ces sessions similaires peuvent ensuite aider les analystes à identifier des activités suspectes connexes.

Lever le rideau sur les piles d'appels

Dans cet article, nous vous montrerons comment nous contextualisons les règles et les événements, et comment vous pouvez exploiter les piles d'appels pour mieux comprendre les alertes que vous rencontrez dans votre environnement.

Utilisation de LLM pour résumer les sessions des utilisateurs

Dans cette publication, nous parlerons des leçons apprises et des principaux enseignements tirés de nos expériences d'utilisation de GPT-4 pour résumer les sessions des utilisateurs.

Les mains dans le cambouis : comment nous exécutons Detonate

Explorez la mise en œuvre technique du système Detonate, y compris la création d'un sandbox, la technologie associée, la collecte de données télémétriques et la manière de faire exploser des objets.

Faire monter les enchères : Détection des menaces en mémoire à l'aide des piles d'appels du noyau

Nous visons à surpasser les adversaires et à maintenir des protections contre les techniques de pointe des attaquants. Avec Elastic Security 8.8, nous avons ajouté de nouvelles détections basées sur la pile d'appels du noyau qui nous permettent d'améliorer l'efficacité contre les menaces en mémoire.

Détectez l'activité de l'algorithme de génération de domaine (DGA) grâce à la nouvelle intégration de Kibana

Nous avons ajouté un paquet de détection DGA à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle DGA et les ressources associées, y compris les configurations du pipeline d'ingestion, les tâches de détection d'anomalies et les règles de détection.

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

Cliquez, cliquez... Boom ! Automatisation des tests de protection avec Detonate

Pour automatiser ce processus et tester nos protections à grande échelle, nous avons créé Detonate, un système utilisé par les ingénieurs en recherche de sécurité pour mesurer l'efficacité de notre solution Elastic Security de manière automatisée.

Chasse aux bibliothèques Windows suspectes pour l'exécution et l'évasion de défense

Apprenez-en plus sur la découverte de menaces par la recherche d'événements de chargement de DLL, un moyen de révéler la présence de logiciels malveillants connus et inconnus dans des données d'événements de processus bruyants.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

Détection des attaques de type "Living-off-the-land" grâce à la nouvelle intégration Elastic

Nous avons ajouté un paquet de détection de Living off the land (LotL) à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle ProblemChild et les ressources associées, y compris les configurations de détection d'anomalies et les règles de détection.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Identifier les logiciels malveillants de balisage à l'aide d'Elastic

Dans ce blog, nous expliquons aux utilisateurs comment identifier les logiciels malveillants de balisage dans leur environnement à l'aide de notre cadre d'identification de balisage.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.

Google Workspace Attack Surface

During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.

Google Workspace Attack Surface

During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.

Get-InjectedThreadEx - Détecter les trampolines de création de threads

Dans ce blog, nous allons démontrer comment détecter chacune des quatre classes de processus de trampolinage et publier un script de détection PowerShell mis à jour - Get-InjectedThreadEx.

Analyse de la vulnérabilité de Log4Shell & CVE-2021-45046

Dans ce billet, nous présentons les prochaines étapes que l'équipe de sécurité d'Elastic prend pour que les utilisateurs continuent à se protéger contre la CVE-2021-44228, ou Log4Shell.

Security operations: Cloud monitoring and detection with Elastic Security

As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.

Résumé de l'évaluation de KNOTWEED

KNOTWEED déploie le logiciel espion Subzero en utilisant des exploits 0-day pour Adobe Reader et le système d'exploitation Windows. Une fois l'accès initial obtenu, il utilise différentes sections de Subzero pour maintenir la persistance et effectuer des actions sur l'hôte.

Détection de l’exploitation de la vulnérabilité CVE-2021-44228 (log4j2) avec Elastic Security

Le présent article de blog fournit un résumé de la vulnérabilité CVE-2021-44228 et fournit aux utilisateurs d’Elastic Security des outils permettant de détecter une exploitation active de celle-ci dans leur environnement. Cet article sera complété au fur et à mesure que nous en apprendrons davantage.

Règles de détection de la vulnérabilité SIGRed

La vulnérabilité SIGRed concerne tous les systèmes utilisant le service de serveur DNS de Windows (Windows 2003+). Pour défendre votre environnement, nous vous recommandons de mettre en œuvre la logique de détection décrite dans cet article de blog à l'aide d'une technologie telle qu'Elastic Security.

Réponse d'Elastic à la vulnérabilité de Spring4Shell (CVE-2022-22965)

Fournir des détails de haut niveau sur CVE-2022-22965, une vulnérabilité d'exécution de code à distance (RCE) récemment divulguée, également connue sous le nom de "Spring4Shell".

Handy Elastic Tools for the Enthusiastic Detection Engineer

Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.

Détecter et réagir à un tuyau sale avec l'élastique

Elastic Security publie une logique de détection pour l'exploit Dirty Pipe.

Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 2)

Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.

La chasse aux attaques In-Memory .NET

Dans le prolongement de ma présentation à la DerbyCon, ce billet se penche sur une nouvelle tendance des adversaires qui utilisent des techniques en mémoire basées sur .NET pour échapper à la détection.

La chasse en mémoire

Les chasseurs de menaces ont la lourde tâche de passer au crible de vastes sources de données diverses pour repérer l'activité des adversaires à n'importe quel stade de l'attaque.

Nimbuspwn : Exploiter les vulnérabilités pour exploiter Linux via l'escalade des privilèges

L'équipe de Microsoft 365 Defender a publié un billet détaillant plusieurs vulnérabilités identifiées. Ces vulnérabilités permettent à des groupes malveillants d'élever leurs privilèges sur les systèmes Linux, ce qui permet de déployer des charges utiles, des ransomwares ou d'autres attaques.

Test de votre visibilité et détection Okta avec Dorothy et Elastic Security

Dorothy permet aux équipes de sécurité de tester les capacités de visibilité et de détection de leur environnement Okta. Mal monitorées, les solutions IAM sont souvent la cible des utilisateurs malveillants. Découvrez comment démarrer avec Dorothy.

Adopter un outillage offensif : Construire des détections contre Koadic en utilisant EQL

Trouver de nouveaux moyens de construire des détections comportementales contre les cadres de post-exploitation tels que Koadic en utilisant le langage de requête d'événements (EQL).

Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 1)

Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.

Ingénierie pratique de la sécurité : Détection d'état

En formalisant la détection d'état dans vos règles, ainsi que dans votre processus d'ingénierie, vous augmentez votre couverture de détection sur les correspondances futures et passées. Dans cet article de blog, découvrez pourquoi la détection d'état est un concept important à mettre en œuvre.

Elastic Security opens public detection rules repo

Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.