Catégorie
Mise en œuvre
5 Décembre 2025
Automating detection tuning requests with Kibana cases
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
Aperçu de la surveillance des nœuds de sortie TOR
Learn how to monitor your enterprise for TOR exit node activity.
Mesure du temps nécessaire à l'application des correctifs : Une approche d'analyse de survie utilisant Qualys et Elastic
Dans cet article, nous décrivons comment nous avons appliqué l'analyse de survie aux données de gestion des vulnérabilités (VM) de Qualys VMDR, en utilisant la pile Elastic.
Outils MCP : Vecteurs d'attaque et recommandations de défense pour les agents autonomes
Cette recherche examine comment les outils de protocole de contexte de modèle (MCP) élargissent la surface d'attaque des agents autonomes, en détaillant les vecteurs d'exploitation tels que l'empoisonnement d'outils, l'injection d'orchestration et les redéfinitions rug-pull, ainsi que les stratégies de défense pratiques.
Maintenant disponible : 2025 L'état de l'ingénierie de détection à Elastic
Le site 2025 State of Detection Engineering at Elastic explore la manière dont nous créons, maintenons et évaluons nos ensembles de règles SIEM et EDR.
Ingénierie de détection Linux - La grande finale sur la persistance Linux
À la fin de cette série, vous aurez une connaissance approfondie des techniques de persistance de Linux, qu'elles soient courantes ou rares, et vous saurez comment concevoir des détections efficaces pour les capacités courantes et avancées des utilisateurs malveillants.
Emulation du rançongiciel AWS S3 SSE-C pour la détection des menaces
Dans cet article, nous allons explorer comment les utilisateurs malveillants exploitent le chiffrement côté serveur d'Amazon S3 avec des clés fournies par le client (SSE-C) pour des opérations de demande de rançon ou d'extorsion.
WinVisor – Un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64
WinVisor est un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64 qui utilise l'API de la plateforme Hyper-V de Windows pour offrir un environnement virtualisé permettant de journaliser les appels système et d'activer l'introspection de la mémoire.
Streamlining Security: Integrating Amazon Bedrock with Elastic
Cet article vous guidera tout au long du processus de configuration de l'intégration Amazon Bedrock et de l'activation des règles de détection prédéfinies d'Elastic afin de rationaliser vos opérations de sécurité.
Optimisez votre recherche des menaces avec Elastic
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
Tempête à venir : au cœur de l'écosystème IoT d'AJCloud
Les caméras Wi-Fi sont populaires en raison de leur prix abordable et de leur commodité, mais elles présentent souvent des vulnérabilités de sécurité qui peuvent être exploitées.
Kernel ETW est le meilleur ETW
Cette recherche met l'accent sur l'importance des logs d'audit natifs dans les logiciels sécurisés dès la conception, en insistant sur la nécessité d'un logging ETW au niveau du noyau plutôt que de hooks en mode utilisateur afin de renforcer la protection contre les manipulations.
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Ingénierie de détection Linux - Une suite sur les mécanismes de persistance
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Protéger vos appareils contre le vol d'informations
Dans cet article, nous vous présentons les fonctionnalités de détection des enregistreurs de frappe et des enregistreurs de frappe ajoutées cette année à Elastic Defend (à partir de la version 8.12), qui est responsable de la protection des points d'extrémité dans Elastic Security.
Ingénierie de détection Linux avec Auditd
Dans cet article, vous apprendrez à utiliser Auditd et Auditd Manager pour l'ingénierie de détection.
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
Dévoiler les tendances du comportement des logiciels malveillants
Une analyse d'un ensemble de données diverses de logiciels malveillants pour Windows extraites de plus de 100 000 échantillons, révélant des informations sur les tactiques, techniques et procédures les plus répandues.
Surveillance des menaces Okta avec Elastic Security
Cet article guide les lecteurs dans la mise en place d'un laboratoire de détection des menaces Okta, en soulignant l'importance de sécuriser les plateformes SaaS comme Okta. Il détaille la création d'un environnement de laboratoire avec Elastic Stack, l'intégration de solutions SIEM et Okta.
Situations STIXy : échapper à vos données de menaces
Les données de menace structurées sont généralement formatées à l’aide de STIX. Pour vous aider à intégrer ces données à Elasticsearch, nous publions un script Python qui convertit STIX au format ECS à intégrer dans votre stack.
Guide de démarrage pour comprendre Okta
Cet article se penche sur l'architecture et les services d'Okta, posant ainsi des bases solides pour la recherche sur les menaces et l'ingénierie de détection. Une lecture essentielle pour ceux qui souhaitent maîtriser la chasse et la détection des menaces dans les environnements Okta.
Google Cloud pour l'analyse des cyberdonnées
Cet article explique comment nous effectuons une analyse complète des données sur les cybermenaces à l'aide de Google Cloud, depuis l'extraction et le prétraitement des données jusqu'à l'analyse des tendances et la présentation. Il met l'accent sur la valeur de BigQuery, Python et Google Sheets - en montrant comment affiner et visualiser les données pour une analyse perspicace de la cybersécurité.
Signalisation de l'intérieur : comment l'eBPF interagit avec les signaux
Cet article explore la sémantique des signaux UNIX lorsqu'ils sont générés par un programme eBPF.
Rationalisation de la validation des requêtes et des règles ES|QL : Intégration avec GitHub CI
ES|QL est le nouveau langage de requête d'Elastic. Pour tirer pleinement parti de cette nouvelle fonctionnalité, Elastic Security Labs explique comment exécuter la validation des règles ES|QL pour le moteur de détection.
Utiliser les LLM et ESRE pour trouver des sessions utilisateur similaires
Dans notre article précédent, nous avons exploré l’utilisation du modèle de langage étendu (LLM) GPT-4 pour condenser les sessions utilisateur Linux. Dans le cadre de la même expérience, nous avons consacré du temps à l'examen des sessions présentant des similitudes. Ces sessions similaires peuvent ensuite aider les analystes à identifier des activités suspectes connexes.
Le plan de Microsoft pour tuer PPLFault : un secret de polichinelle
Dans cette publication de recherche, vous découvrirez les prochaines améliorations apportées au sous-système d'intégrité du code Windows, qui rendront plus difficile l'altération des processus anti-programmes malveillants et d'autres fonctions de sécurité importantes par les logiciels malveillants.
Lever le rideau sur les piles d'appels
Dans cet article, nous vous montrerons comment nous contextualisons les règles et les événements, et comment vous pouvez exploiter les piles d'appels pour mieux comprendre les alertes que vous rencontrez dans votre environnement.
Utilisation de LLM pour résumer les sessions des utilisateurs
Dans cette publication, nous parlerons des leçons apprises et des principaux enseignements tirés de nos expériences d'utilisation de GPT-4 pour résumer les sessions des utilisateurs.
Oubliez les pilotes vulnérables - Admin est tout ce dont vous avez besoin
« Bring Your Own Vulnerable Driver » (BYOVD) est une technique d'attaque de plus en plus populaire qui consiste à intégrer un pilote signé connu pour sa vulnérabilité à son logiciel malveillant, à le charger dans le noyau, puis à l'exploiter pour effectuer une action sur le noyau qu'il n'aurait pas pu effectuer autrement. Utilisé par des acteurs de menace avancés depuis plus d’une décennie, le BYOVD est de plus en plus courant dans les ransomwares et les malwares de base.
Faire monter les enchères : Détection des menaces en mémoire à l'aide des piles d'appels du noyau
Nous visons à surpasser les adversaires et à maintenir des protections contre les techniques de pointe des attaquants. Avec Elastic Security 8.8, nous avons ajouté de nouvelles détections basées sur la pile d'appels du noyau qui nous permettent d'améliorer l'efficacité contre les menaces en mémoire.
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
Décompresser ICEDID
L'ICEDID est connu pour emballer ses charges utiles en utilisant des formats de fichiers et un système de cryptage personnalisés. Nous publions un ensemble d'outils pour automatiser le processus de déballage et aider les analystes et la communauté à répondre à l'ICEDID.
Exploration de l'avenir de la sécurité avec ChatGPT
Récemment, OpenAI a annoncé des API permettant aux ingénieurs d'intégrer les modèles ChatGPT et Whisper dans leurs applications et produits. Pendant un certain temps, les ingénieurs pouvaient utiliser les appels de l'API REST pour les modèles plus anciens et utiliser l'interface ChatGPT par le biais de leur site web.
Vue d'ensemble de la série de rapports sur les menaces mondiales d'Elastic
Chaque mois, l'équipe d'Elastic Security Labs analyse une tendance ou une corrélation différente tirée du rapport Elastic Global Threat Report. Ce billet donne un aperçu de ces publications individuelles.
Chasse aux bibliothèques Windows suspectes pour l'exécution et l'évasion de défense
Apprenez-en plus sur la découverte de menaces par la recherche d'événements de chargement de DLL, un moyen de révéler la présence de logiciels malveillants connus et inconnus dans des données d'événements de processus bruyants.
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Identifier les logiciels malveillants de balisage à l'aide d'Elastic
Dans ce blog, nous expliquons aux utilisateurs comment identifier les logiciels malveillants de balisage dans leur environnement à l'aide de notre cadre d'identification de balisage.
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
Résumé de la vulnérabilité : Follina, CVE-2022-30190
Elastic déploie une nouvelle signature de logiciel malveillant pour identifier l'utilisation de la vulnérabilité Follina. Pour en savoir plus, consultez cet article.
Elastic's 2022 Global Threat Report : Une feuille de route pour naviguer dans le paysage croissant des menaces d'aujourd'hui
Les ressources de renseignements sur les menaces telles que le rapport Elastic Global Threat Report ( 2022 ) sont essentielles pour aider les équipes à évaluer la visibilité, les capacités et l'expertise de leur organisation en matière d'identification et de prévention des menaces de cybersécurité.
Prévisions et recommandations : 2022 Rapport mondial sur les menaces Elastic
Avec la publication de notre premier rapport global sur les menaces chez Elastic, les clients, les partenaires et la communauté de la sécurité dans son ensemble sont en mesure d'identifier un grand nombre des domaines sur lesquels notre équipe s'est concentrée au cours des derniers mois ( 12 ).
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
Tirer le meilleur parti des transformateurs dans Elastic
Dans ce blog, nous expliquerons brièvement comment nous avons affiné un modèle de transformateur destiné à une tâche de modélisation du langage masqué (MLM), afin de le rendre adapté à une tâche de classification.
Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 2)
Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.
La chasse en mémoire
Les chasseurs de menaces ont la lourde tâche de passer au crible de vastes sources de données diverses pour repérer l'activité des adversaires à n'importe quel stade de l'attaque.
Nimbuspwn : Exploiter les vulnérabilités pour exploiter Linux via l'escalade des privilèges
L'équipe de Microsoft 365 Defender a publié un billet détaillant plusieurs vulnérabilités identifiées. Ces vulnérabilités permettent à des groupes malveillants d'élever leurs privilèges sur les systèmes Linux, ce qui permet de déployer des charges utiles, des ransomwares ou d'autres attaques.
Test de votre visibilité et détection Okta avec Dorothy et Elastic Security
Dorothy permet aux équipes de sécurité de tester les capacités de visibilité et de détection de leur environnement Okta. Mal monitorées, les solutions IAM sont souvent la cible des utilisateurs malveillants. Découvrez comment démarrer avec Dorothy.
Adopter un outillage offensif : Construire des détections contre Koadic en utilisant EQL
Trouver de nouveaux moyens de construire des détections comportementales contre les cadres de post-exploitation tels que Koadic en utilisant le langage de requête d'événements (EQL).
Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 1)
Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.
Ingénierie pratique de la sécurité : Détection d'état
En formalisant la détection d'état dans vos règles, ainsi que dans votre processus d'ingénierie, vous augmentez votre couverture de détection sur les correspondances futures et passées. Dans cet article de blog, découvrez pourquoi la détection d'état est un concept important à mettre en œuvre.
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.