カテゴリー
有効化
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
TOR 出口ノード監視の概要
Learn how to monitor your enterprise for TOR exit node activity.
パッチ適用までの時間指標:QualysとElasticを用いた生存分析アプローチ
この記事では、Elastic Stack を使用して、Qualys VMDR の脆弱性管理 (VM) データに生存分析を適用する方法について説明します。
MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項
この調査では、モデル コンテキスト プロトコル (MCP) ツールが自律エージェントの攻撃対象領域をどのように拡大するかを調査し、ツール ポイズニング、オーケストレーション インジェクション、ラグ プル再定義などのエクスプロイト ベクトルを、実用的な防御戦略とともに詳細に説明します。
提供開始:Elasticの検出エンジニアリングの 2025 現状
「Elasticの検出エンジニアリングの 2025 現状」では、ElasticがSIEMとEDRのルールセットを作成、維持、評価する方法を探ります。
Linux検出エンジニアリング - Linux永続性のグランドフィナーレ
このシリーズを読み終わった頃には、Linuxの永続化技術に関する一般的および希少な知識を得ることができ、攻撃者の一般的および高度な能力の検出を効果的に設計する方法を理解しているでしょう。
脅威検出のためのAWS S3 SSE-C身代金のエミュレーション
この記事では、脅威アクターがAmazon S3のServer-Side Encryption with Customer-Provided Keys (SSE-C)を活用して身代金/恐喝の作戦を行う方法について探ります。
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター
WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。
Streamlining Security: Integrating Amazon Bedrock with Elastic
この記事では、Amazon Bedrock 統合を設定し、Elastic の事前構築された検出ルールを有効にしてセキュリティ操作を効率化するプロセスについて説明します。
Elasticで脅威ハンティングを強化
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
地平線上の嵐:AJCloud IoTエコシステムの内側
Wi-Fiカメラは手頃な価格と利便性から人気がありますが、悪用される可能性のあるセキュリティ上の脆弱性があることが多いです。
カーネルETWこそ最高のETW
この調査は、セキュリティ・バイ・デザイン・ソフトウェアにおけるネイティブ監査ログの重要性に焦点を当て、改ざん防止対策を強化するために、ユーザーモードのフックよりもカーネルレベルのETWロギングの必要性を強調しています。
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Linux 検出エンジニアリング - 永続性メカニズムの続編
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
情報を盗むことからデバイスを保護する
この記事では、Elasticセキュリティのエンドポイント保護を担うElastic Defend(バージョン8.12以降)に今年追加されたキーロガーとキーロガー検出機能について紹介します。
Auditd を使用した Linux 検出エンジニアリング
この記事では、検出エンジニアリングに Auditd と Auditd Manager を使用する方法について詳しく説明します。
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
マルウェアの行動傾向を明らかにする
100,000を超えるサンプルから抽出されたWindowsマルウェアの多様なデータセットを分析した結果、最も一般的な戦術、手法、および手順に関する洞察が明らかになりました。
Oktaの脅威をElasticセキュリティで監視
この記事では、Okta の脅威検出ラボを設立し、Okta のような SaaS プラットフォームを保護することの重要性を強調しています。 Elastic Stackを使用したラボ環境の作成、SIEMソリューションとOktaの統合について詳しく説明します。
STIX的シチュエーション:脅威データのエスケープ
構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。
Oktaを理解するためのスターターガイド
この記事では、Oktaのアーキテクチャとサービスについて掘り下げ、脅威の研究と検出エンジニアリングの強固な基盤を築きます。 Okta環境での脅威ハンティングと検出を習得することを目指している人にとっては必読です。
サイバーデータ分析のためのGoogle Cloud
この記事では、Google Cloud を使用して、データの抽出と前処理からトレンド分析とプレゼンテーションまで、サイバー脅威のデータ分析を包括的に行う方法について説明します。 BigQuery、Python、Google スプレッドシートの価値を強調し、洞察に満ちたサイバーセキュリティ分析のためにデータを洗練および視覚化する方法を紹介しています。
内部からのシグナル伝達:eBPFがシグナルとどのように相互作用するか
この記事では、eBPFプログラムから生成されたUNIXシグナルのセマンティクスの一部について説明します。
ESの効率化|QL クエリとルール検証: GitHub CI との統合
ES|QLは、Elasticの新しいパイプクエリ言語です。 この新機能を最大限に活用して、Elastic Security LabsはES|検出エンジンの QL ルール。
LLMとESREを使用した類似ユーザーセッションの検索
前回の記事では、GPT-4大規模言語モデル(LLM)を使用して Linuxのユーザーセッションを凝縮する方法について説明しました。同じ実験の文脈で、私たちは類似点が見られるセッションを調べることに時間を費やしました。これらの類似セッションは、後にアナリストが関連する疑わしいアクティビティを特定する際に役立ちます。
マイクロソフトのPPLFaultを殺す計画の内部
この調査出版物では、マルウェアがマルウェア対策プロセスやその他の重要なセキュリティ機能を改ざんするのを困難にする、Windows Code Integrityサブシステムの今後の改善について説明します。
コールスタックでカーテンをはがす
この記事では、ルールとイベントをコンテキスト化する方法と、呼び出し履歴を活用して環境内で発生するアラートをより深く理解する方法について説明します。
LLM を使用したユーザーセッションの要約
本書では、GPT-4を使用した実験から得られた教訓と重要なポイントについて、ユーザーセッションをまとめます。
脆弱なドライバーは忘れよう - 必要なのは管理者だけ
BYOVD(Bring Your Own Vulnerable Driver)とは、脅威アクターが既知の脆弱な署名付きドライバをマルウェアと一緒に持ち込んでカーネルにロードし、そのドライバを悪用してカーネル内で他の方法では実行できない何らかのアクションを実行するという、ますます一般的になっている攻撃手法です。高度な脅威アクターによって10年以上にわたって採用されてきたBYOVDは、ランサムウェアやコモディティマルウェアでますます一般的になっています。
賭け金を引き上げる: カーネル コール スタックによるインメモリ脅威の検出
私たちは、敵対者を凌駕し、最先端の攻撃者の手口に対する保護を維持することを目指しています。 Elasticセキュリティ8.8では、カーネルコールスタックベースの新しい検出機能が追加され、インメモリの脅威に対する有効性が向上しました。
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
ICEDIDの解凍
ICEDIDは、カスタムファイル形式とカスタム暗号化スキームを使用してペイロードを圧縮することが知られています。私たちは、解凍プロセスを自動化し、アナリストやコミュニティがICEDIDに対応するのに役立つ一連のツールをリリース予定です。
Exploring the Future of Security with ChatGPT(ChatGPTが描くセキュリティの未来像)
最近、OpenAIは、エンジニアがChatGPTとWhisperのモデルをアプリや製品に統合するためのAPIを発表しました。 しばらくの間、エンジニアは古いモデルに対してREST API呼び出しを使用し、それ以外の場合はWebサイトを通じてChatGPTインターフェイスを使用できました。
Elasticグローバル脅威レポートマルチパートシリーズの概要
Elasticセキュリティラボチームは、毎月、Elasticグローバル脅威レポートとは異なる傾向や相関関係を分析しています。 この記事では、これらの個々の出版物の概要を説明します。
実行と防御回避のための疑わしいWindowsライブラリのハンティング
DLLロードイベントを探して脅威を発見する方法の1つ、ノイズの多いプロセスイベントデータに既知および未知のマルウェアが存在することを明らかにする方法の詳細をご覧ください。
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Elasticを使用したビーコンマルウェアの特定
このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
脆弱性の概要: Follina、CVE-2022-30190
Elasticは、Follinaの脆弱性の使用を特定するための新しいマルウェアシグネチャをデプロイしています。 詳しくは、こちらの記事をご覧ください。
Elasticの 2022 グローバル脅威レポート:今日の増大する脅威の状況を乗り切るためのロードマップ
2022 Elastic Global Threat Reportのような脅威インテリジェンスリソースは、サイバーセキュリティの脅威を特定して防止するための組織の可視性、能力、専門知識をチームが評価するために不可欠です。
予測と推奨事項: 2022 Elastic Global Threat Report
Elastic初のグローバル脅威レポートのリリースにより、お客様、パートナー、そしてセキュリティコミュニティ全体が、過去 12 か月間にElasticが取り組んできた多くの重点分野を特定できるようになりました。
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
ElasticでTransformerを最大限に活用する
このブログでは、マスク言語モデリング(MLM)タスク用のトランスフォーマーモデルを、分類タスクに適したものにするために、どのように微調整したかについて簡単に説明します。
Adversary tradecraft 101:Elasticセキュリティを使用した永続性のハンティング(パート2)
Elastic Endpoint SecurityとElastic SIEMを使用して、悪意のある永続化手法を大規模にハンティングし、検出する方法をご紹介します。
ハンティング・イン・メモリー
脅威ハンターは、攻撃のどの段階でも敵対者の活動を特定するために、多様なデータの膨大なソースをふるいにかけるという困難な任務を負っています。
Nimbuspwn:脆弱性を利用して特権昇格を介してLinuxを悪用する
Microsoft 365 Defender チームは、特定されたいくつかの脆弱性について詳しく説明した投稿をリリースしました。 これらの脆弱性により、敵対的なグループはLinuxシステム上で権限を昇格させ、ペイロード、ランサムウェア、またはその他の攻撃の展開を可能にします。
DorothyとElasticセキュリティでOktaの可視性と検知機能をテスト
Dorothyは、セキュリティチームが自社のOkta環境の可視性と検知機能をテストできるツールです。 IAMソリューションは頻繁に攻撃者のターゲットとなっていますが、十分に監視されていません。 この記事では、Dorothyの使用を開始する方法について説明します。
オフェンシブツールの採用:EQLを使用したKoadicに対する検出の構築
Event Query Language(EQL)を使用して、Koadicなどのエクスプロイト後のフレームワークに対する行動検出を構築する新しい方法を見つけます。
Adversary tradecraft 101:Elasticセキュリティを使用した永続性へのハンティング(パート1)
Elastic Endpoint SecurityとElastic SIEMを使用して、悪意のある永続化手法を大規模にハンティングし、検出する方法をご紹介します。
実践的なセキュリティエンジニアリング:ステートフル検出
ルールとエンジニアリングプロセスでステートフル検出を形式化することで、将来および過去の一致に対する検出範囲を拡大します。 このブログ記事では、ステートフル検出が実装すべき重要な概念である理由について説明します。
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.