Detection Engineering

SHELLTERを例にとると、悪用された商業回避フレームワーク

Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。

Microsoft Entra ID OAuth のフィッシングと検出

この記事では、Microsoft Entra ID での OAuth フィッシングとトークンベースの不正使用について説明します。サインイン アクティビティ中のトークン、スコープ、デバイスの動作のエミュレーションと分析を通じて、防御側が OAuth の誤用を検出してハンティングするために使用できる忠実度の高いシグナルを明らかにします。

誤動作のモダリティ: 手法ではなくツールの検出

実行モダリティの概念と、モダリティに焦点を当てた検出が行動に焦点を当てた検出をどのように補完できるかを探ります。

Bit ByBit - 北朝鮮最大の暗号通貨強盗のエミュレーション

北朝鮮最大の暗号通貨強盗を、侵害されたmacOS開発者とAWSピボットによる高忠実度のエミュレーション。

提供開始:Elasticの検出エンジニアリングの 2025 現状

「Elasticの検出エンジニアリングの 2025 現状」では、ElasticがSIEMとEDRのルールセットを作成、維持、評価する方法を探ります。

AWS SNSの不正使用:データ流出とフィッシング

最近の社内コラボレーションでは、公に知られているSNSの不正使用の試みとデータソースに関する知識を掘り下げて、検出機能を開発しました。

未公開のカーネルデータ構造を使用したホットキー型キーロガーの検出

この記事では、ホットキーベースのキーロガーとは何か、そしてそれを検出する方法を探ります。具体的には、これらのキーロガーがキーストロークを傍受する方法を説明し、カーネル空間の未公開ホットキーテーブルを利用する検出技術を紹介します。

Linux検出エンジニアリング - Linux永続性のグランドフィナーレ

このシリーズを読み終わった頃には、Linuxの永続化技術に関する一般的および希少な知識を得ることができ、攻撃者の一般的および高度な能力の検出を効果的に設計する方法を理解しているでしょう。

脅威検出のためのAWS S3 SSE-C身代金のエミュレーション

この記事では、脅威アクターがAmazon S3のServer-Side Encryption with Customer-Provided Keys (SSE-C)を活用して身代金/恐喝の作戦を行う方法について探ります。

Linux検出エンジニアリング - 永続化メカニズムの頂点に近づく

Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

行動ルール保護を目的とした、Elastic報奨金プログラムを発表

Elasticはセキュリティ報奨金プログラムの拡大を発表し、研究者を招待して、Windowsエンドポイントから始めて、SIEMおよびEDRルールの回避およびバイパス手法をテストします。この取り組みは、セキュリティコミュニティとの連携を強化することで、Elasticの防御が進化を続ける脅威に対して堅牢であり続けることを担保します。

Linux検出エンジニアリング - 永続化メカニズムの継続

This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.

Detonating Beacons to Illuminate Detection Gaps

Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.

Exploring AWS STS AssumeRoot

ElasticのSIEMとCloudTrailのデータを活用して、権限昇格やアカウントの侵害を防ぐためのAWS STS AssumeRootとそのリスク、検出戦略、実用的なシナリオを探ります。

Streamlining Security: Integrating Amazon Bedrock with Elastic

この記事では、Amazon Bedrock 統合を設定し、Elastic の事前構築された検出ルールを有効にしてセキュリティ操作を効率化するプロセスについて説明します。

Elasticで脅威ハンティングを強化

Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.

溢れるカップ：プリンターからインク以外がこぼれる時

Elastic Security Labsでは、認証されていない攻撃者がIPPやmDNSを介してシステムを悪用し、Linux、macOS、BSD、ChromeOS、SolarisなどのUNIXベースのシステムでリモートコード実行（RCE）を引き起こすことができる、CUPS印刷システムの脆弱性の検出と軽減戦略について説明しています。

Elastic releases the Detection Engineering Behavior Maturity Model

Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..

Linux 検出エンジニアリング - 永続性メカニズムの続編

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

情報を盗むことからデバイスを保護する

この記事では、Elasticセキュリティのエンドポイント保護を担うElastic Defend(バージョン8.12以降)に今年追加されたキーロガーとキーロガー検出機能について紹介します。

Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

標準化されたフィールド統合と強化された検出機能に重点を置いた、ElasticのLLMセキュリティの最新の進歩をご覧ください。これらの標準を採用することでシステムをどのように保護できるかを学びましょう。

LLMワークフローにセキュリティを組み込む：Elasticの能動的アプローチ

大規模言語モデル（LLM）にセキュリティを直接組み込むElasticの取り組みをご紹介します。LLMアプリケーションにおけるOWASPの脆弱性の上位いくつかを検出・軽減し、より安全でセキュアなAI駆動型アプリケーションを確保する当社の戦略をご覧ください。

Auditd を使用した Linux 検出エンジニアリング

この記事では、検出エンジニアリングに Auditd と Auditd Manager を使用する方法について詳しく説明します。

In-the-Wild Windows LPE 0-days: Insights & Detection Strategies

This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.

Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities

Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.

マルウェアの行動傾向を明らかにする

100,000を超えるサンプルから抽出されたWindowsマルウェアの多様なデータセットを分析した結果、最も一般的な戦術、手法、および手順に関する洞察が明らかになりました。

Oktaの脅威をElasticセキュリティで監視

この記事では、Okta の脅威検出ラボを設立し、Okta のような SaaS プラットフォームを保護することの重要性を強調しています。 Elastic Stackを使用したラボ環境の作成、SIEMソリューションとOktaの統合について詳しく説明します。

ハニーポットのランサムウェア:スティッキーカナリアファイルでキーをキャプチャする方法

この記事では、Elastic Defendランサムウェア保護を使用してランサムウェアから暗号化キーをキャプチャするプロセスについて説明します。

Oktaを理解するためのスターターガイド

この記事では、Oktaのアーキテクチャとサービスについて掘り下げ、脅威の研究と検出エンジニアリングの強固な基盤を築きます。 Okta環境での脅威ハンティングと検出を習得することを目指している人にとっては必読です。

ダブリング ダウン: カーネル ETW 呼び出し履歴を使用したメモリ内脅威の検出

Elasticセキュリティ8.11では、カーネルテレメトリーコールスタックベースの検出機能をさらに追加し、インメモリの脅威に対する有効性を高めました。

サイバーデータ分析のためのGoogle Cloud

この記事では、Google Cloud を使用して、データの抽出と前処理からトレンド分析とプレゼンテーションまで、サイバー脅威のデータ分析を包括的に行う方法について説明します。 BigQuery、Python、Google スプレッドシートの価値を強調し、洞察に満ちたサイバーセキュリティ分析のためにデータを洗練および視覚化する方法を紹介しています。

内部からのシグナル伝達:eBPFがシグナルとどのように相互作用するか

この記事では、eBPFプログラムから生成されたUNIXシグナルのセマンティクスの一部について説明します。

ESの効率化|QL クエリとルール検証: GitHub CI との統合

ES|QLは、Elasticの新しいパイプクエリ言語です。 この新機能を最大限に活用して、Elastic Security LabsはES|検出エンジンの QL ルール。

LLMを活用したElasticによる検出というトレードクラフトの加速

Elastic Security Labsが、生成AIの機能をより活用して、検出のエンジニアリングワークフローを加速させることにどのように注力しているのか、詳細をご覧ください。

LLMとESREを使用した類似ユーザーセッションの検索

前回の記事では、GPT-4大規模言語モデル（LLM）を使用して Linuxのユーザーセッションを凝縮する方法について説明しました。同じ実験の文脈で、私たちは類似点が見られるセッションを調べることに時間を費やしました。これらの類似セッションは、後にアナリストが関連する疑わしいアクティビティを特定する際に役立ちます。

コールスタックでカーテンをはがす

この記事では、ルールとイベントをコンテキスト化する方法と、呼び出し履歴を活用して環境内で発生するアラートをより深く理解する方法について説明します。

LLM を使用したユーザーセッションの要約

本書では、GPT-4を使用した実験から得られた教訓と重要なポイントについて、ユーザーセッションをまとめます。

試練の中へ：Detonateはどう動くのか

サンドボックスの作成、サポート技術、テレメトリ収集など、Detonateシステムの技術的な実装についてご覧ください。

賭け金を引き上げる: カーネル コール スタックによるインメモリ脅威の検出

私たちは、敵対者を凌駕し、最先端の攻撃者の手口に対する保護を維持することを目指しています。 Elasticセキュリティ8.8では、カーネルコールスタックベースの新しい検出機能が追加され、インメモリの脅威に対する有効性が向上しました。

新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

カチッ、カチッ… ドカン！Detonateで保護テストを自動化

このプロセスを自動化し、大規模な保護をテストするために、セキュリティ研究エンジニアがElastic Securityソリューションの有効性を自動的に測定するために使用するシステム「Detonate」を構築しました。

実行と防御回避のための疑わしいWindowsライブラリのハンティング

DLLロードイベントを探して脅威を発見する方法の1つ、ノイズの多いプロセスイベントデータに既知および未知のマルウェアが存在することを明らかにする方法の詳細をご覧ください。

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

新しいElastic統合によるLiving-off-the-land攻撃の検出

Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Elasticを使用したビーコンマルウェアの特定

このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.

Google Workspace Attack Surface

During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.

Google Workspace Attack Surface

During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.

Get-InjectedThreadEx – スレッド作成トランポリンの検出

このブログでは、プロセストランポリンの 4 つのクラスのそれぞれを検出し、更新された PowerShell 検出スクリプト (Get-InjectedThreadEx) をリリースする方法を示します

Log4Shellの脆弱性とCVE-2021-45046の分析

この記事では、ElasticセキュリティチームがCVE-2021-44228(Log4Shell)からユーザー自身を守り続けるための次のステップについて説明します。

Security operations: Cloud monitoring and detection with Elastic Security

As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.

イタドリ評価の概要

KNOTWEED は、Adobe Reader と Windows オペレーティング システム用の 0-day エクスプロイトを使用して Subzero スパイウェアを展開します。 初期アクセスを取得すると、Subzero のさまざまなセクションを使用して永続性を維持し、ホスト上でアクションを実行します。

ElasticセキュリティでCVE-2021-44228（log4j2）のエクスプロイトを検知する

本ブログ記事はCVE-2021-44228の概要を説明するほか、Elasticセキュリティのユーザー向けに、環境内の脆弱性を利用するアクティブなエクスプロイトの検知ルールを提供します。 Elasticは新たな情報を把握次第、本記事を更新する予定です。

SIGRed の脆弱性の検出ルール

SIGRed の脆弱性は、Windows DNS サーバー サービス (Windows 2003+) を利用しているすべてのシステムに影響を及ぼします。 お客様の環境を保護するには、このブログ記事に記載されている検出ロジックを、Elasticセキュリティなどのテクノロジーを使用して実装することをお勧めします。

Spring4Shellの脆弱性(CVE-2022-22965)に対するElasticの対応

最近公開されたリモートコード実行(RCE)の脆弱性であるCVE-2022-22965(「Spring4Shell」とも呼ばれる)について、エグゼクティブレベルの詳細を提供します。

Handy Elastic Tools for the Enthusiastic Detection Engineer

Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.

エラスティックを使用した汚れたパイプの検出と対応

Elasticセキュリティは、Dirty Pipeエクスプロイトの検出ロジックをリリースします。

Adversary tradecraft 101:Elasticセキュリティを使用した永続性のハンティング(パート2)

Elastic Endpoint SecurityとElastic SIEMを使用して、悪意のある永続化手法を大規模にハンティングし、検出する方法をご紹介します。

インメモリ .NET 攻撃のハンティング

私の DerbyCon プレゼンテーションのフォローアップとして、この記事では、.NETベースのインメモリ技術で検出を回避

ハンティング・イン・メモリー

脅威ハンターは、攻撃のどの段階でも敵対者の活動を特定するために、多様なデータの膨大なソースをふるいにかけるという困難な任務を負っています。

Nimbuspwn:脆弱性を利用して特権昇格を介してLinuxを悪用する

Microsoft 365 Defender チームは、特定されたいくつかの脆弱性について詳しく説明した投稿をリリースしました。 これらの脆弱性により、敵対的なグループはLinuxシステム上で権限を昇格させ、ペイロード、ランサムウェア、またはその他の攻撃の展開を可能にします。

DorothyとElasticセキュリティでOktaの可視性と検知機能をテスト

Dorothyは、セキュリティチームが自社のOkta環境の可視性と検知機能をテストできるツールです。 IAMソリューションは頻繁に攻撃者のターゲットとなっていますが、十分に監視されていません。 この記事では、Dorothyの使用を開始する方法について説明します。

オフェンシブツールの採用:EQLを使用したKoadicに対する検出の構築

Event Query Language(EQL)を使用して、Koadicなどのエクスプロイト後のフレームワークに対する行動検出を構築する新しい方法を見つけます。

Adversary tradecraft 101:Elasticセキュリティを使用した永続性へのハンティング(パート1)

Elastic Endpoint SecurityとElastic SIEMを使用して、悪意のある永続化手法を大規模にハンティングし、検出する方法をご紹介します。

実践的なセキュリティエンジニアリング:ステートフル検出

ルールとエンジニアリングプロセスでステートフル検出を形式化することで、将来および過去の一致に対する検出範囲を拡大します。 このブログ記事では、ステートフル検出が実装すべき重要な概念である理由について説明します。

Elastic Security opens public detection rules repo

Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.