Categoria
Habilitação
5 Dezembro 2025
Automating detection tuning requests with Kibana cases
Learn how to automate detection rule tuning requests in Elastic Security. This guide shows how to add custom fields to Cases, create a rule to detect tuning needs, and use a webhook to create a frictionless feedback loop between analysts and detection engineers.
Visão geral do monitoramento de nós de saída do TOR
Learn how to monitor your enterprise for TOR exit node activity.
Métricas de tempo até a aplicação de patches: uma abordagem de análise de sobrevivência usando Qualys e Elastic
Neste artigo, descrevemos como aplicamos a análise de sobrevivência aos dados de gerenciamento de vulnerabilidades (VM) do Qualys VMDR, usando o Elastic Stack.
Ferramentas MCP: Vetores de Ataque e Recomendações de Defesa para Agentes Autônomos
Esta pesquisa examina como as ferramentas do Model Context Protocol (MCP) expandem a superfície de ataque para agentes autônomos, detalhando vetores de exploração como envenenamento de ferramentas, injeção de orquestração e redefinições de rug-pull, juntamente com estratégias práticas de defesa.
Já disponível: o 2025 Estado da Engenharia de Detecção na Elastic
O 2025 State of Detection Engineering na Elastic explora como criamos, mantemos e avaliamos nossos conjuntos de regras SIEM e EDR.
Engenharia de Detecção do Linux - O Grande Final da Persistência do Linux
Ao final desta série, você terá um conhecimento robusto das técnicas de persistência comuns e raras do Linux e entenderá como criar detecções eficazes para capacidades comuns e avançadas de adversários.
Emulando o AWS S3 SSE-C Ransom para detecção de ameaças
Neste artigo, vamos explorar como os agentes de ameaças aproveitam a criptografia do lado do servidor do Amazon S3 com chaves fornecidas pelo cliente (SSE-C) para operações de resgate/extorsão.
WinVisor - Um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64
O WinVisor é um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64 que usa a API da Plataforma de Hipervisor do Windows para oferecer um ambiente virtualizado que registra chamadas de sistema e permite a introspecção de memória.
Streamlining Security: Integrating Amazon Bedrock with Elastic
Este artigo irá guiá-lo pelo processo de configuração da integração com o Amazon Bedrock e ativação das regras de detecção predefinidas da Elastic para otimizar suas operações de segurança.
Eleve sua caça a ameaças com a Elastic
Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.
Tempestade no Horizonte: Por dentro do ecossistema IoT da AJCloud
As câmeras wi-fi são populares devido à sua acessibilidade e conveniência, mas geralmente apresentam vulnerabilidades de segurança que podem ser exploradas.
Kernel ETW é o melhor ETW
Esta pesquisa se concentra na importância dos logs de auditoria nativos em software seguro por design, enfatizando a necessidade de log ETW no nível do kernel em ganchos de modo de usuário para aprimorar as proteções antiviolação.
Elastic releases the Detection Engineering Behavior Maturity Model
Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..
Engenharia de Detecção Linux - Uma Sequência sobre Mecanismos de Persistência
In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.
Linux Detection Engineering - A primer on persistence mechanisms
In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Protegendo seus dispositivos contra roubo de informações
Neste artigo, apresentaremos os recursos de keylogger e detecção de keylogging adicionados este ano ao Elastic Defend (a partir da versão 8.12), responsável pela proteção de endpoints no Elastic Security.
Engenharia de detecção de Linux com Auditd
Neste artigo, saiba mais sobre como usar o Auditd e o Auditd Manager para engenharia de detecção.
In-the-Wild Windows LPE 0-days: Insights & Detection Strategies
This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.
Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities
Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.
Revelando tendências de comportamento de malware
Uma análise de um conjunto de dados diversificado de malware do Windows extraído de mais de 100.000 amostras, revelando insights sobre as táticas, técnicas e procedimentos mais prevalentes.
Monitoramento de ameaças Okta com Elastic Security
Este artigo orienta os leitores sobre como estabelecer um laboratório de detecção de ameaças Okta, enfatizando a importância de proteger plataformas SaaS como a Okta. Ele detalha a criação de um ambiente de laboratório com o Elastic Stack, integrando soluções SIEM e Okta.
Situações STIXy: ECSaping seus dados de ameaças
Os dados estruturados de ameaças geralmente são formatados usando STIX. Para ajudar a colocar esses dados no Elasticsearch, estamos lançando um script Python que converte o STIX em um formato ECS para ser ingerido na sua pilha.
Guia inicial para entender o Okta
Este artigo se aprofunda na arquitetura e nos serviços da Okta, estabelecendo uma base sólida para pesquisa de ameaças e engenharia de detecção. Leitura essencial para aqueles que desejam dominar a caça e detecção de ameaças em ambientes Okta.
Google Cloud para análise de dados cibernéticos
Este artigo explica como conduzimos análises abrangentes de dados de ameaças cibernéticas usando o Google Cloud, desde a extração e pré-processamento de dados até a análise e apresentação de tendências. Ele enfatiza o valor do BigQuery, Python e Planilhas Google, mostrando como refinar e visualizar dados para uma análise criteriosa de segurança cibernética.
Sinalização interna: como o eBPF interage com os sinais
Este artigo explora algumas das semânticas dos sinais UNIX quando gerados a partir de um programa eBPF.
Simplificando a consulta ES|QL e a validação de regras: Integração com o GitHub CI
ES|QL é a nova linguagem de consulta canalizada da Elastic. Aproveitando ao máximo esse novo recurso, o Elastic Security Labs explica como executar a validação de regras ES|QL para o Detection Engine.
Usando LLMs e ESRE para encontrar sessões de usuários semelhantes
Em nosso artigo anterior, exploramos o uso do GPT-4 Large Language Model (LLM) para condensar as sessões de usuários do Linux. No contexto do mesmo experimento, dedicamos algum tempo para examinar sessões que compartilhavam semelhanças. Posteriormente, essas sessões semelhantes podem ajudar os analistas a identificar atividades suspeitas relacionadas.
Por dentro do plano da Microsoft para acabar com o PPLFault
Nesta publicação de pesquisa, aprenderemos sobre as próximas melhorias no subsistema de integridade de código do Windows que tornarão mais difícil para malware adulterar processos antimalware e outros recursos de segurança importantes.
Desvendando a cortina com pilhas de chamadas
Neste artigo, mostraremos como contextualizamos regras e eventos e como você pode aproveitar pilhas de chamadas para entender melhor quaisquer alertas encontrados em seu ambiente.
Usando LLMs para resumir sessões de usuário
Nesta publicação, falaremos sobre lições aprendidas e principais conclusões de nossos experimentos usando GPT-4 para resumir sessões de usuários.
Esqueça os drivers vulneráveis - Admin é tudo o que você precisa
Bring Your Own Vulnerable Driver (BYOVD) é uma técnica de invasão cada vez mais popular, em que um agente de ameaça traz um driver assinado conhecido e vulnerável junto com seu malware, carrega-o no kernel e o explora para executar alguma ação dentro do kernel que, de outra forma, não seria capaz de fazer. Empregado por agentes de ameaças avançadas há mais de uma década, o BYOVD está se tornando cada vez mais comum em ransomware e malware de commodities.
Aumentando a aposta: Detectando ameaças na memória com pilhas de chamadas do kernel
Nosso objetivo é inovar mais do que os adversários e manter proteções contra as últimas tendências dos invasores. Com o Elastic Security 8.8, adicionamos novas detecções baseadas em pilha de chamadas do kernel, o que nos proporciona maior eficácia contra ameaças na memória.
Exploring Windows UAC Bypasses: Techniques and Detection Strategies
In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.
Desempacotando o ICEDID
O ICEDID é conhecido por compactar suas cargas úteis usando formatos de arquivos e um esquema de criptografia customizados. Estamos lançando um conjunto de ferramentas para automatizar o processo de descompactação e ajudar os analistas e a comunidade a responder à ICEDID.
Exploring the Future of Security with ChatGPT (Explorando o futuro da segurança com o ChatGPT)
Recentemente, a OpenAI anunciou APIs para engenheiros integrarem modelos ChatGPT e Whisper em seus aplicativos e produtos. Por algum tempo, os engenheiros podiam usar as chamadas da API REST para modelos mais antigos e, de outra forma, usar a interface ChatGPT por meio de seu site.
Visão geral da série de várias partes do Elastic Global Threat Report
A cada mês, a equipe do Elastic Security Labs analisa uma tendência ou correlação diferente do Elastic Global Threat Report. Esta postagem fornece uma visão geral dessas publicações individuais.
Caça a bibliotecas suspeitas do Windows para execução e evasão de defesa
Saiba mais sobre como descobrir ameaças pesquisando eventos de carregamento de DLL, uma maneira de revelar a presença de malware conhecido e desconhecido em dados de eventos de processos ruidosos.
Hunting for Lateral Movement using Event Query Language
Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.
Identificando malware de beacon usando Elastic
Neste blog, orientamos os usuários na identificação de malware de beaconing em seu ambiente usando nossa estrutura de identificação de beaconing.
Ingesting threat data with the Threat Intel Filebeat module
Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
The Elastic Container Project for Security Research
The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.
Resumo da vulnerabilidade: Follina, CVE-2022-30190
A Elastic está implantando uma nova assinatura de malware para identificar o uso da vulnerabilidade Follina. Saiba mais neste post.
Relatório Global de Ameaças 2022 da Elastic: Um roteiro para navegar no crescente cenário de ameaças de hoje
Recursos de inteligência de ameaças, como o 2022 Elastic Global Threat Report, são essenciais para ajudar as equipes a avaliar sua visibilidade organizacional, capacidades e experiência na identificação e prevenção de ameaças à segurança cibernética.
Previsão e recomendações: 2022 Elastic Global Threat Report
Com o lançamento do nosso primeiro Relatório Global de Ameaças na Elastic, clientes, parceiros e a comunidade de segurança em geral podem identificar muitas das áreas de foco que nossa equipe teve nos últimos 12 meses.
Handy Elastic Tools for the Enthusiastic Detection Engineer
Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.
Aproveitando ao máximo os transformadores em Elastic
Neste blog, falaremos brevemente sobre como ajustamos um modelo de transformador destinado a uma tarefa de modelagem de linguagem mascarada (MLM), para torná-lo adequado para uma tarefa de classificação.
Noções básicas sobre adversidade: caça à persistência usando Elastic Security (parte 2)
Saiba como o Elastic Endpoint Security e o Elastic SIEM podem ser usados para procurar e detectar técnicas de persistência maliciosas em escala.
Caçando na Memória
Os caçadores de ameaças são encarregados da difícil tarefa de vasculhar vastas fontes de dados diversos para identificar atividades adversárias em qualquer estágio do ataque.
Nimbuspwn: Aproveitando vulnerabilidades para explorar Linux via Privilege Escalation
A equipe do Microsoft 365 Defender divulgou uma postagem detalhando diversas vulnerabilidades identificadas. Essas vulnerabilidades permitem que grupos adversários aumentem privilégios em sistemas Linux, permitindo a implantação de payloads, ransomware ou outros ataques.
Como testar a visibilidade detecção do Okta com a Dorothy e o Elastic Security
Dorothy é uma ferramenta para equipes de segurança testarem os recursos de visibilidade e detecção para o ambiente Okta. As soluções IAM costumam ser alvo de invasores, mas pouco monitoradas. Saiba como começar a usar a Dorothy.
Adotando ferramentas ofensivas: Construindo detecções contra Koadic usando EQL
Encontre novas maneiras de criar detecções comportamentais em estruturas de pós-exploração, como o Koadic, usando a Linguagem de Consulta de Eventos (EQL).
Noções básicas sobre adversidade: caça à persistência usando Elastic Security (parte 1)
Saiba como o Elastic Endpoint Security e o Elastic SIEM podem ser usados para procurar e detectar técnicas de persistência maliciosas em escala.
Engenharia de segurança prática: detecção de estado
Ao formalizar a detecção com estado em suas regras, bem como em seu processo de engenharia, você aumenta sua cobertura de detecção em correspondências futuras e passadas. Nesta postagem do blog, saiba por que a detecção com estado é um conceito importante a ser implementado.
Elastic Security opens public detection rules repo
Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.