Detection Engineering

Tomando SHELLTER: uma estrutura de evasão comercial abusada na natureza

O Elastic Security Labs detectou o surgimento recente de infostealers usando uma versão adquirida ilicitamente da estrutura de evasão comercial, SHELLTER, para implantar cargas úteis pós-exploração.

Microsoft Entra ID OAuth Phishing e Detecções

Este artigo explora o phishing OAuth e o abuso baseado em token no Microsoft Entra ID. Por meio da emulação e análise de tokens, escopo e comportamento do dispositivo durante a atividade de login, revelamos sinais de alta fidelidade que os defensores podem usar para detectar e procurar por uso indevido do OAuth.

Modalidades de mau comportamento: Detectando ferramentas, não técnicas

Exploramos o conceito de Modalidade de Execução e como detecções focadas em modalidade podem complementar aquelas focadas em comportamento.

Bit ByBit - emulação do maior roubo de criptomoeda da RPDC

Uma emulação de alta fidelidade do maior assalto à criptomoeda da RPDC por meio de um desenvolvedor macOS comprometido e pivôs da AWS.

Já disponível: o 2025 Estado da Engenharia de Detecção na Elastic

O 2025 State of Detection Engineering na Elastic explora como criamos, mantemos e avaliamos nossos conjuntos de regras SIEM e EDR.

Abuso do AWS SNS: Exfiltração de dados e phishing

Durante uma recente colaboração interna, investigamos tentativas de abuso de SNS publicamente conhecidas e nosso conhecimento da fonte de dados para desenvolver recursos de detecção.

Detectando keyloggers baseados em teclas de atalho usando uma estrutura de dados não documentada do kernel

Neste artigo, exploramos o que são keyloggers baseados em teclas de atalho e como detectá-los. Especificamente, explicamos como esses keyloggers interceptam as teclas digitadas e, em seguida, apresentamos uma técnica de detecção que utiliza uma tabela de teclas de atalho não documentada no espaço do kernel.

Engenharia de Detecção do Linux - O Grande Final da Persistência do Linux

Ao final desta série, você terá um conhecimento robusto das técnicas de persistência comuns e raras do Linux e entenderá como criar detecções eficazes para capacidades comuns e avançadas de adversários.

Emulando o AWS S3 SSE-C Ransom para detecção de ameaças

Neste artigo, vamos explorar como os agentes de ameaças aproveitam a criptografia do lado do servidor do Amazon S3 com chaves fornecidas pelo cliente (SSE-C) para operações de resgate/extorsão.

Engenharia de Detecção no Linux - Chegando ao topo nos mecanismos de persistência

Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

Anunciando o Programa Elastic Bounty para Proteções de Regras de Comportamento

A Elastic está lançando uma expansão do programa de recompensas de segurança, convidando pesquisadores a testar suas regras de SIEM e EDR para técnicas de evasão e bypass, começando pelos endpoints do Windows. Essa iniciativa fortalece a colaboração com a comunidade de segurança, assegurando que as defesas da Elastic permaneçam robustas contra ameaças em evolução.

Engenharia de detecção no Linux - Continuação sobre mecanismos de persistência

This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.

Detonating Beacons to Illuminate Detection Gaps

Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.

Exploring AWS STS AssumeRoot

Explore o AWS STS AssumeRoot, seus riscos, estratégias de detecção e cenários práticos para se proteger contra a elevação de privilégios e o comprometimento de contas usando os dados de SIEM e CloudTrail da Elastic.

Streamlining Security: Integrating Amazon Bedrock with Elastic

Este artigo irá guiá-lo pelo processo de configuração da integração com o Amazon Bedrock e ativação das regras de detecção predefinidas da Elastic para otimizar suas operações de segurança.

Eleve sua caça a ameaças com a Elastic

Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.

Cups Overflow: quando sua impressora derrama mais do que tinta

O Elastic Security Labs discute estratégias de detecção e mitigação de vulnerabilidades no sistema de impressão CUPS, que permitem que invasores não autenticados explorem o sistema via IPP e mDNS, resultando em execução remota de código (RCE) em sistemas baseados em UNIX, como Linux, macOS, BSDs, ChromeOS e Solaris.

Elastic releases the Detection Engineering Behavior Maturity Model

Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..

Engenharia de Detecção Linux - Uma Sequência sobre Mecanismos de Persistência

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

Protegendo seus dispositivos contra roubo de informações

Neste artigo, apresentaremos os recursos de keylogger e detecção de keylogging adicionados este ano ao Elastic Defend (a partir da versão 8.12), responsável pela proteção de endpoints no Elastic Security.

A Elastic aprimora a segurança do LLM com campos e integrações padronizados

Descubra os últimos avanços da Elastic em segurança LLM, com foco em integrações de campo padronizadas e recursos aprimorados de detecção. Saiba como a adoção desses padrões pode proteger seus sistemas.

Incorporação de segurança em fluxos de trabalho LLM: Abordagem proativa da Elastic

Mergulhe na exploração da segurança incorporada pela Elastic diretamente em modelos de linguagem grande (LLMs). Descubra nossas estratégias para detectar e mitigar várias das principais vulnerabilidades do OWASP em aplicativos LLM, garantindo aplicativos orientados por IA mais seguros e protegidos.

Engenharia de detecção de Linux com Auditd

Neste artigo, saiba mais sobre como usar o Auditd e o Auditd Manager para engenharia de detecção.

In-the-Wild Windows LPE 0-days: Insights & Detection Strategies

This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.

Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities

Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.

Revelando tendências de comportamento de malware

Uma análise de um conjunto de dados diversificado de malware do Windows extraído de mais de 100.000 amostras, revelando insights sobre as táticas, técnicas e procedimentos mais prevalentes.

Monitoramento de ameaças Okta com Elastic Security

Este artigo orienta os leitores sobre como estabelecer um laboratório de detecção de ameaças Okta, enfatizando a importância de proteger plataformas SaaS como a Okta. Ele detalha a criação de um ambiente de laboratório com o Elastic Stack, integrando soluções SIEM e Okta.

Ransomware no honeypot: como capturamos chaves com arquivos canary sticky

Este artigo descreve o processo de captura de chaves de criptografia de ransomware usando a proteção contra ransomware do Elastic Defend.

Guia inicial para entender o Okta

Este artigo se aprofunda na arquitetura e nos serviços da Okta, estabelecendo uma base sólida para pesquisa de ameaças e engenharia de detecção. Leitura essencial para aqueles que desejam dominar a caça e detecção de ameaças em ambientes Okta.

Dobrando a aposta: Detectando ameaças na memória com pilhas de chamadas ETW do kernel

Com o Elastic Security 8.11, adicionamos mais detecções baseadas em pilha de chamadas de telemetria do kernel para aumentar a eficácia contra ameaças na memória.

Google Cloud para análise de dados cibernéticos

Este artigo explica como conduzimos análises abrangentes de dados de ameaças cibernéticas usando o Google Cloud, desde a extração e pré-processamento de dados até a análise e apresentação de tendências. Ele enfatiza o valor do BigQuery, Python e Planilhas Google, mostrando como refinar e visualizar dados para uma análise criteriosa de segurança cibernética.

Sinalização interna: como o eBPF interage com os sinais

Este artigo explora algumas das semânticas dos sinais UNIX quando gerados a partir de um programa eBPF.

Simplificando a consulta ES|QL e a validação de regras: Integração com o GitHub CI

ES|QL é a nova linguagem de consulta canalizada da Elastic. Aproveitando ao máximo esse novo recurso, o Elastic Security Labs explica como executar a validação de regras ES|QL para o Detection Engine.

Acelerando o comércio de detecção elástica com LLMs

Saiba mais sobre como o Elastic Security Labs tem se concentrado em acelerar nossos fluxos de trabalho de engenharia de detecção, explorando recursos de IA mais generativos.

Usando LLMs e ESRE para encontrar sessões de usuários semelhantes

Em nosso artigo anterior, exploramos o uso do GPT-4 Large Language Model (LLM) para condensar as sessões de usuários do Linux. No contexto do mesmo experimento, dedicamos algum tempo para examinar sessões que compartilhavam semelhanças. Posteriormente, essas sessões semelhantes podem ajudar os analistas a identificar atividades suspeitas relacionadas.

Desvendando a cortina com pilhas de chamadas

Neste artigo, mostraremos como contextualizamos regras e eventos e como você pode aproveitar pilhas de chamadas para entender melhor quaisquer alertas encontrados em seu ambiente.

Usando LLMs para resumir sessões de usuário

Nesta publicação, falaremos sobre lições aprendidas e principais conclusões de nossos experimentos usando GPT-4 para resumir sessões de usuários.

Into The Weeds: Como corremos Detonate

Explore a implementação técnica do sistema Detonate, incluindo a criação de sandbox, a tecnologia de suporte, a coleta de telemetria e como explodir coisas.

Aumentando a aposta: Detectando ameaças na memória com pilhas de chamadas do kernel

Nosso objetivo é inovar mais do que os adversários e manter proteções contra as últimas tendências dos invasores. Com o Elastic Security 8.8, adicionamos novas detecções baseadas em pilha de chamadas do kernel, o que nos proporciona maior eficácia contra ameaças na memória.

Detecte a atividade do algoritmo de geração de domínio (DGA) com a nova integração do Kibana

Adicionamos um pacote de detecção de DGA ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo DGA e os ativos associados, incluindo configurações de pipeline de ingestão, trabalhos de detecção de anomalias e regras de detecção.

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

Clique, clique… Boom! Automatizando testes de proteção com Detonate

Para automatizar esse processo e testar nossas proteções em grande escala, criamos o Detonate, um sistema usado por engenheiros de pesquisa de segurança para medir a eficácia de nossa solução Elastic Security de forma automatizada.

Caça a bibliotecas suspeitas do Windows para execução e evasão de defesa

Saiba mais sobre como descobrir ameaças pesquisando eventos de carregamento de DLL, uma maneira de revelar a presença de malware conhecido e desconhecido em dados de eventos de processos ruidosos.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

Detecção de ataques de exploração de recursos naturais com a nova integração elástica.

Adicionamos um pacote de detecção de Vida da Terra (LotL) ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo ProblemChild e os ativos associados, incluindo configurações de detecção de anomalias e regras de detecção.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Identificando malware de beacon usando Elastic

Neste blog, orientamos os usuários na identificação de malware de beaconing em seu ambiente usando nossa estrutura de identificação de beaconing.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.

Google Workspace Attack Surface

During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.

Google Workspace Attack Surface

During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.

Get-InjectedThreadEx – Detectando trampolins de criação de threads

Neste blog, demonstraremos como detectar cada uma das quatro classes de trampolim de processo e liberar um script de detecção do PowerShell atualizado – Get-InjectedThreadEx

Análise da vulnerabilidade Log4Shell e CVE-2021-45046

Nesta postagem, abordamos as próximas etapas que a equipe do Elastic Security está tomando para que os usuários continuem se protegendo contra o CVE-2021-44228, ou Log4Shell.

Security operations: Cloud monitoring and detection with Elastic Security

As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.

Resumo da avaliação KNOTWEED

O KNOTWEED distribui o spyware Subzero por meio do uso de exploits de dia 0 para o Adobe Reader e o sistema operacional Windows. Depois que o acesso inicial é obtido, ele usa diferentes seções do Subzero para manter a persistência e executar ações no host.

Detecção de exploração do CVE-2021-44228 (log4j2) no Elastic Security

Este post do blog resume o CVE-2021-44228 e indica aos usuários do Elastic Security detecções para encontrar explorações ativas de vulnerabilidade em seu ambiente. Haverá atualizações com mais detalhes neste post à medida que novas informações surgirem sobre o assunto.

Regras de detecção para vulnerabilidade SIGRed

A vulnerabilidade SIGRed afeta todos os sistemas que utilizam o serviço de servidor DNS do Windows (Windows 2003+). Para defender seu ambiente, recomendamos implementar a lógica de detecção incluída nesta postagem do blog usando tecnologia como o Elastic Security.

Resposta da Elastic à vulnerabilidade Spring4Shell (CVE-2022-22965)

Forneça detalhes de nível executivo sobre CVE-2022-22965, uma vulnerabilidade de execução remota de código (RCE) recentemente divulgada, também conhecida como “Spring4Shell”.

Handy Elastic Tools for the Enthusiastic Detection Engineer

Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.

Detectando e respondendo a Dirty Pipe com Elastic

A Elastic Security está lançando lógica de detecção para o exploit Dirty Pipe.

Noções básicas sobre adversidade: caça à persistência usando Elastic Security (parte 2)

Saiba como o Elastic Endpoint Security e o Elastic SIEM podem ser usados para procurar e detectar técnicas de persistência maliciosas em escala.

Caçando ataques .NET na memória

Como continuação da minha apresentação na DerbyCon, esta postagem investigará uma tendência emergente de adversários usando técnicas de memória baseadas em .NET para evitar a detecção

Caçando na Memória

Os caçadores de ameaças são encarregados da difícil tarefa de vasculhar vastas fontes de dados diversos para identificar atividades adversárias em qualquer estágio do ataque.

Nimbuspwn: Aproveitando vulnerabilidades para explorar Linux via Privilege Escalation

A equipe do Microsoft 365 Defender divulgou uma postagem detalhando diversas vulnerabilidades identificadas. Essas vulnerabilidades permitem que grupos adversários aumentem privilégios em sistemas Linux, permitindo a implantação de payloads, ransomware ou outros ataques.

Como testar a visibilidade detecção do Okta com a Dorothy e o Elastic Security

Dorothy é uma ferramenta para equipes de segurança testarem os recursos de visibilidade e detecção para o ambiente Okta. As soluções IAM costumam ser alvo de invasores, mas pouco monitoradas. Saiba como começar a usar a Dorothy.

Adotando ferramentas ofensivas: Construindo detecções contra Koadic usando EQL

Encontre novas maneiras de criar detecções comportamentais em estruturas de pós-exploração, como o Koadic, usando a Linguagem de Consulta de Eventos (EQL).

Noções básicas sobre adversidade: caça à persistência usando Elastic Security (parte 1)

Saiba como o Elastic Endpoint Security e o Elastic SIEM podem ser usados para procurar e detectar técnicas de persistência maliciosas em escala.

Engenharia de segurança prática: detecção de estado

Ao formalizar a detecção com estado em suas regras, bem como em seu processo de engenharia, você aumenta sua cobertura de detecção em correspondências futuras e passadas. Nesta postagem do blog, saiba por que a detecção com estado é um conceito importante a ser implementado.

Elastic Security opens public detection rules repo

Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.