我们一直在 Elastic Security Labs 努力工作!我们刚刚发布了一份全新的报告: Elastic 的检测工程现状 2025 。本报告让读者独家了解我们预先构建的SIEM 检测规则和端点保护行为规则集的开发和维护工作。
在本报告中,您将深入了解我们如何保护用户的安全,并获得有关检测工程领域的宝贵见解,例如:
- 我们如何分析现实世界的威胁,例如 CUPS 漏洞和 Windows 本地权限提升。
- 我们强大的规则开发策略,包括自动化和检测工程行为成熟度模型(DEBMM) 。
- 通过与 AWS、Okta 等的集成增强了Elastic Security 。
- 我们确保规则有效性的内部指标和评估流程。
- 我们与Elastic Global Threat Report 的合作以及我们的未来计划,包括 AI 威胁检测。
本报告代表了我们从 2023 10 月到 2024 年 10 月一整年的检测工程工作。我们选择这个时间范围来记录我们在 2023 Elastic 全球威胁报告之后的工作,并收集足够的数据来识别有意义的模式。
我们收集并分析了一整年的检测工程工作的所有背景数据,以阐述我们所做的事情以及我们如何做。包括安全实验室威胁研究出版物、来自我们的规则库活动的 GitHub 元数据、警报遥测和操作指标数据,用于指导和评估我们的检测工程工作。我们还与数据背后的威胁研究人员、检测工程师和开发人员进行了一系列访谈式对话。我们希望深入了解具体细节,并收集客户看到的输出(检测规则、威胁研究文章等)背后的流程细节。然后我们将这些细节整合在一起,创建一个可能使更大社区受益的有凝聚力的故事。
我们正在揭开检测工程实践的面纱,超越传统调查式的检测工程状况报告。通过披露这些信息(安全工具创建者通常保密的信息),我们旨在向用户展示我们的承诺,并强调您在安全旅程中并不孤单。我们会一直陪伴着您,陪伴您走过每一步。
讨论仍在继续
Elastic 安全实验室致力于为安全社区提供深入研究 — — 无论您是否是 Elastic 客户。通过分享我们如何管理和利用 Elastic Security 解决方案的细节,我们希望引发有关检测工程的更广泛的讨论,并鼓励社区对我们的工作负责。如果您有兴趣更广泛地了解该报告,您可以查看Elastic 上的博客。