Elastic Detection Rules项目dev-v0.4.0版本发布:安全检测能力全面升级
Elastic Detection Rules是Elastic公司开源的一套安全检测规则库,主要用于Elastic Security解决方案中。该项目提供了大量预构建的检测规则,帮助安全团队识别各种安全威胁和异常行为。这些规则覆盖了端点安全、云安全、网络威胁检测等多个领域,支持多种操作系统和云服务提供商。
核心更新内容
云安全检测增强
本次更新显著增强了云环境的安全检测能力,特别是针对AWS和Azure平台:
-
AWS安全监控新增了多项关键检测规则:
- 针对AWS根账户自创建登录配置文件的检测
- AWS SQS队列清除操作的监控
- AWS EC2弃用AMI镜像的发现
- 异常AWS S3对象使用SSE-C加密的行为检测
- SNS主题消息由罕见用户发布的识别
-
Azure安全防护方面新增了:
- Entra MFA TOTP异常尝试检测
- 通过Azure注册应用程序可能存在的异常授权检测
Linux系统安全检测能力扩展
本次版本对Linux系统的安全检测进行了大规模扩展,新增了多项高级威胁检测能力:
-
认证机制保护:
- 可插拔认证模块(PAM)版本发现
- 非常规目录中的PAM模块创建
- PAM模块源代码下载监控
-
内核级威胁检测:
- 内核对象文件创建监控
- 可加载内核模块配置文件创建检测
- 动态链接器(ld.so)创建行为识别
-
系统完整性保护:
- 系统二进制路径文件权限修改检测
- GRUB配置文件和生成过程监控
- 预加载环境变量进程执行异常检测
Windows安全检测优化
Windows平台的检测规则也获得了多项改进:
-
持久化威胁检测:
- 不常见的注册表持久化变更检测优化
- 可疑WMI事件订阅创建行为检测增强
-
进程行为分析:
- 可疑通信应用子进程生成监控
- 进程名称伪装检测
-
审计策略监控:
- 敏感审计策略子类别被禁用的检测
检测引擎与规则优化
-
第三方EDR支持:全面增强了针对CrowdStrike和SentinelOne等第三方终端检测与响应解决方案的支持,涉及10个主要方面的改进。
-
规则性能优化:对多个现有规则进行了查询优化和阈值调整,包括Okta多会话检测和AWS KMS密钥检索等场景。
-
过时规则淘汰:移除了"Microsoft 365用户账户潜在异常登录"等过时检测规则。
技术实现亮点
-
多数据源关联:新规则充分利用了端点数据、云日志和网络流量等多源数据进行关联分析,提高了检测准确性。
-
异常行为基线:多个规则采用了基于用户或实体行为基线(UEBA)的方法,能够识别偏离正常模式的活动。
-
攻击链覆盖:新增规则全面覆盖了ATT&CK框架中的多个战术阶段,从初始访问到持久化、权限提升和防御规避等。
-
低误报设计:通过精确的过滤条件和合理的阈值设置,在保持高检出率的同时降低了误报可能性。
对安全运营的价值
-
云原生安全:增强的云服务检测能力使组织能够更好地监控和保护其云基础设施,特别是多账户AWS环境和Azure AD配置。
-
Linux深度防护:新增的Linux检测规则填补了传统安全解决方案在Linux系统上的监控盲区,特别是针对高级持久性威胁的检测。
-
威胁狩猎支持:配套提供的狩猎查询帮助安全团队主动寻找环境中可能存在的威胁指标,而不仅依赖实时检测。
-
合规支持:多项检测规则能够帮助组织满足各种合规框架中对特定安全事件的监控要求。
总结
Elastic Detection Rules项目的这次更新标志着其在云安全和Linux系统安全检测能力上的重大进步。通过新增的检测规则和现有规则的优化,安全团队现在能够更全面地监控混合环境中的安全威胁,特别是针对日益复杂的云环境和经常被忽视的Linux系统的攻击。这些改进使Elastic Security解决方案在威胁检测和响应能力上保持了行业领先地位。
- DDeepSeek-V3.1-BaseDeepSeek-V3.1 是一款支持思考模式与非思考模式的混合模型Python00
- QQwen-Image-Edit基于200亿参数Qwen-Image构建,Qwen-Image-Edit实现精准文本渲染与图像编辑,融合语义与外观控制能力Jinja00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~042CommonUtilLibrary
快速开发工具类收集,史上最全的开发工具类,欢迎Follow、Fork、StarJava04GitCode百大开源项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。06GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00openHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!C0298- WWan2.2-S2V-14B【Wan2.2 全新发布|更强画质,更快生成】新一代视频生成模型 Wan2.2,创新采用MoE架构,实现电影级美学与复杂运动控制,支持720P高清文本/图像生成视频,消费级显卡即可流畅运行,性能达业界领先水平Python00
- GGLM-4.5-AirGLM-4.5 系列模型是专为智能体设计的基础模型。GLM-4.5拥有 3550 亿总参数量,其中 320 亿活跃参数;GLM-4.5-Air采用更紧凑的设计,拥有 1060 亿总参数量,其中 120 亿活跃参数。GLM-4.5模型统一了推理、编码和智能体能力,以满足智能体应用的复杂需求Jinja00
Yi-Coder
Yi Coder 编程模型,小而强大的编程助手HTML013
热门内容推荐
最新内容推荐
项目优选









