🔬 Elastic выпустили 1000+ правил yara и 200+ эвристических правил |

🔬 Elastic выпустили 1000+ правил yara и 200+ эвристических правил

Закрытие уязвимостей

Elastic Security предоставляет правила YARA на основе сигнатур в продукте Elastic Endpoint.

Эти правила используются для обнаружения и предотвращения возникающих угроз в системах Linux, Windows и macOS.

В репозитории Elastic хранится более 1 000 правил YARA, которые используются каждый день для предотвращения широкого спектра угроз, включая: трояны, программы-вымогатли, криптомайнеры, фреймворки пентеста и многое другое.

Эти правила YARA могут быть использованы сообществом в различных случаях, например:

  • Защита сети
  • Поиск угроз
  • Реагирование на инциденты/экспертиза
  • Обработка/обогащение оповещений
  • Анализ вредоносного ПО

Правила Elastic Security Malicious Behavior

Предварительно созданные правила EQL с высоким уровнем сигнала, которые запускаются на конечной точке для пресечения вредоносного поведения.

Этот уровень защиты позволяет Elastic Agent защищать хосты Linux, Windows и macOS от широкого спектра методов атак, уделяя особое внимание следующим тактикам:

Предотвращение достигается путем объединения аналитики с ответными действиями по уничтожению конкретного процесса или всего дерева процессов, чтобы остановить противника на начальных этапах атаки.

Каждое правило защиты сопоставлено с наиболее релевантной тактикой, техникой и субтехникой MITRE ATT&CK.

Показатель истинных положительных результатов, который Elastic стремится поддерживать, составляет не менее 70%, поэтому они отдают приоритет точности логики аналитики, чтобы уменьшить область обнаружения с помощью профилактики.

Еще одним примером приверженности компании открытости в области безопасности является существующий публичный репозиторий правил обнаружения, где они делятся правилами EQL, которые работают на стороне SIEM и имеют более широкую логику обнаружения, что делает их более подходящими для обнаружения и охоты.

см. также:

 

Добавить комментарий