Elastic Security предоставляет правила YARA на основе сигнатур в продукте Elastic Endpoint.
Эти правила используются для обнаружения и предотвращения возникающих угроз в системах Linux, Windows и macOS.
В репозитории Elastic хранится более 1 000 правил YARA, которые используются каждый день для предотвращения широкого спектра угроз, включая: трояны, программы-вымогатли, криптомайнеры, фреймворки пентеста и многое другое.
Эти правила YARA могут быть использованы сообществом в различных случаях, например:
- Защита сети
- Поиск угроз
- Реагирование на инциденты/экспертиза
- Обработка/обогащение оповещений
- Анализ вредоносного ПО
Правила Elastic Security Malicious Behavior
Предварительно созданные правила EQL с высоким уровнем сигнала, которые запускаются на конечной точке для пресечения вредоносного поведения.
Этот уровень защиты позволяет Elastic Agent защищать хосты Linux, Windows и macOS от широкого спектра методов атак, уделяя особое внимание следующим тактикам:
Предотвращение достигается путем объединения аналитики с ответными действиями по уничтожению конкретного процесса или всего дерева процессов, чтобы остановить противника на начальных этапах атаки.
Каждое правило защиты сопоставлено с наиболее релевантной тактикой, техникой и субтехникой MITRE ATT&CK.
Показатель истинных положительных результатов, который Elastic стремится поддерживать, составляет не менее 70%, поэтому они отдают приоритет точности логики аналитики, чтобы уменьшить область обнаружения с помощью профилактики.
Еще одним примером приверженности компании открытости в области безопасности является существующий публичный репозиторий правил обнаружения, где они делятся правилами EQL, которые работают на стороне SIEM и имеют более широкую логику обнаружения, что делает их более подходящими для обнаружения и охоты.
см. также:
- 🔬 Как писать правила YARA для повышения безопасности и обнаружения вредоносных программ
- 🐳 Запуск Elastic stack (ELK) в контейнерах Docker с помощью Docker Compose
- ☸️ Проброс логов Kubernetes в Elasticsearch (ELK) с помощью Fluentbit
- 👀 Как установить Elasticsearch на Ubuntu 20.04
- 🐧 Настройка кластера Elasticsearch на CentOS 8/7 | Ubuntu 20.04 / 18.04 с Ansible
- 🔬 Повышаем свою защиту, используя инструмент с открытым исходным кодом YARA
- 🐧 Как контролировать целостность файлов в Linux с помощью Osquery