Dentro del grupo de investigación de Elastic Security, un área sólida de enfoque es la implementación de mecanismos de detección para las capacidades que los adversarios están explotando actualmente dentro de los entornos. A menudo se esperara  ver el impacto que tendrá llevar estas capacidades al mercado desde el punto de vista de la detección. Esto permite a los investigadores explorar diferentes estrategias de detección a través de estas adiciones, lo que brinda una visión profunda de cuán efectiva puede ser la plataforma Elastic Security.

Cuando se lanzo Elastic Endpoint Security, el equipo agregó nuevos archivos y eventos de registro para brindar a los defensores una mejor visibilidad de las técnicas y procedimientos que involucran alguna forma de acceso a archivos confidenciales u objetos de registro:

• T1555.003 Credenciales de navegadores web
• T1003.002 Administrador de cuentas de seguridad
• T1003.004 LSA Secretos
• T1003.005 Credenciales de dominio en caché
• Credencial T1552.001 en Archivos
• T1555.004 Administrador de credenciales de Windows

Recientemente, uno de nuestros investigadores de seguridad, Samir Bousseaden, comenzó a detallar una serie de tácticas para cazar con algunos de estos nuevos tipos de datos y campos dentro de Elastic. Obtuvo algunos hallazgos interesantes sobre cómo aprovechar Elastic Security en su máximo potencial.

En la publicación técnica detallada de Samir, describe una serie de tácticas para la caza, incluido el aprovechamiento de la integración de seguridad de Endpoint para explorar estos nuevos eventos mediante consultas genéricas de KQL o EQL . 

Junto con estas consultas y capacidades de búsqueda estática, Samir cubre los detalles de nuestras reglas integradas de protección contra el comportamiento malicioso que pueden reaccionar automáticamente ante el acceso sospechoso a archivos/registros confidenciales y que están previstas para escenarios de mayor señal.

El Elastic Security existente puede acceder a estas capacidades dentro del producto. Si es nuevo en Elastic Security, eche un vistazo a nuestras guías de inicio rápido (videos de capacitación breves para que pueda comenzar rápidamente) o nuestros cursos gratuitos de capacitación básica . Consulte la documentación en línea para ver cómo puede actualizar sus implementaciones de Elasticsearch y Logstash . Siempre puedes comenzar con una prueba gratuita de 14 días de Elastic Cloud . O descarga gratis la versión autogestionada del Elastic Stack.