Elastic Security Labsでは、これまで多くの取り組みに取り組んできました。このたび、 Elasticが 2025 した「Elasticの検出エンジニアリングの現状」という最新レポートを公開しました。このレポートでは、事前に作成された SIEM検出 ルールと エンドポイント保護動作 ルールセットの開発と保守の作業について、読者に独占的に紹介しています。
このレポートでは、ユーザーを保護するためにどのように取り組んでいるかを詳しく紹介し、検出エンジニアリングの世界について次のような貴重な洞察を得ることができます。
- CUPS の脆弱性や Windows ローカル特権昇格など、実際の脅威を分析する方法。
- 自動化や 検出エンジニアリング行動成熟度モデル(DEBMM)など、堅牢なルール開発戦略。
- Elasticセキュリティの強化:AWS、Oktaなどとの統合強化
- ルールの有効性を確保するための内部指標と評価プロセス。
- ElasticとElastic Global Threat Reportとのパートナーシップと、AI脅威検知などの今後の計画
このレポートは、 2023 年 10 月から 2024 年 10 月までの 1 年間の検出エンジニアリングの取り組みをまとめたものです。この時間枠は、 2023 のElastic Global Threat Reportに続く作業を記録し、意味のあるパターンを特定するのに十分なデータを収集するために選択しました。
私たちは、1年分の検知エンジニアリングの取り組みのすべてのコンテキストデータを収集して分析し、私たちが何を、どのように行うかのストーリーを構築しました。Security Labs の脅威研究の出版物、ルール リポジトリ全体のアクティビティからの GitHub メタデータ、アラート テレメトリ、運用メトリック データなど、検出エンジニアリングの取り組みをガイドし、評価するために使用されます。また、データの背後にいる脅威研究者、検出エンジニア、開発者とのインタビュー形式の会話も行いました。私たちは、お客様が目にするアウトプット(検知ルール、脅威調査記事など)の背後にあるプロセスの詳細を、詳細に掘り下げて収集したいと考えました。次に、これらの詳細をまとめて、より大きなコミュニティに利益をもたらす可能性のあるまとまりのあるストーリーを作成します。
私たちは、従来の調査スタイルのState of Detection Engineeringレポートを超えて、検出エンジニアリングの実践の幕を引いています。セキュリティツールの作成者が非公開にすることが多い情報であるこの情報を公開することで、ユーザーに対する当社のコミットメントを示し、セキュリティの旅はお客様だけではないという事実を強化することを目指しています。私たちは、一歩一歩、あなたと一緒にいます。
議論は続く
Elastic Security Labsは、Elasticのお客様であるかどうかにかかわらず、セキュリティコミュニティに詳細な調査を提供することに専念しています。Elasticセキュリティソリューションの管理方法と活用方法の詳細を共有することで、検出エンジニアリングに関する幅広い議論を巻き起こし、コミュニティがElasticの業務に責任を持つよう促したいと考えています。レポートを詳しく知りたい場合は、 Elasticのブログをご覧ください。