En Elastic, se cree en el poder del código abierto entendiendo la importancia de la comunidad. Al poner a la comunidad en primer lugar, se asegura de crear el mejor producto posible para los usuarios. Con Elastic Security, dos objetivos principales son detener las amenazas a gran escala y armar a todos los analistas . Hoy, se esta abriendo un nuevo repositorio de GitHub, reglas elásticas / de detección, para trabajar junto con la comunidad de seguridad, deteniendo las amenazas a mayor escala.

El lanzamiento del motor de detección en Elastic Security trajo la detección automatizada de amenazas a Elastic Stack. Desde el lanzamiento inicial del motor de detección, el equipo de Elastic Security Intelligence & Analytics ha agregado más de 50 reglas adicionales, aumentando la visibilidad de las técnicas de ataque en los sistemas operativos Linux, macOS y Windows. A medida que se continua expandiendo la cobertura, se verá una mayor amplitud en las detecciones, cubriendo nuevos dominios como los servicios en la nube y el comportamiento del usuario.

En las últimas versiones, se utilizo un repositorio interno para administrar las reglas del motor de detección. Se mejoro de forma iterativa los procedimientos de prueba al agregar pruebas automatizadas para nuevas contribuciones que validan la sintaxis del lenguaje de consulta Kibana (KQL), el uso del esquema y otros metadatos. El desarrollo de reglas ha madurado, por lo que podemos avanzar rápidamente sin romper las cosas.

Al abrir el repositorio GitHub de reglas de detección / elásticas , Elastic Security desarrollará reglas al aire libre junto con la comunidad, y le brinamos la bienvenida a sus detecciones impulsadas por la comunidad. Esta es una oportunidad para todos nosotros de compartir nuestro conocimiento colectivo, aprender unos de otros y tener un impacto trabajando juntos.

¿Qué hay en este nuevo repositorio?

En el repositorio de GitHub de elástico / detección de reglas , puede encontrar reglas escritas para Elastic Security, con cobertura para muchas técnicas MITER ATT & CK ®. Nuestra lógica de reglas actual está escrita principalmente en KQL , y al aprovechar el Elastic Common Schema (ECS) , solo necesitamos escribir reglas una vez. Al usar los campos y categorías definidos en ECS, las reglas funcionan automáticamente con los registros de Beats y otras fuentes de datos que se asignan correctamente a ECS.

Dentro de las reglas / carpeta, las reglas se almacenan en archivos TOML y se agrupan por plataforma. Tratamos de mantenerlo simple con una jerarquía plana para que sea más fácil encontrar y agregar nuevas reglas. Si está buscando reglas solo para Windows, navegue a reglas / ventanas . Si todavía tiene dificultades para encontrar una regla o desea buscar en todas las reglas, puede usar nuestra CLI ejecutando el comando python -m detection_rules rule-search, que mostrará los archivos que tienen metadatos coincidentes.

Cada regla contiene varios campos de metadatos además de la consulta misma. Esto captura información como el título, la descripción, el nivel de ruido, las asignaciones de ATT y CK, las etiquetas y el intervalo de programación. Tenemos algunos campos adicionales para ayudar a los analistas a realizar el triaje, describiendo falsos positivos conocidos o pasos útiles para una investigación. Para obtener más información sobre los metadatos relacionados con las reglas, consulte la guía de creación de reglas de Kibana o nuestro resumen de metadatos de reglas en la guía de contribución.

Más información y nota completa: Blog Elastic