Elastic Security

Elastic Securityで始める検知エンジニアリング — EQLとES|QLで攻撃を自動検出・集計する（第4回）

少し間が空きましたが、シリーズを再開します。第1〜3回でデータの取り込み・最初のルール作成・Timelineでの攻撃チェーン調査まで進みました。第4回はその続きです。 EQLのsequenceで「失敗のあとに成功した」攻撃パターンを自...

AIで変化の意味を読む：Elasticの新検知ツール（PoC）がAxios攻撃を捉えた方法

2026年3月、ソフトウェアサプライチェーンを狙った攻撃が相次ぎました。信頼されているライブラリやツールそのものが侵害され、開発者が普通に使うだけでリスクにさらされる状況が現実のものとなりました。その中で注目されたのが、JavaScript...

Elastic Securityで始める検知エンジニアリングー Timelineで攻撃の全体像を追う(第3回)

アラートは「何かが起きた」という通知にすぎません。「本当に攻撃なのか」「何をされたのか」を判断するには、アラートの前後に何が起きていたかを調査する必要があります。今回はTimelineを使って、ポートスキャンから始まりデータ持ち出しで終わる...

Axiosサプライチェーン攻撃速報：Elasticはこの攻撃をどう検知したのか

2026年3月末、広く使われているHTTPライブラリ Axios がサプライチェーン攻撃の標的になりました。サプライチェーン攻撃とは、利用者が普段から信頼しているソフトウェアや配布経路を悪用して、マルウェアを届ける手口です。今回の事件は「有...

Elastic Securityで始める検知エンジニアリング — KQLでログを読んで最初のルールを作る（第2回）

ログを読まずにルールは作れません。前回に続いて今回はDiscoverでイベントの中身を確認しながら、「ログイン失敗を検知する」最初のルールを正しい条件で作ります。ルール作成前にDiscoverで確認する習慣が、後々の誤検知を防ぐ最大のポイン...