SOC Prime Threat Detection Marketplace (SOC Prime TDM) ist eine gemeinschaftsbasierte Bibliothek mit relevantem und umsetzbarem Bedrohungserkennungsinhalt, die seit mehr als fünf Jahren Cybersecurity-Content-Autoren vereint, um die besten Inhalte der Community zu liefern und den Cyberspace zu verteidigen. SOC Prime TDM bietet vorgefertigte, getestete Regelpakete, SIGMA-Regeln, YARA-Regeln, RED-Tests, Snort-Regeln, Parser, native Integrationsanwendungen sowie Unterstützungsdienste für […]
Interview mit Entwickler: Florian Roth
Wir setzen eine Reihe von Interviews mit Teilnehmern des Developer Programms fort (https://my.socprime.com/en/tdm-developers). Das vorherige Interview ist hier: https://socprime.com/blog/interview-with-developer-lee-archinal/ Lernen Sie Florian Roth kennen. Florian Roth ist CTO der Nextron Systems GmbH. Er ist der Schöpfer von APT Scanner THOR – Scanner für Angreiferaktivitäten und Hack-Tools und der Entwickler des umfassendsten handgefertigten Yara-Regel-Feeds der Nextron […]
Kontinuierliche Compliance als Code P1: Sigma
Compliance war schon immer eine Art reaktiver Prozess, da Standards lang sind, enormen Aufwand erfordern und eine Weile brauchen, um aktualisiert zu werden, noch mehr Zeit zur Umsetzung benötigen und der Prüfprozess einmal im Jahr stattfindet. Aus der SIEM-Welt kommend, befasste ich mich mit Compliance durch ein Prisma von vorgefertigten Berichten, die in der Regel […]
Interview mit Entwickler: Lee Archinal
Wir beginnen eine Reihe von Interviews mit Teilnehmern des Developer Program (https://my.socprime.com/en/tdm-developers) um Ihnen diese wunderbaren Menschen vorzustellen, die im Internet nach relevanten Bedrohungen suchen und einzigartige Inhalte für deren Erkennung erstellen. Treffen Sie Lee Archinal! Hallo Lee, ich hoffe, Sie sind heute inspiriert genug, um ein wenig über sich selbst und Ihre Erfahrungen mit […]
Aufwärmen. Nutzen von ATT&CK für die persönliche Weiterentwicklung
Einführung Viele Blue Teams nutzen MITRE ATT&CK, um ihre Erkennungs- und Reaktionsfähigkeit zu verbessern. Die Werkzeugsammlung der Blue Teams, bestehend aus EDR-Tools, Ereignisprotokollen und Triage-Tools, eröffnet die Geschichte dessen, was auf Endpunkten geschieht. Anomalien sind jedoch normal und diese Warnungen und Datenquellen müssen triagiert werden, um die Reaktionsmaßnahmen oder das Filtern fortzusetzen. Das ATT&CK-Projekt bietet […]
Tägliche Herausforderungen des CFO in einem Cybersicherheitsunternehmen
Ich arbeite seit der Gründung des Unternehmens im Jahr 2015 für die Firma und in dieser Zeit hat sich SOC Prime von einem kleinen Startup zu einem schnell wachsenden internationalen Unternehmen entwickelt. Unsere Mitarbeiter wachsen auch professionell, um mit dem Entwicklungstempo Schritt zu halten. Für jeden von uns brachte die Arbeit bei SOC Prime unerwartete […]
Proaktive Erkennungsinhalte: CVE-2019-0708 vs ATT&CK, Sigma, Elastic und ArcSight
Ich denke, dass sich der Großteil der Sicherheitsgemeinschaft darauf geeinigt hat, dass die CVE-2019-0708-Schwachstelle von kritischer Priorität ist, um behandelt zu werden. Und während der Satz „Patcht eure Systeme!“ wie das Erste klingt, woran man denken sollte, sind die Erinnerungen an WannaCry und NotPetya noch frisch. Wir wissen, dass das Patchen nicht mit der Geschwindigkeit […]
Sigma-Regeln Handbuch für ArcSight
Einführung in Sigma Sigma, entwickelt von Florian Roth und Thomas Patzke, ist ein Open-Source-Projekt zur Erstellung eines generischen Signaturformats für SIEM-Systeme. Die gängige Analogie besagt, dass Sigma das Logdatei-Äquivalent zu dem ist, was Snort für IDS und YARA für dateibasierte Malware-Erkennung darstellt. Im Gegensatz zu Snort und Yara muss jedoch die Unterstützung für Sigma nicht […]
Die Theorie und Realität des SIEM-ROI
Über SIEM wird viel geschrieben, doch meine persönliche Erfahrung mit diesen wunderbaren Werkzeugen begann bereits im Jahr 2007. Heute ist die Technologie selbst über 18 Jahre alt und der SIEM-Markt ist in jeder Hinsicht reif. Zusammen mit Kunden, dem Team und Partnern hatte ich das Privileg, aktiv an mehr als hundert SIEM-Projekten weltweit teilzunehmen. Gemeinsam […]
Stealthphish-Untersuchung: 528 Domains in BEC-Angriff auf Fortune-500-Unternehmen verwickelt
Vor etwa einer Woche erhielten wir von einem unserer Partner die Nachricht: „Wir sehen Phishing-E-Mails, die in unserer Umgebung herumfliegen (intern zu intern)“, zusammen mit einem E-Mail-Beispiel. Heute werden wir die jüngsten Phishing-Angriffe analysieren, die auf Fortune 500- und Global 2000-Unternehmen abzielen, die als „Stealthphish“ bekannt sind und darauf abzielen, geschäftliche E-Mails (BEC) zu gefährden […]