Dateiübertragungsdienste wie CrushFTP sind entscheidend für Geschäftsabläufe — aber sie können auch als verdeckte Ausgangspunkte für Aktivitäten nach einer Exploitation genutzt werden. Wenn ein Serverprozess wie crushftpservice.exe Befehlszeileninterpreter wie powershell.exe , cmd.exe , oder bash.exe erzeugt, kann dies darauf hinweisen, dass ein Angreifer Befehle ausführt oder Nutzlasten unbemerkt einsetzt. In Microsoft Defender für Endpoint, solch […]
Potentiell unerwünschte Anwendungen (PUAs) wie NimScan.exe können unbemerkt in Unternehmensumgebungen operieren, interne Systeme ausloten oder laterale Bewegungen erleichtern. Die frühzeitige Erkennung dieser Tools ist entscheidend, um eine netzwerkweite Kompromittierung zu verhindern. Eine von SentinelOne kürzlich analysierte Erkennungsregel in SOC Primes Uncoder AI Plattform hebt diese Bedrohung hervor, indem sie Ereignisse identifiziert, bei denen der Zielprozesspfad […]
In der Bedrohungserkennung zählt jede Sekunde. Besonders beim Identifizieren von Werkzeugen wie NimScan—eine bekannte potenziell unerwünschte Anwendung (PUA) , die oft mit Aufklärungs- oder bösartigen Scanaktivitäten in Verbindung gebracht wird. Microsoft Sentinel stellt Erkennungsregeln für solche Bedrohungen bereit, die Kusto Query Language (KQL)nutzen, aber das vollständige Verständnis auf einen Blick kann zeitaufwendig sein. Hier kommt […]
Wie es funktioniert Die Ãœbersetzung von Erkennungslogik über Sicherheitsplattformen hinweg ist eine komplexe Aufgabe, die oft durch Syntaxunterschiede und Kontextverlust eingeschränkt wird. SOC Prime’s Uncoder AI löst dies, indem es ein hybrides Ãœbersetzungsmodell einsetzt, das sowohl auf deterministischer Analyse als auch auf künstlicher Intelligenz basiert. In diesem Fall wird eine Erkennungsregel, die in Microsoft Sentinels […]
Wie es funktioniert Moderne Erkennungsregeln beinhalten oft komplexe Logik, mehrere Filter und spezifische Suchmuster, die sie auf den ersten Blick schwer interpretierbar machen. Mit seiner Funktion ‚Vollständige Zusammenfassung‘ analysiert Uncoder AI automatisch eine bereitgestellte Erkennungsregel oder eine Abfrage und generiert eine detaillierte Erklärung in menschlich lesbarer Sprache. Wie im Beispiel gezeigt, wird eine Splunk-Abfrage, die […]
Wie es funktioniert Lange und komplexe Erkennungsabfragen — insbesondere solche, die mehrere Joins, Anreicherungen und Feldnachschläge beinhalten — werden häufig zu Engpässen in der Leistung. Dies gilt besonders für Abfragen in Microsoft Sentinel, wo nicht abgestimmte Joins oder eine schlechte Feldnutzung die Ergebnisse erheblich verzögern können. Um dies zu beheben, führt SOC Prime’s Uncoder AI […]
Wie es funktioniert Erkennungsregeln werden immer komplexer – vollgepackt mit verschachtelter Logik, Ausnahmen, Dateipfadfiltern und äußerst spezifischen Verhaltensbedingungen. Das Lesen und Interpretieren dieser Regeln, insbesondere der von Dritthersteller-Teams geschriebenen, ist selbst für erfahrene Erkennungstechniker zeitaufwändig. Da kommt Uncoder AIs Kurz-Zusammenfassung ins Spiel. Diese Funktion erstellt automatisch für Menschen lesbare, einzeilige Erklärungen komplexer Erkennungsabfragen – und […]
Wie es funktioniert Komplexe Bedrohungs-Erkennungsabfragen können häufig schwer interpretierbar und wartbar werden – besonders wenn sie mit verschachtelter Logik, Bedingungsausdrücken und mehreren Filtern versehen sind. Uncoder AI führt automatisierte Entscheidungsbaum-Zusammenfassungen ein, um dies zu lösen. Anhand des Beispiels Elastic Stack Query (EQL) liest Uncoder AI die Regel ein und erklärt sie in strukturiertem Englisch. Die […]
Wie es funktioniert Die On-the-fly-Anpassungsfähigkeit von Uncoder AI ermöglicht es Sicherheitsteams, Regeln und Abfragen sofort an ihre spezifische Umgebung mithilfe von Anpassungsprofilen anzupassen. Der Screenshot zeigt, wie Analysten: Wählen Benutzerdefinierte Feldzuordnungen um Tabellennamen, Indexstrukturen und Namenskonventionen anzupassen und die Kompatibilität mit internen Datenschemata sicherzustellen. Anwenden Voreinstellungenum Parameter wie Schwellenwerte, Schweregrade und Häufigkeitslogik sofort zu ändern. […]
Wie es funktioniert Diese Funktion ermöglicht es Erkennungsingenieuren, Erkennungsregeln in ihren eigenen Repositories zu speichern – zusammen mit aller Intelligenz, MITRE-Zuordnung und operativer Metadaten – im gleichen Format wie im Threat Detection Marketplace verwendet. Benutzer können eine Plattform wählen (z.B. Sigma), ein Repository-Ziel angeben und Kontext wie Schweregrad und Status bereitstellen. Die Regel und ihre […]