Estamos comenzando una serie de entrevistas con participantes del Programa de Desarrolladores (https://my.socprime.com/en/tdm-developers) para presentarles a estas maravillosas personas que están buscando en la web amenazas relevantes y crean contenido único para su detección. ¡Conozcan a Lee Archinal! Hola Lee, espero que hoy estés lo suficientemente inspirado para escribir un poco sobre ti y tu […]
Calentando Motores. Usando ATT&CK para el Autoavance
Introducción Muchos equipos azules están utilizando MITRE ATT&CK para avanzar en la madurez de su detección y respuesta. El arsenal de herramientas EDR, registros de eventos y herramientas de triaje del equipo azul están desvelando la historia de lo que ocurre en los endpoints. Sin embargo, las anomalías son normales y estas alertas y fuentes […]
Desafíos Diarios del CFO en una Empresa de Ciberseguridad
He estado trabajando en la empresa desde su fundación en 2015, y durante este tiempo SOC Prime ha evolucionado de una pequeña startup a una empresa internacional de rápido crecimiento. Nuestros empleados también están creciendo profesionalmente para mantenerse al ritmo del desarrollo. Para cada uno de nosotros, trabajar en SOC Prime ha traído desafíos inesperados […]
Contenido de detección proactiva: CVE-2019-0708 frente a ATT&CK, Sigma, Elastic y ArcSight
Creo que la mayoría de la comunidad de seguridad ha acordado que la vulnerabilidad CVE-2019-0708 es de prioridad crítica para tratar. Y aunque decir «¡instala tus actualizaciones!» puede parecer lo primero que uno debería pensar, los recuerdos de WannaCry y NotPetya aún están frescos en mi mente. Sabemos que la instalación de parches no sucederá […]
Guía de Reglas Sigma para ArcSight
Introducción a Sigma Sigma, creado por Florian Roth y Thomas Patzke, es un proyecto de código abierto para crear un formato de firma genérico para sistemas SIEM. La analogía común es que Sigma es el equivalente en archivos de registro de lo que Snort es para IDS y lo que YARA es para la detección […]
La teoría y realidad del ROI del SIEM
Se escriben muchas cosas sobre SIEM, sin embargo, mi experiencia personal con estas maravillosas herramientas comenzó en 2007. Hoy en día la tecnología en sí tiene más de 18 años y SIEM es por todos los medios un mercado maduro. Junto con clientes, equipo y socios tuve el privilegio de participar activamente en más de […]
Investigación de Stealthphish: 528 dominios involucrados en ataque BEC contra empresas Fortune 500
Hace aproximadamente una semana recibimos esta información de uno de nuestros socios “Estamos viendo correos electrónicos de phishing volando en nuestro entorno (Interno a Interno)” junto con el envío de una muestra de correo. Hoy vamos a analizar los recientes ataques de phishing dirigidos a empresas Fortune 500 y Global 2000 apodados “Stealthphish”, cuyo objetivo […]
Integración de QRadar con VirusTotal
Hola. En el último artículo consideramos crear reglas, y hoy quiero describir el método que ayudará a los administradores de SIEM a responder más rápidamente a posibles incidentes de seguridad. Cuando se trabaja con incidentes de seguridad de la información en QRadar, es extremadamente importante aumentar la velocidad de operación de los operadores y analistas […]
Splunk: Cómo colorear filas de tabla basadas en condiciones.
En el artículo anterior he demostrado cómo crear un sencillo panel de control que monitorea la accesibilidad de las fuentes en Splunk. Hoy quiero mostrarte cómo hacer que cualquier tabla en el panel sea más evidente y conveniente. Veamos mi último artículo y continuemos mejorando la funcionalidad de la tabla que obtuve como resultado con […]
Listas Activas en ArcSight, Limpieza Automática. Parte 2
Una tarea muy común para todos los desarrolladores de contenido de ArcSight es limpiar listas activas de forma programada o bajo demanda automáticamente. En el post anterior he descrito cómo limpiar Listas Activas de forma programada usando tendencias: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Hoy te mostraré otras dos formas de lograrlo. Limpieza automática de Listas Activas basada en comandos de […]