¿Qué pasa si implemento o diseño un nuevo Caso de Uso y quiero saber si mi empresa estuvo expuesta a la amenaza en el pasado? Mientras trabajaba con ArcSight, muchas personas se preguntan si hay una forma de realizar correlación histórica. Incluso tienen varios escenarios de la vida real para esto. El primero son los […]
Cómo solucionar problemas de análisis en QRadar sin soporte técnico
Todos los productos QRadar se pueden dividir en dos grupos: versiones antes de la 7.2.8 y todas las versiones más recientes. En las versiones de QRadar 7.2.8+, todos los cambios de análisis se realizan desde la consola WEB. Para solucionar un problema de análisis, debes seguir los siguientes pasos: Crea una búsqueda en la página […]
Entregar feeds de TI en ArcSight sin disparadores de falsos positivos
Cada usuario o administrador de ArcSight se enfrenta a disparadores falsos positivos de reglas mientras integra el feed de inteligencia de amenazas en ArcSight. Esto sucede principalmente cuando los eventos de la fuente de inteligencia de amenazas no están excluidos de la condición de la regla o cuando el conector intenta resolver todas las direcciones […]
Escenario de correlación simple para Splunk usando tablas de búsqueda
La correlación de eventos juega un papel importante en la detección de incidentes y nos permite centrarnos en los eventos que realmente importan a los servicios de negocio o procesos de TI/seguridad.
Petya.A / NotPetya es un arma cibernética potenciada por IA, los TTPs indican al grupo APT Sandworm
Ha sido un verano caluroso para la industria de la seguridad: en menos de una semana desde que se sospechó inicialmente que el ransomware Petya.A resultó ser mucho más de lo que parece. Los investigadores de seguridad de todo el mundo lo han denominado con razón NotPetya y EternalPetya, ya que el malware nunca pretendió […]
No más WannaCry: IOC’s de gusano ransomware, Tor C2 y análisis técnico + reglas SIEM
¡Buenas noticias a todos! Después de un día, noche y mañana bastante largos de estudiar las noticias, investigar y rastrear el #WannaCry ransomwareworm, hay algunos descubrimientos que compartir… Esto incluye Host y Network IOCs, su análisis obtenido con la ayuda de colegas investigadores de seguridad y practicantes, revisión de la infraestructura C2 y sus interacciones […]
Conferencia internacional sobre ciberseguridad «Cyber For All»
El 24.11.2016 SOC Prime, Inc organizó la primera conferencia internacional sobre ciberseguridad «Cyber For All» en Kiev, Ucrania. El personal de SOC Prime y sus socios comerciales realizaron presentaciones y varios clientes compartieron sus historias de éxito reales de su uso de los productos de SOC Prime. La conferencia contó principalmente con la asistencia de […]
Resumen del botnet Mirai: descripción de la amenaza, análisis y mitigación
Una cita de un famoso profesor “¡Buenas noticias para todos!” sería la más adecuada para los acontecimientos recientes cuando la Internet de las cosas que hizo estallar el infierno en todo el mundo digital, siendo el botnet Mirai uno de sus infames secuaces. Antes de los detectores de sarcasmo rotos: la situación es realmente tensa, […]
Phishing de cuentas DHL: «DHL y CONTRASEÑAS»
¡Hola a todos! Hoy nos enfocaremos en un ejemplo fresco de un simple phishing de la práctica actual, como siempre. Analicemos la siguiente carta:
Infiltración de infraestructura a través de RTF
Procedamos a estudiar una etapa del ataque llamada “Delivery” del Lockheed Martin Cyber Kill Chain.Se puede decir mucho sobre esta etapa, pero hoy solo compartiré el análisis de una muestra que he recibido recientemente para su análisis. La muestra atrajo mi atención por su simplicidad por un lado y su sofisticación por el otro. Definitivamente, […]