Digest Prime Threat SOC – Résultats d’Août 2023
Table des matières :
Les digests mensuels de Threat Bounty couvrent ce qui se passe dans la communauté SOC Prime Threat Bounty. Chaque mois, nous publions les informations et mises à jour du programme et donnons des recommandations sur l’amélioration du contenu basées sur nos observations et analyses durant la vérification du contenu Threat Bounty.
Soumissions de Contenu de Threat Bounty
Au cours du mois d’août, les membres du programme Threat Bounty ont soumis 625 règles pour examen par l’équipe SOC Prime. Bien que les règles subissent une validation automatique par la règle Warden, une analyse approfondie et une validation par l’équipe d’experts garantissent que seules les détections de la meilleure qualité sont disponibles sur la plateforme SOC Prime. Après l’examen et les améliorations suggérées, 103 règles Sigma par les membres de Threat Bounty ont été publiées sur le Marché de Détection des Menaces et sont disponibles pour les utilisateurs de la plateforme selon leurs plans d’abonnement.
Nous sommes très préoccupés par la situation de nombreux développeurs de Threat Bounty qui, bien qu’étant membres actifs du programme depuis des mois voire des années, continuent de soumettre du contenu qui ne correspond pas aux critères d’acceptation du programme. Pour certains membres, le pourcentage de règles publiées avec succès est inférieur à 10 % des soumissions. C’est pourquoi nous insistons pour que les développeurs Sigma de Threat Bounty, qui voient continuellement la plupart de leur contenu rejeté, révisent régulièrement les directives de Threat Bounty disponibles sur le Centre d’Aide et regardent les webinaires SOC Prime sur la création de contenu. L’équipe SOC Prime et la communauté professionnelle sont là pour vous sur le Discord de SOC Prime si vous avez des questions.
TOP Règles de Détection Threat Bounty
Nous sommes ravis de vous présenter les 5 meilleures règles de détection écrites par les développeurs de Threat Bounty. Ces règles ont prouvé qu’elles répondent au mieux aux besoins de sécurité des entreprises utilisant SOC Prime parmi le contenu de Threat Bounty.
- Exécution Possible de Commandes de Vulnérabilité Citrix ADC Zero-Day (CVE-2023-3519) Pour Extraire des Informations Vers un Chemin Suspect (via process_creation) La règle Sigma par Mustafa Gurkan KARAKAYA détecte les commandes utilisées potentiellement pour exploiter CVE-2023-3519 vulnérabilité pour copier des informations critiques et écrire sur un chemin suspect.
- Possible Groupe Rhysida Ransomware (RaaS) Cible les Institutions Gouvernementales d’Amérique Latine avec Utilisation de Paramètres de Ligne de Commande Associés (via process_creation) La règle Sigma par Mehmet Kadir CIRIK détecte les paramètres de ligne de commande suspects utilisés par le Ransomware Rhysida.
- Exécution Possible de Storm-0978 (RomCom) en Exploitant la Vulnérabilité Microsoft Office Zero-day HTML [CVE-2023-36884] via Ports SMB (via network_connection) La règle Sigma par Nattatorn Chuensangarun détecte une activité suspecte de Storm-0978 (RomCom) en exploitant la Vulnérabilité Microsoft Office Zero-day HTML (CVE-2023-36884) à travers les Ports SMB.
- Impact et Activités d’Exécution du Cheval de Troie XWORM Détectées par les CommandLines Associées.[via Process_Creation] La règle Sigma par Phyo Paing Htun peut détecter l’impact et les activités d’exécution du cheval de Troie XWORM qui peuvent abuser de la ligne de commande pour effectuer une requête POST répétée à l’hôte fourni et aussi exécuter des processus d’arrêt, de redémarrage et de déconnexion.
- Détection de Shell Web Citrix ADC Zero-Day [CVE-2023-3519] Suspect Avec Fichiers Associés (via file_event) La règle Sigma par Mustafa Gurkan KARAKAYA détecte les fichiers de shell web possibles tombant sur un chemin de fichier suspect après CVE-2023-3519 l’exploitation de la vulnérabilité.
Meilleurs Auteurs
Nous tenons à reconnaître et à célébrer les développeurs Sigma qui ont continuellement fourni des aperçus exceptionnels contribuant aux capacités de détection des menaces des entreprises qui dépendent de SOC Prime dans leurs opérations de sécurité quotidiennes. En août, les membres du programme suivants ont acquis le statut d’auteurs Threat Bounty les mieux notés :
Vous souhaitez participer à une initiative d’ingénierie de détection participative et monétiser vos compétences ? N’hésitez pas à rejoindre le Programme Threat Bountyde SOC Prime, où vous pouvez améliorer vos compétences en détection et chasse aux menaces et faire partie de la communauté professionnelle.
