Résumé du Programme de Prime à la Menace — Résultats de Juillet 2024
Table des matières :
Création, soumission et publication de contenu de détection
Les membres de la communauté Threat Bounty continuent d’explorer et d’exploiter le potentiel d’Uncoder AI pour développer leurs compétences pratiques en ingénierie de la détection et monétiser leurs propres règles de détection avec la plateforme SOC Prime.
En juillet, 37 nouvelles détections réalisées par les membres du programme Threat Bounty ont été publiées avec succès sur le Marché de la détection des menaces. De plus, la qualité du contenu de détection soumis s’est améliorée, bien que de nombreuses règles aient été rejetées de la publication en raison d’une duplication partielle de détection avec le contenu de détection déjà existant. Une autre raison de refus de publication est que la logique de détection des règles soumises pouvait être facilement contournée dans les environnements des organisations, et ces règles ne peuvent donc pas être acceptées par SOC Prime pour publication et monétisation.
Si vous êtes intéressé par la création de vos propres règles de détection avec Uncoder AI et que vous souhaitez que vos règles soient publiées sur la plateforme SOC Prime pour la monétisation, voici les étapes à suivre :
- Postulez pour participer au Programme Threat Bounty. Dans la section des commentaires du formulaire de candidature, spécifiez votre expertise professionnelle et votre expérience.
- Une fois que l’équipe SOC Prime examine et approuve votre candidature, vous recevrez un accès étendu au Uncoder AI avec les fonctionnalités pour les membres du Threat Bounty.
- Configurez un dépôt de contenu personnalisé sur la plateforme. Vous utiliserez ce dépôt pour stocker les règles que vous avez créées.
- Créez, validez, enregistrez et soumettez vos propres règles de détection pour examen à l’aide d’Uncoder AI. Ce guide vidéo fournit des instructions plus spécifiques étape par étape sur le travail avec des règles de détection à l’aide d’Uncoder AI.
- Lorsque vos détections sont publiées sur la plateforme SOC Prime, consultez les tableaux de classement pour connaître les détails.
N’hésitez pas à rejoindre le serveur Discord de SOC Prime pour des discussions. Pour recevoir l’accès aux canaux privés pour les membres du Threat Bounty, veuillez contacter le modérateur du serveur. Nous encourageons tous les membres du programme Threat Bounty à utiliser Uncoder AI pour développer leurs compétences dans la création de règles de détection et acquérir une compréhension plus approfondie des particularités de la détection des menaces dans différents formats.
Règles de détection Threat Bounty les plus populaires
Les cinq règles de détection de menace suivantes par les membres du programme Threat Bounty ont été les plus populaires en juillet 2024 :
Exploitation potentielle de la vulnérabilité de validation des entrées dans ServiceNow (CVE-2024-4879) – règle par Emir Erdogan. Cette règle identifie les tentatives possibles d’exploitation de la vulnérabilité de validation des entrées dans ServiceNow via les journaux du serveur Web.
Détection de l’exécution de ligne de commande Akira Ransomware (via cmd line) – règle par d’après la recherche de REXor. Cette règle détecte des modèles d’exécution sur la ligne de commande spécifiques associés au ransomware Akira., based on REXor’s research. This rule detects specific command line execution patterns associated with Akira ransomware.
Abus possible de Microsoft Bitlocker en modifiant la clé de registre associée (via registry_event) – la règle par Emre Ay détecte les tentatives possibles de modification de la clé de registre associée, permettant l’abus de Microsoft Bitlocker.
Activité suspecte possible du ransomware Volcano Demon (LukaLocker) (via commandLine) – règle par Emir Erdogan qui identifie les activités malveillantes possibles, à savoir l’arrêt de service et les activités de redémarrage d’ordinateur du groupe de ransomware Volcano Demon avec l’aide de paramètres de ligne de commande.
Tentatives d’exécution de code à distance possible dans GeoServer en évaluant les expressions de nom de propriété (CVE-2024-36401) – autre règle par Emir Erdogan qui détecte les tentatives potentielles d’exploitation de la vulnérabilité d’exécution de code à distance non authentifiée de GeoServer (CVE-2024-36401) via les journaux du serveur Web.
Auteurs les plus populaires
Les règles de détection de ces cinq membres du programme Threat Bounty ont retenu le plus d’attention en juillet :
En juillet, Kyaw Pyiyt Htet a reçu un badge Contributeur de Confiance par SOC Prime pour reconnaître sa contribution aux règles de détection sur la plateforme SOC Prime. Nous avons également eu une réunion enrichissante avec Kyaw Pyiyt Htet, au cours de laquelle il nous a parlé de son succès personnel et de la façon dont sa participation au programme Threat Bounty l’a aidé à atteindre de nouveaux horizons dans sa carrière.
Rejoignez le Programme Threat Bounty pour améliorer vos compétences professionnelles et développer votre marque personnelle !
