Tag: Splunk SPL

Détection des menaces des appels système Linux dans Splunk avec Uncoder AI
Détection des menaces des appels système Linux dans Splunk avec Uncoder AI

Comment ça fonctionne La logique de détection ici est construite autour de la surveillance de l’utilisation du mknod syscall, qui est rarement utilisé dans les flux de travail légitimes mais peut être exploité par des attaquants pour : Créer de faux périphériques blocs ou caractères Interagir avec les interfaces du noyau Contourner les contrôles du […]

Read More
Exposer la falsification des journaux d’événements avec l’arbre décisionnel IA d’Uncoder AI pour les requêtes Splunk
Exposer la falsification des journaux d’événements avec l’arbre décisionnel IA d’Uncoder AI pour les requêtes Splunk

L’une des tactiques les plus avancées dans les playbooks des attaquants consiste à modifier les configurations des journaux d’événements pour effacer les traces de compromis. Détecter de telles tentatives via des modifications du Registre Windows est complexe—souvent nécessitant des requêtes Splunk détaillées qui filtrent par clés de registre et permissions. Pour interpréter rapidement ces requêtes, […]

Read More
Exposition de Script Suspect via CrushFTP avec Uncoder AI dans Microsoft Defender
Exposition de Script Suspect via CrushFTP avec Uncoder AI dans Microsoft Defender

Les services de transfert de fichiers comme CrushFTP sont essentiels pour les opérations commerciales—mais ils peuvent aussi être utilisés comme des tremplins furtifs pour des activités post-exploitation. Lorsqu’un processus serveur tel que crushftpservice.exe lance des interprètes de ligne de commande comme powershell.exe , cmd.exe , ou bash.exe , cela peut indiquer qu’un attaquant exécute des […]

Read More