Esponendo la Manipolazione dei Registri di Evento con l’Albero Decisionale AI di Uncoder per le Query di Splunk

Una delle tattiche più avanzate nei playbook degli attaccanti è la manomissione delle configurazioni dei registri degli eventi per cancellare tracce di compromesso. Rilevare tali tentativi tramite modifiche al Registro di Windows è complesso—spesso coinvolge query dettagliate di Splunk che filtrano per chiavi di registro e permessi.

Per comprendere rapidamente queste query, gli analisti si stanno rivolgendo alla funzionalità Decision Tree generata da AI di Uncoder AI Questa non si limita a riassumere le query—le mappa visivamente in rami logici, aiutando i team di sicurezza a comprendere l’intento, l’ambito e i percorsi di esecuzione in pochi secondi.

Esplora Uncoder AI

Caso d’uso: rilevamento della manipolazione dei registri basata sul registro di eventi

In questo esempio, una query SPL di Splunk traccia le modifiche ai percorsi di registro relativi a:

• SYSTEM\CurrentControlSet\Services\EventLog
  
  
• Policies\Microsoft\Windows\EventLog
  
  
• Microsoft\Windows\CurrentVersion\WINEVT\Channels
  
  

Queste chiavi sono spesso mirate per disabilitare o deviare la conservazione dei log, in particolare tramite modifiche ai permessi a CustomSD or ChannelAccess.

La regola verifica anche Security Descriptor Definition Language (SDDL) modelli nel campo Dettagli —come D:(…—che indicano modifiche dirette ai permessi, un segnale d’allarme negli scenari di manomissione dei log.