Come Funziona La logica di rilevamento qui è costruita attorno al monitoraggio dell’uso della syscall mknod, che è raramente utilizzata nei flussi di lavoro legittimi ma può essere sfruttata dagli attaccanti per: Creare dispositivi a blocchi o a caratteri falsi Interagire con le interfacce del kernel Eludere i controlli del file system o stabilire backdoor […]
Come Funziona La regola Sigma mostrata è progettata per rilevare l’apertura di file da parte di Notepad con nomi che suggeriscono la memorizzazione di password, cosa che può indicare accesso non autorizzato alle credenziali o comportamento sospetto sui sistemi Windows. Pannello Sinistro – Regola Sigma: Cerca eventi di creazione di processi dove: Il processo padre […]
Come Funziona Uncoder AI legge una regola Sigma progettata per rilevare query DNS a infrastruttura malevola utilizzata dal malware Katz Stealer, e la traduce istantaneamente nella sintassi nativa di Palo Alto Cortex XSIAM. Pannello Sinistro – Rilevamento Sigma: Indirizza le query DNS a domini specifici di Katz Stealer (es., katz-panel.com , katzstealer.com) Utilizza il modello […]
Come Funziona Questa funzione consente agli ingegneri della rilevazione di convertire senza soluzione di continuità le regole Sigma in Google SecOps Query Language (UDM). Nello screenshot, la regola Sigma originale è progettata per rilevare le query DNS verso Katz Stealer domini conosciuti — una famiglia di malware associata all’esfiltrazione di dati e all’attività di command-and-control. […]
Come Funziona Uncoder AI prende il contenuto di rilevamento strutturato scritto in Sigma, un popolare formato aperto di regole di rilevamento, e lo converte automaticamente in logica specifica della piattaforma — in questo caso, sintassi di ricerca Endpoint di CrowdStrike. La regola Sigma descrive una tecnica in cui Deno (un runtime JavaScript sicuro) scarica e […]
Come Funziona Questa funzione di Uncoder AI analizza e convalida automaticamente le query di rilevamento scritte per Microsoft Sentinel utilizzando il Kusto Query Language (KQL). In questo esempio, l’input è una ricerca multi-condizione query progettata per identificare nomi di dominio collegati alla campagna SmokeLoader (mostrate le referenze CERT-UA). Il pannello di sinistra mostra la logica […]
Come funziona Questa funzione di Uncoder AI elabora report strutturati di minacce, come quelli in formato IOC (Indicatori di Compromesso), e li trasforma automaticamente in logica di rilevamento praticabile. Lo screenshot illustra: Pannello sinistro: Un report classico di intelligence sulle minacce sotto la campagna “COOKBOX”, mostrando hash, domini, IP, URL e chiavi di registro estratti […]
Come Funziona Questa funzione in Uncoder AI traduce complesse informazioni di minaccia in CSQL (Lingua di Query di Ricerca CrowdStrike) strutturato, consentendo un uso immediato all’interno di Falcon Endpoint Search. In questo esempio, gli indicatori di CERT-UA#13738 descrivono una campagna Gamaredon (UAC-0173 / LITENKODER) che sfrutta file ZIP e payload ospitati nel cloud. Uncoder AI […]
Come Funziona Questa funzionalità di Uncoder AI dimostra la sua capacità di analizzare e convalidare le query UDM di Chronicle coinvolgendo più condizioni basate su domini. In questo esempio, Uncoder AI elabora una query di caccia alle minacce associata a Sandworm (UAC-0133) attività, che prende di mira un insieme di .sh and .so domini. La […]
Come Funziona Questa funzione di Uncoder AI consente la creazione istantanea di query di rilevamento per VMware Carbon Black Cloud utilizzando informazioni strutturate sulla minaccia, come quelle da CERT-UA#12463. In questo caso, Uncoder AI elabora indicatori associati all’attività UAC-0099 e li formatta in una query di dominio sintatticamente corretta. Dati della Minaccia Analizzati Il report […]