SOC Prime Threat Bounty Digest — Risultati di Agosto 2023
Indice:
I riepiloghi mensili di Threat Bounty coprono ciò che accade nella comunità SOC Prime Threat Bounty. Ogni mese, pubblichiamo notizie e aggiornamenti del Programma e diamo raccomandazioni su come migliorare i contenuti basate sulle nostre osservazioni e analisi durante la verifica del contenuto Threat Bounty.
Invii di contenuti Threat Bounty
Durante il mese di agosto, i membri del Threat Bounty Program hanno inviato 625 regole per la revisione da parte del team SOC Prime. Sebbene le regole subiscano una validazione automatica da parte di rule Warden, un esame approfondito e la validazione da parte del team di esperti garantiscono che solo le rilevazioni di migliore qualità siano disponibili sulla Piattaforma SOC Prime. Dopo la revisione e i miglioramenti suggeriti, 103 regole Sigma dei membri di Threat Bounty sono state pubblicate nel Threat Detection Marketplace e sono disponibili agli utenti della Piattaforma in base ai loro piani di abbonamento.
Siamo molto preoccupati per la situazione in cui molti sviluppatori di Threat Bounty, che sono stati membri attivi del Programma per mesi o addirittura anni, continuano a inviare contenuti che non soddisfano i criteri di accettazione del Programma. Per alcuni membri, la percentuale di regole pubblicate con successo è inferiore al 10% delle inviate. Ecco perché insistiamo sul fatto che gli sviluppatori Sigma di Threat Bounty, che vedono continuamente respinto la maggior parte del loro contenuto, dovrebbero rivedere regolarmente le linee guida di Threat Bounty disponibili nel Centro Assistenza e guardare i webinar di SOC Prime sulla creazione di contenuti. Il team SOC Prime e la comunità professionale sono qui per voi su Discord di SOC Prime in caso abbiate domande.
Regole di Rilevazione TOP Threat Bounty
Siamo lieti di presentare le prime 5 regole di rilevazione scritte dagli sviluppatori di Threat Bounty. Queste regole hanno dimostrato di rispondere al meglio alle esigenze di sicurezza delle aziende che utilizzano SOC Prime tra i contenuti di Threat Bounty.
- Possibile Esecuzione di Comando della Vulnerabilità Zero-Day di Citrix ADC (CVE-2023-3519) per Estrarre Informazioni in un Percorso Sospetto (via process_creation) La regola Sigma di Mustafa Gurkan KARAKAYA rileva possibili comandi utilizzati nello sfruttamento della vulnerabilità CVE-2023-3519 per copiare informazioni critiche e scrivere in un percorso sospetto.
- Possibile Rhysida Ransomware (RaaS) che Prende di Mira Istituzioni Governative in America Latina con Uso di Parametri della Riga di Comando Associati (via process_creation) La regola Sigma di Mehmet Kadir CIRIK rileva parametri sospetti della riga di comando utilizzati da Rhysida Ransomware.
- Possibile Esecuzione di Storm-0978 (RomCom) Sfruttando la Vulnerabilità Zero-day HTML di Microsoft Office [CVE-2023-36884] Attraverso le Porte SMB (via network_connection) La regola Sigma di Nattatorn Chuensangarun rileva attività sospette di Storm-0978 (RomCom) sfruttando la vulnerabilità Zero-day HTML di Microsoft Office (CVE-2023-36884) attraverso le porte SMB.
- Possibile Impatto del Trojan di Accesso Remoto XWORM e Attività di Esecuzione Rilevate da CommandLine Associati. [via Process_Creation] La regola Sigma di Phyo Paing Htun può rilevare l’impatto e le attività di esecuzione del trojan di accesso remoto XWORM che possono abusare della riga di comando per eseguire una richiesta POST ripetuta all’host fornito e pubblicare e anche eseguire lo spegnimento, il riavvio e la disconnessione.
- Rilevamento di Web Shell Sospetti di Citrix ADC Zero-Day [CVE-2023-3519] con File Associati (via file_event) La regola Sigma di Mustafa Gurkan KARAKAYA rileva possibili file di web shell rilasciati in percorsi di file sospetti dopo CVE-2023-3519 lo sfruttamento della vulnerabilità.
Autori Top
Vorremmo riconoscere e celebrare gli sviluppatori Sigma che hanno continuamente fornito intuizioni eccezionali contributo alle capacità di rilevazione delle minacce delle aziende che si affidano a SOC Prime nelle loro operazioni di sicurezza quotidiane. Ad agosto, i seguenti membri del programma hanno ottenuto lo stato di autori di alto livello di Threat Bounty:
Desideroso di unirti a un’iniziativa di ingegneria della rilevazione crowdsourced e monetizzare le tue competenze? Non esitare a unirti al Threat Bounty Programdi SOC Prime, dove puoi migliorare le tue competenze di rilevazione e caccia alle minacce e diventare parte della comunità professionale.
