Questo post sul blog descrive la funzionalitĂ di mappatura dello schema dei dati personalizzato disponibile su SOC Prime Threat Detection Marketplace per i piani di abbonamento Premium. La mappatura dello schema dei dati personalizzato consente agli utenti di costruire una configurazione di mappatura personalizzata per la maggior parte delle fonti di log e delle piattaforme […]
Sintesi delle Regole: Sicurezza dei Server Web e Rilevamento di Trojan
Continuiamo a richiamare la vostra attenzione su regole le cui capacitĂ vanno oltre i piĂą comuni contenuti di rilevamento che analizzano i log di Sysmon. Oggi nel nostro digest ci sono due regole per rilevare attacchi ai Web Server, una continuazione di una serie di regole (1, 2) per scoprire tracce di attacchi del gruppo […]
Regola IOC: Trojan Bancario Grandoreiro
Un articolo pubblicato di recente “SIGMA vs Indicatori di Compromissione” di Adam Swan, il nostro Ingegnere Senior di Threat Hunting, dimostra i benefici delle regole Sigma per la caccia alle minacce rispetto ai contenuti basati su IOC. Anche se non possiamo trascurare le regole Sigma IOC, poichĂ© possono aiutare a identificare un fatto di compromissione, inoltre, […]
SIGMA vs Indicatori di Compromissione
Scopo Lo scopo di questo articolo è di evidenziare i vantaggi dell’utilizzo di rilevamenti basati su SIGMA rispetto a quelli basati su IOC. Introduzione Indicatori di Compromissione (IOC) – IP, domini, hash, nomi di file, ecc, come riportati dai ricercatori di sicurezza, vengono interrogati contro i sistemi e i SIEM per individuare intrusioni. Questi indicatori […]
Contenuto di Rilevamento: Attacco Relazionato al COVID-19 presso Fornitori Medici
Nuova regola Sigma di Osman Demir aiuta a rilevare attacchi di phishing correlati al COVID-19 mirati ai fornitori medici. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ La campagna è diventata nota alla fine della scorsa settimana e i ricercatori credono che sia associata a truffatori 419 che sfruttano la pandemia di COVID-19 per attacchi Business Email Compromise. Gli avversari inviano email […]
Integrazione SOC Prime & Humio: Aspetti Tecnici
SOC Prime gestisce la piĂą grande e avanzata piattaforma per la difesa informatica collaborativa, consentendo alle organizzazioni globali di cercare efficientemente minacce emergenti alla velocitĂ della luce. La piattaforma Detection as Code di SOC Prime cura il contenuto di rilevamento delle minacce basate su Sigma piĂą aggiornato e si integra con oltre 25 piattaforme SIEM, […]
Regola Sigma: Gruppo di Hacker Outlaw
Il SOC Prime Team ha rilasciato una nuova regola Sigma basata su IoC che può rilevare i noti indicatori del gruppo di hacker Outlaw. Controlla il link per visualizzare le traduzioni disponibili su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/ Inoltre, puoi usare Uncoder per convertire la regola Sigma in un numero di piattaforme supportate senza accesso al tuo […]
Riepilogo delle Regole. APT & Malware: Contenuti rilasciati questa settimana
Questa settimana, le regole per rilevare malware e attivitĂ APT, sia del nostro team che dei partecipanti del programma di ricompense SOC Prime Threat Bounty Program sono finite sotto i riflettori. Nei resoconti, cerchiamo di attirare la vostra attenzione su regole interessanti pubblicate nell’ultima settimana. APT StrongPity di Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 L’APT StrongPity (aka […]
Regola della Settimana: Possibile File Dannoso con Doppia Estensione
Gli avversari possono mascherare eseguibili dannosi come immagini, documenti o archivi, sostituendo le icone dei file e aggiungendo false estensioni ai nomi dei file. Tali file “artefatti” sono spesso utilizzati come allegati in email di phishing, ed è un modo abbastanza efficace per infettare i sistemi Windows a causa dell’opzione “Nascondi le estensioni per i […]
Contenuto di Threat Hunting: Scoprire il Backdoor Bladabindi
La backdoor Bladabindi è conosciuta almeno dal 2013, i suoi autori monitorano le tendenze della cybersecurity e migliorano la backdoor per evitarne il rilevamento: la ricompilano, aggiornano e rincorporano, per cui il contenuto di rilevamento basato su IOCs è quasi inutile. Nel 2018, la backdoor Bladabindi è diventata fileless ed è stata utilizzata come payload […]