Tag: Splunk SPL

Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI
Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI

Come Funziona La logica di rilevamento qui è costruita attorno al monitoraggio dell’uso della syscall mknod, che è raramente utilizzata nei flussi di lavoro legittimi ma può essere sfruttata dagli attaccanti per: Creare dispositivi a blocchi o a caratteri falsi Interagire con le interfacce del kernel Eludere i controlli del file system o stabilire backdoor […]

Read More
Esponendo la Manipolazione dei Registri di Evento con l’Albero Decisionale AI di Uncoder per le Query di Splunk
Esponendo la Manipolazione dei Registri di Evento con l’Albero Decisionale AI di Uncoder per le Query di Splunk

Una delle tattiche più avanzate nei playbook degli attaccanti è la manomissione delle configurazioni dei registri degli eventi per cancellare tracce di compromesso. Rilevare tali tentativi tramite modifiche al Registro di Windows è complesso—spesso coinvolge query dettagliate di Splunk che filtrano per chiavi di registro e permessi. Per comprendere rapidamente queste query, gli analisti si […]

Read More
Esposizione di Script Sospetti tramite CrushFTP con Uncoder AI in Microsoft Defender
Esposizione di Script Sospetti tramite CrushFTP con Uncoder AI in Microsoft Defender

I servizi di trasferimento file come CrushFTP sono fondamentali per le operazioni aziendali, ma possono anche essere utilizzati come piattaforme di lancio furtive per attività post-sfruttamento. Quando un processo del server come crushftpservice.exe genera interpreti da riga di comando come powershell.exe , cmd.exe , o bash.exe , potrebbe segnalare che un attaccante sta eseguendo comandi […]

Read More