SOC Prime Threat Bounty ダイジェスト — 2023年11月の結果

脅威懸賞コンテンツ

私たちは引き続きその努力を 脅威懸賞プログラム のメンバーと共に、行動可能な検出コンテンツでSOC Primeプラットフォームを豊かにすることを続けています。今日の急速に変化する脅威の状況では、企業環境を守るためにSOC Primeプラットフォームを利用するセキュリティ専門家は、動作パターンを検出し、 SOC Primeプラットフォーム を使用します。彼らはSIEMコンテンツに頼っており、それが動作パターンを検出できることを期待しています。また、 Uncoder IA を内部コンテンツ開発やIOCのアドホック解析から行動できるSIEMまたはEDR特定のクエリへの変換のためのIDEとして利用します。

検出を探索する

このような観点から、 要求事項と受け入れ基準 がSOC Primeプラットフォームでの収益化変更のために提出された脅威懸賞の検出のために設定されており、提出された検出規則の品質を保証するための重要な措置として機能します。たとえば、厳格な基準が脅威懸賞ルールの受け入れに適用され、公開された脅威懸賞の検出が効率性と作業可能性を維持し、SOC Primeプラットフォームを活用する企業の運用環境内での継続的な信頼性を提供することを保証します。

トップ脅威懸賞検出ルール

脅威懸賞プログラムを介してSOC Primeプラットフォームに公開された次のルールは、プラットフォームユーザーの間で最も関心を集めました：

1. 脅威ハンティングSigmaルール Rhysidaランサムウェア（RaaS）グループが関連するコマンドラインパラメータを使用して（via process_creation）ラテンアメリカの政府機関を標的とする by Mehmet Kadir CIRIK。このルールは、Rhysidaランサムウェアによって使用される疑わしいコマンドラインパラメータを検出します。
2. DarkGateマルウェア活動の疑わしいレジストリキー変更（via registry_event） が作成した脅威ハンティングSigmaルール Davut Selcuk。このルールは、Malware-as-a-Service（MaaS）として販売されるRAT機能を備えたローダーであるDarkGateに関連するレジストリキーの変更を検出します。
3. LockBit 3.0ランサムウェアの疑わしい実行を関連するコマンドの検出により（via cmdline） by Osman Demir。この脅威ハンティングSigmaルールは、職務アプリケーションメールとして偽装されて配布される可能性のあるLockBit 3.0ランサムウェアを検出します。
4. Linuxでの疑わしいリモートシステム発見活動を関連するコマンドの検出により（via process_creation） による脅威ハンティングSigma Emre Ay。このルールは、攻撃者がLinuxシステム上で同じネットワークセグメントを共有するホストのARPテーブルを表示しようとする際の悪意のある行動を検出します。
5. Azure KeyVaultから疑わしいプレーンテキスト秘密値の取得（via process_creation） が作成した脅威ハンティングSigmaルール Mustafa Gurkan KARAKAYA は、関連するコマンドを通じてAzure Keyvaultからプレーンテキストで秘密値を取得する可能性を検出します。

トップオーサー

これらの脅威懸賞コンテンツ作成者によって作成された検出ルールは、Platformユーザーの活動に基づいて最も高い評価を受けました： 脅威検出マーケットプレイス:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

Davut Selcuk

メンバーとなり、それ自身の検出ルールで企業がサイバー脅威から防御するのを手助けしたいですか？ 脅威懸賞プログラム member and help companies worldwide defend against cyber threats with your own detection rules?