준비 운동: 자신 개발을 위한 ATT&CK 활용법

Posted on by Adam Swan

소개 많은 블루 팀들은 탐지 및 대응 성숙도를 높이기 위해 MITRE ATT&CK을 사용하고 있습니다. 블루 팀의 EDR 도구, 이벤트 로그, 트라이에이지 도구 등의 무기는 엔드포인트에서 발생하는 일을 열어주고 있습니다. 그러나 이상 현상은 정상적인 것이며, 이러한 경보와 데이터 소스는 대응 조치나 필터링을 진행하기 위해 우선 순위 분류가 필요합니다. ATT&CK 프로젝트는 공격을 이해하기 위한 도구로 사용할 수 […]

사이버 보안 회사에서 CFO의 일상적인 도전 과제

Posted on by Daryna Olyniychuk

나는 2015년 회사 창립 이후로 회사에서 일하고 있으며, 이 기간 동안 SOC Prime은 작은 스타트업에서 빠르게 성장하는 국제 기업으로 진화했습니다. 우리의 직원들 또한 개발 속도를 맞추기 위해 전문적으로 성장하고 있습니다. 우리 각자에게 있어서 SOC Prime에서의 일은 예기치 않은 도전과 경험을 가져왔습니다. 보안 및 피싱 처음부터 나는 진정한 사이버 보안 열정가들 사이에서 일하는 것이 어떤 것인지 […]

능동적 탐지 콘텐츠: CVE-2019-0708 대 ATT&CK, Sigma, Elastic 및 ArcSight

Posted on by Andrii Bezverkhyi

보안 커뮤니티 대부분이 CVE-2019-0708 취약성이 중요한 우선순위라는 데 동의했다고 생각합니다. “패치를 하세요!”라고 말하는 것이 가장 먼저 떠오르지만, WannaCry와 NotPetya의 기억이 여전히 생생합니다. 패치가 필요 속도로 대규모로 진행되지 않을 것을 알고 있습니다. 그러므로 우리는 다시 한번 탐지 규칙을 마련하고 있습니다! 작지만 중요한 세부 정보: CVE-2019-0708 취약성은 원격 데스크톱 서비스(RDS)와 관련이 있으며, 이는 Windows에서 원격 데스크톱 프로토콜(RDP)을 […]

ArcSight를 위한 Sigma 규칙 가이드

Posted on by Jordan Camba

Sigma 소개 Sigma는 Florian Roth와 Thomas Patzke가 만든 SIEM 시스템을 위한 범용 서명 형식을 만드는 오픈 소스 프로젝트입니다. 일반적인 비유로는 Sigma가 로그 파일의 Snort에 대한 IDS의 역할과 파일 기반 악성코드 탐지를 위한 YARA의 역할이라고 할 수 있습니다. 그러나 Snort와 YARA와는 달리 Sigma에 대한 지원은 각각의 애플리케이션에 내장될 필요가 없습니다. Sigma는 모든 플랫폼별 쿼리 언어에 대한 […]

SIEM ROI의 이론과 현실

Posted on by Andrii Bezverkhyi

SIEM에 대해 많은 것이 쓰여지고 있지만, 제 개인적인 경험은 2007년에 이 훌륭한 도구들과 함께 시작되었습니다. 오늘날 이 기술은 18년 이상 되었으며, SIEM은 모든 면에서 성숙한 시장입니다. 고객, 팀, 파트너들과 함께 전 세계 백여 개의 SIEM 프로젝트에 적극적으로 참여할 수 있는 특권을 누렸습니다. 우리는 함께 SOC를 처음부터 구축하고, 중요한 SOX 로그 소스를 구현하여 엄격한 감사 기한을 […]

스텔스피쉬 조사: 포춘 500대 기업을 겨냥한 BEC 공격에 관련된 528개 도메인

Posted on by Andrii Bezverkhyi

약 일주일 전에 우리 파트너 중 한 명에게서 “우리 환경에서 피싱 이메일이 날아다니고 있습니다(내부에서 내부로)”라는 정보와 이메일 샘플을 공유받았습니다. 오늘 우리는 포춘 500대 기업과 글로벌 2000대 기업을 대상으로 한 최근 피싱 공격, ‘스텔스피쉬’를 분석하려고 합니다. 이는 업무 이메일(BEC)을 침해하고 금융 전문가들을 속여 잘못된 계좌로 돈을 송금하도록 유도하는 것이 목표입니다. 이 사건은 IBM X-force IRIS의 2월 […]

QRadar와 VirusTotal 통합하기

Posted on by Sergii Tyshchenko

안녕하세요. 지난 기사에서는 규칙 생성에 대해 논의했습니다, 오늘은 SIEM 관리자들이 보안 사고에 더 빠르게 대응할 수 있도록 도와줄 방법을 설명하고자 합니다. QRadar에서 정보 보안 사건을 처리할 때, SOC에서 운영자와 분석가의 운영 속도를 높이는 것이 매우 중요합니다. 내장 도구 사용은 충분한 기회를 제공하지만 기술은 발전하고 새로운 제품과 플랫폼이 등장하고 있습니다. SOC에서 IS 전문가의 업무를 더욱 효율적으로 […]

Splunk. 조건에 따라 테이블 행에 색상을 지정하는 방법.

Posted on by Alex Verbniak

이전 기사에서는 Splunk에서 소스 접근성을 모니터링하는 간단한 대시보드를 만드는 방법을 시연했습니다. 오늘은 대시보드의 모든 표를 더욱 명확하고 편리하게 만드는 방법을 시연하고자 합니다. 다음의 내용을 살펴보겠습니다. 제 마지막 기사 그리고 색상 표 행을 사용하여 결과로 얻은 표의 기능을 계속 개선하겠습니다. 셀의 색상 표 행 만들기 더욱 명확하게 하기 위해 ‘Minutes_ago’ 열의 결과에 따라 셀을 꾸미고자 합니다: […]

아크사이트의 액티브 리스트, 자동 청소. Part 2

Posted on by Aleks Bredikhin

모든 ArcSight 콘텐츠 개발자들에게 아주 일반적인 작업은 예약된 기준이나 요구에 따라 자동으로 활성 리스트를 정리하는 것입니다. 이전 게시물에서는 트렌드를 사용하여 활성 리스트를 정기적으로 정리하는 방법을 설명했습니다: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/오늘은 이것을 달성할 수 있는 두 가지 방법을 더 보여드리겠습니다. ESM에서 명령줄 명령어를 기반으로 활성 리스트 자동 정리하기 주된 아이디어는 처음에 콘텐츠 패키지를 제거한 다음 명령줄에서 다시 설치하는 것입니다. […]

Splunk에서 소스 접근성을 모니터링하는 간단한 대시보드 만들기

Posted on by Alex Verbniak

이전 기사에서는 대시보드에서 편리한 시각화를 만들기 위해 의존 패널을 사용하는 방법을 살펴보았습니다. 놓친 경우, 다음 링크를 따르세요: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Splunk를 연구하기 시작한 많은 사람들은 수신 데이터의 가용성을 모니터링하는 것에 대해 질문합니다: 특정 소스로부터 마지막으로 데이터를 수신한 시점, 데이터가 더 이상 도착하지 않는 시점이나 현재 사용 불가능한 소스는 무엇인지. 따라서 오늘 우리는 Splunk 내에서 소스의 가용성에 대한 정보를 […]