Tag: Splunk SPL

작동 방식 여기서 탐지 논리는 모니터링을 중심으로 구축됩니다 사용 mknod 시스템 콜, 이는 정당한 워크플로에서는 드물게 사용되지만 공격자에 의해 악용될 수 있습니다: 가짜 블록 또는 문자 장치 생성 커널 인터페이스와 상호 작용 파일 시스템 제어나 백도어 설치를 우회 왼쪽 패널 – Sigma 규칙: 로그 소스: auditd on Linux 초점: syscall: mknod MITRE 기술로 태그됨 T1543.003 […]

공격자의 플레이북에서 더 고급 전술 중 하나는 손상 흔적을 지우기 위해 이벤트 로그 구성을 조작하는 것입니다. 이러한 시도를 감지하려면 Windows 레지스트리 수정 은 복잡합니다. 종종 레지스트리 키와 권한에 따라 필터링하는 자세한 Splunk 쿼리가 필요합니다. 이러한 쿼리를 빠르게 이해하기 위해 분석가들은 Uncoder AI의 AI 생성 의사 결정 트리 기능을 활용하고 있습니다. 이는 쿼리를 요약하는 것에 그치지 […]

파일 전송 서비스는 CrushFTP 이(가) 비즈니스 운영에 중요하지만, 탈취 후 활동의 은밀한 발판으로도 활용될 수 있습니다. 예를 들어, 서버 프로세스인 crushftpservice.exe 가 powershell.exe , cmd.exe , 또는 bash.exe 를 생성하면 공격자가 눈에 띄지 않게 명령을 실행하거나 페이로드를 배포하고 있을 가능성이 있습니다. In Microsoft Defender for Endpoint에는 이와 같은 활동이 Kusto Query Language (KQL)를 통해 포착될 […]