Tag: Splunk SPL

Splunk에서 Uncoder AI를 활용한 리눅스 시스템 호출 위협 탐지
Splunk에서 Uncoder AI를 활용한 리눅스 시스템 호출 위협 탐지

작동 방식 여기서 탐지 논리는 모니터링을 중심으로 구축됩니다 사용 mknod 시스템 콜, 이는 정당한 워크플로에서는 드물게 사용되지만 공격자에 의해 악용될 수 있습니다: 가짜 블록 또는 문자 장치 생성 커널 인터페이스와 상호 작용 파일 시스템 제어나 백도어 설치를 우회 왼쪽 패널 – Sigma 규칙: 로그 소스: auditd on Linux 초점: syscall: mknod MITRE 기술로 태그됨 T1543.003 […]

Read More
언코더 AI의 Splunk 쿼리용 AI 의사결정 트리로 이벤트 로그 변조 탐지하기
언코더 AI의 Splunk 쿼리용 AI 의사결정 트리로 이벤트 로그 변조 탐지하기

공격자의 플레이북에서 더 고급 전술 중 하나는 손상 흔적을 지우기 위해 이벤트 로그 구성을 조작하는 것입니다. 이러한 시도를 감지하려면 Windows 레지스트리 수정 은 복잡합니다. 종종 레지스트리 키와 권한에 따라 필터링하는 자세한 Splunk 쿼리가 필요합니다. 이러한 쿼리를 빠르게 이해하기 위해 분석가들은 Uncoder AI의 AI 생성 의사 결정 트리 기능을 활용하고 있습니다. 이는 쿼리를 요약하는 것에 그치지 […]

Read More
Microsoft Defender에서 Uncoder AI로 CrushFTP를 통한 의심스러운 스크립트 노출
Microsoft Defender에서 Uncoder AI로 CrushFTP를 통한 의심스러운 스크립트 노출

파일 전송 서비스는 CrushFTP 이(가) 비즈니스 운영에 중요하지만, 탈취 후 활동의 은밀한 발판으로도 활용될 수 있습니다. 예를 들어, 서버 프로세스인 crushftpservice.exe 가 powershell.exe , cmd.exe , 또는 bash.exe 를 생성하면 공격자가 눈에 띄지 않게 명령을 실행하거나 페이로드를 배포하고 있을 가능성이 있습니다. In Microsoft Defender for Endpoint에는 이와 같은 활동이 Kusto Query Language (KQL)를 통해 포착될 […]

Read More