Resumo do Programa de Recompensas de Ameaças da SOC Prime — Resultados de Novembro de 2023

Conteúdo do Threat Bounty

Continuamos alinhando os esforços com Programa Threat Bounty membros ao enriquecer a Plataforma SOC Prime com conteúdo de detecção acionável para regras de detecção de comportamento. No cenário de ameaças em rápida mudança de hoje, os profissionais de segurança que utilizam a Plataforma SOC Prime para defender seus ambientes corporativos dependem de conteúdo SIEM capaz de detectar padrões comportamentais e usam Uncoder IA como um IDE para desenvolvimento de conteúdo interno ou análise ad-hoc de IOCs em consultas específicas acionáveis para SIEM ou EDR.

Explorar Detecções

Em vista disso, os requisitos e critérios de aceitação para as detecções do Threat Bounty que são submetidas para uma mudança de monetização na Plataforma SOC Prime servem como medidas essenciais para garantir a qualidade das regras de detecção submetidas. Por exemplo, padrões rigorosos para aceitação de regras do Threat Bounty estão em vigor para garantir que as detecções do Threat Bounty publicadas mantenham eficiência e praticidade e proporcionem confiança contínua dentro dos ambientes operacionais das empresas que utilizam a Plataforma SOC Prime.

Regras de Detecção do Threat Bounty Mais Importantes

As regras a seguir, que foram publicadas na Plataforma SOC Prime através do Programa Threat Bounty, ganharam mais interesse entre os usuários da Plataforma:

1. Regra Sigma de caça a ameaças Grupo de Ransomware Rhysida (RaaS) Alveja Instituições Governamentais da América Latina com Uso de Parâmetros de Linha de Comando Associados (via process_creation) by Mehmet Kadir CIRIK. Esta regra detecta parâmetros de linha de comando suspeitos usados pelo Ransomware Rhysida.
2. Alteração Suspeita de Chave de Registro de Atividade do Malware DarkGate (via registry_event) regra Sigma de caça a ameaças por Davut Selcuk. Esta regra detecta alterações em chaves de registro associadas ao DarkGate, um loader com capacidades de RAT vendido como Malware-as-a-Service (MaaS).
3. Execução Suspeita de Ransomware LockBit 3.0 pela Detecção de Comandos Associados (via cmdline) by Osman Demir. Esta regra Sigma de caça a ameaças detecta possível ransomware LockBit 3.0 distribuído enquanto disfarçado como e-mails de candidatura de emprego.
4. Possível Atividade de Descoberta de Sistema Remoto em Linux pela Detecção de Comando Associado (via process_creation) regra Sigma de caça a ameaças por Emre Ay. Esta regra detecta comportamento malicioso quando adversários tentam exibir uma tabela ARP para hosts que compartilham o mesmo segmento de rede em um sistema Linux.
5. Recuperação Suspeita de Valor Secreto em Texto Simples do Azure KeyVault Pela Detecção de Comando Associado (via process_creation) regra Sigma de caça a ameaças por Mustafa Gurkan KARAKAYA detecta possível recuperação de valor secreto do Azure Keyvault como texto simples via comando associado.

Principais Autores

As regras de detecção criadas por estes autores de conteúdo Threat Bounty ganharam as classificações mais altas com base nas atividades dos usuários da Plataforma que utilizam Marketplace de Detecção de Ameaças:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

Davut Selcuk

Gostaria de se tornar um Programa Threat Bounty membro e ajudar empresas em todo o mundo a se defenderem contra ameaças cibernéticas com suas próprias regras de detecção?