Resumo da Recompensa de Ameaças da SOC Prime — Resultados de Setembro de 2023
Índice:
Conheça o novo Programa de Recompensas por Ameaças resumo que cobre as notícias e atualizações recentes da iniciativa de engenharia de detecção colaborativa da SOC Prime.
Submissões de Conteúdo de Recompensas por Ameaças
Em setembro, os membros do Programa de Recompensas por Ameaças enviaram 629 regras para revisão pela equipe da SOC Prime antes da publicação para monetização. Após a revisão e avaliação de qualidade, juntamente com várias iterações para melhorias sempre que possível, 90 regras foram aprovadas para publicação na Plataforma da SOC Prime.
Para garantir que tanto os desenvolvedores de conteúdo do Threat Bounty quanto a comunidade global de cibersegurança possam extrair o máximo valor da Plataforma SOC Prime, temos introduzido uma série de melhorias nos fluxos de trabalho e comunicações existentes para o Programa de Recompensas por Ameaças. Por exemplo, para garantir que os tutoriais sobre desenvolvimento de conteúdo de Threat Bounty sejam conhecidos e estejam disponíveis para os membros do Programa, lançamos um canal dedicado no servidor Discord da SOC Prime para compartilhamento de conhecimento e experiência com colegas.
Assim, a SOC Prime introduz mudanças nos fluxos de trabalho atuais, incluindo comunicação e supervisão pela equipe de engenharia de detecção da SOC Prime, aceitação de regras, processo de revisão e recompensas. As mudanças introduzidas são necessárias para garantir o desenvolvimento futuro do Programa de Recompensas por Ameaças e sua maturidade, bem como para alinhar a engenharia de detecção colaborativa com as necessidades da comunidade para detecção proativa de ameaças e caça às ameaças.
Principais Regras de Detecção do Programa de Recompensas por Ameaças
Estas são as regras que ganharam mais atenção dos clientes atuais da Plataforma:
- Possível Alvo Lokibot em Documento do Microsoft Office Usando Vulnerabilidades Conhecidas por Detecção de Comandos Associados (via criação de processo) – uma regra Sigma para caça a ameaças de Emre AY. Esta regra detecta a campanha Lokibot visando documento do Microsoft Office usando vulnerabilidades através de comandos associados.
- Possível Atividade da Campanha Steal-It Para Definir Variável de Ambiente Por Detecção de Linha de Comando Associada (via criação de processo) – uma regra de caça a ameaças de Mustafa Gurkan KARAKAYA. Esta regra detecta possível execução de comando de uma campanha steal-it para definir variável de ambiente com localização de arquivo suspeita.
- Execução Suspeita do Ransomware Akira por Detecção de Parâmetros Associados (via linha de comando) – uma regra de caça a ameaças de Osman Demir. Esta regra detecta possível campanha de ataque, e o malware executado com um parâmetro específico realiza atividades de ransomware.
- Possível Atividade de Enumeração do Ransomware BlackCat (também conhecido como ALPHV) por Detecção de Comando Powershell Associado (via script ps) – regra de caça a ameaças de Mustafa Gurkan KARAKAYA.
- Possível Habilitação do Agente do Apple Remote Desktop Para Executar Código Remoto e Movimentação Lateral Por Detecção de Comando Associado (via criação de processo) – regra de caça a ameaças de Emre AY. Esta regra detecta os adversários que tentam habilitar o gerenciamento de desktop remoto para acesso remoto ao sistema alvo para todos os usuários com todos os privilégios através da execução de um comando kickstart.
Principais Autores
Estes autores de regras de detecção do Programa de Recompensas por Ameaças tradicionalmente ganharam mais interações com seu conteúdo por parte dos usuários da Plataforma:
Incentivamos desenvolvedores entusiastas de regras de detecção SIEM a se juntarem ao Programa de Recompensas por Ameaças da SOC Prime e contribuírem para a defesa cibernética coletiva enquanto criam um portfólio pessoal com o líder de mercado e crescem profissionalmente na comunidade global de cibersegurança.
