Esta postagem no blog descreve o recurso de mapeamento de esquemas de dados personalizados disponível no SOC Prime Threat Detection Marketplace para planos de Assinatura Premium. O mapeamento de esquemas de dados personalizados permite que os usuários criem uma configuração de mapeamento personalizada para a maioria das fontes de log e plataformas, que pode ser […]
Digest de Regras: Segurança de Servidor Web e Detecção de Trojans
Continuamos chamando sua atenção para regras cujas capacidades estão além do conteúdo de detecção mais comum que analisa logs do Sysmon. Hoje em nosso resumo há duas regras para detectar ataques a servidores web, uma continuação de uma série de regras (1, 2) para descobrir traços de ataques do grupo de hackers Outlaw, e conteúdo […]
Regra IOC: Trojan Bancário Grandoreiro
Um artigo recentemente publicado “SIGMA vs Indicadores de Compromisso” por Adam Swan, nosso Engenheiro Chefe de Caça a Ameaças, demonstra os benefícios das regras de caça a ameaças Sigma sobre o conteúdo baseado em IOCs. Embora não possamos descartar as regras Sigma de IOC, já que elas podem ajudar a identificar um fato de comprometimento, além […]
SIGMA vs Indicadores de Compromisso
Propósito O objetivo deste post é destacar os benefícios de usar detecções baseadas em SIGMA em comparação com baseadas em IOC. Introdução Os Indicadores de Comprometimento (IOCs) – IPs, domínios, hashes, nomes de arquivos, etc., conforme relatado por pesquisadores de segurança, são consultados em sistemas e SIEMs para encontrar intrusões. Esses indicadores funcionam contra ataques […]
Conteúdo de Detecção: Ataque Relacionado à COVID-19 em Fornecedores Médicos
Nova regra Sigma por Osman Demir ajuda a detectar ataques de phishing relacionados à COVID-19 direcionados a fornecedores médicos. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ A campanha se tornou conhecida no final da semana passada, e os pesquisadores acreditam que está associada a golpistas 419 que exploram a pandemia de COVID-19 para ataques de Compromisso de Email Comercial. Os adversários […]
Integração entre SOC Prime e Humio: Destaques Técnicos
SOC Prime opera a maior e mais avançada plataforma de defesa cibernética colaborativa, permitindo que organizações globais busquem eficientemente ameaças emergentes a uma velocidade relâmpago. A plataforma Detection as Code da SOC Prime curadoria dos conteúdos de detecção de ameaças baseados em Sigma mais atualizados e integra-se com mais de 25 plataformas SIEM, EDR e […]
Regra Sigma: Grupo de Hackers Outlaw
A equipe da SOC Prime lançou uma nova regra Sigma baseada em IOCs que pode detectar os indicadores conhecidos do grupo de hackers Outlaw. Confira o link para ver as traduções disponíveis no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/ Além disso, você pode usar Uncoder para converter a regra Sigma para várias plataformas suportadas sem acesso ao seu […]
Resumo das Regras. APT e Malware: Conteúdo Lançado Esta Semana
Esta semana, as regras para detectar malware e atividade APT, tanto da nossa equipe quanto dos participantes do Programa de Recompensas de Ameaças ganharam destaque. Nos resumos, tentamos chamar sua atenção para regras interessantes publicadas na última semana. APT StrongPity por Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 APT StrongPity (também conhecido como Promethium) utiliza instaladores comprometidos de […]
Regra da Semana: Possível Arquivo Malicioso com Dupla Extensão
Os adversários podem disfarçar executáveis maliciosos como imagens, documentos ou arquivos, substituindo ícones de arquivos e adicionando extensões falsas aos nomes dos arquivos. Tais arquivos “elaborados” são frequentemente usados como anexos em e-mails de phishing, e este é um método bastante eficaz para infectar sistemas Windows devido à opção “Ocultar extensões de tipos de arquivos […]
Conteúdo de Threat Hunting: Descubra o Backdoor Bladabindi
O backdoor Bladabindi é conhecido desde pelo menos 2013. Seus autores monitoram as tendências de cibersegurança e melhoram o backdoor para evitar sua detecção: eles recompilam, renovam e rehash, tornando o conteúdo de detecção baseado em IOCs quase inútil. Em 2018, o backdoor Bladabindi tornou-se sem arquivos e foi utilizado como uma carga secundária entregue […]