Tag: Splunk SPL

Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI
Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI

Como Funciona A lógica de detecção aqui é construída em torno do monitoramento do uso do syscall mknod, que raramente é utilizado em fluxos de trabalho legítimos, mas pode ser explorado por atacantes para: Criar dispositivos de bloco ou de caráter falsos Interagir com interfaces do kernel Contornar controles de sistema de arquivos ou estabelecer […]

Read More
Expondo a Alteração de Logs de Eventos com a Árvore de Decisão de IA do Uncoder AI para Consultas Splunk
Expondo a Alteração de Logs de Eventos com a Árvore de Decisão de IA do Uncoder AI para Consultas Splunk

Uma das táticas mais avançadas nos playbooks dos atacantes é adulterar as configurações dos logs de eventos para apagar rastros de comprometimento. Detectar tais tentativas via modificações no Registro do Windows é complexo — geralmente envolve consultas detalhadas do Splunk que filtram por chaves de registro e permissões. Para entender rapidamente essas consultas, os analistas […]

Read More
Expondo Scripts Suspeitos via CrushFTP com Uncoder AI no Microsoft Defender
Expondo Scripts Suspeitos via CrushFTP com Uncoder AI no Microsoft Defender

Serviços de transferência de arquivos como CrushFTP são críticos para operações comerciais — mas também podem ser usados como plataformas de lançamento furtivas para atividades pós-exploração. Quando um processo de servidor, como crushftpservice.exe gera interpretadores de linha de comando como powershell.exe , cmd.exe , ou bash.exe , pode sinalizar que um invasor está executando comandos […]

Read More