Skip to main content
Lanterna Home

Splunk Lantern

Detecção de ataques Netsh

  1. Last updated
  2. Save as PDF

É uma prática comum para atacantes de todos os tipos alavancar os nativos Windows ferramentas e funcionalidades para executar comandos por razões maliciosas, e Netsh.exe é uma dessas ferramentas com potencial de abuso. Pode ser utilizado localmente ou remotamente como um utilitário de script de linha de comando para exibir ou modificar a configuração de rede de um computador em execução.

É um analista responsável pela postura geral de segurança da sua organização. Precisa de ser capaz de detetar atividades associadas ao abuso de Netsh, através das quais netsh.exe pode desactivar as definições locais da firewall ou configurar uma ligação remota a um sistema anfitrião a partir de um sistema infectado.

Dados requeridos

  • Microsoft : Windows registos de início do processo e Sysmin

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Poderá também achar este caso de utilização útil nos seus esforços de caça de ameaças:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.