Skip to main content
Lanterna Home

Splunk Lantern

Detecção de ataques de Zerologon

  1. Last updated
  2. Save as PDF

Zerologon CVE-2020-11472 é uma técnica usada por atacantes para atacar uma Microsoft Windows Controlador de domínio para redefinir a palavra-passe da sua conta de computador. Os invasores podem então conceder-se a si próprios privilégios elevados e assumir o Controlador de Domínio.

Estas pesquisas destinam-se a identificar actividades que indicam que a Conta de Computador do Controlador de Domínio foi alvo através de exploração remota de código ou através da utilização da ferramenta Mimikatz como transportadora de carga útil.

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.

Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: