Skip to main content
Lanterna Home

Splunk Lantern

Detecção de disfarcamento

  1. Last updated
  2. Save as PDF

No mascaramento, os adversários alavancam contas de funcionários válidas para obter acesso a sistemas internos. À medida que recolhem credenciais, também implantam ferramentas e técnicas para manter a persistência e fugir das defesas. Por exemplo:

  • Os adversários podem renomear utilitários de sistema legítimos para tentar fugir dos mecanismos de segurança relativos ao uso desses utilitários.
  • Um invasor pode tentar usar uma versão diferente de um comando do sistema sem sobrepor o original ou pode tentar evitar alguma detecção executando o processo a partir de uma pasta diferente.
  • Podem executar executáveis ou scripts a partir de caminhos de ficheiros em Windows que normalmente não os hospedam.
  • Podem iniciar processos a partir de ficheiros que tenham extensões duplas no nome do ficheiro. Isto é normalmente feito para obscurecer a extensão do ficheiro “real” e fazer parecer que o ficheiro a ser acedido é um ficheiro de dados, em oposição ao conteúdo executável.

Os ataques mascarados podem ser desencadeados por alguém dentro da organização ou por um estranho se a organização estiver ligada a uma rede pública. A quantidade de acesso mascarado que os atacantes obtêm depende do nível de autorização que conseguiram obter. Querem ser capazes de detetar disfarçar.

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

A monitorização da integridade dos ficheiros (FIM) também pode auxiliar na identificação do mascaramento. O FIM pode ajudá-lo a detectar alterações não autorizadas feitas em ficheiros, diretórios, dispositivos de rede, sistemas operativos e muito mais. Isso pode ser feito estabelecendo uma “linha de base” para um estado de arquivo e monitorando as alterações feitas nesse estado. É uma ótima maneira de identificar rapidamente discrepâncias, modificações e adições de arquivos.

Estes recursos adicionais do Splunk podem ajudá-lo a compreender e implementar este caso de utilização específico:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.