El proceso de caza usando la plataforma secdo

El proceso de caza usando la plataforma secdo

0
Created On 09/25/18 18:17 PM - Last Modified 07/19/22 23:09 PM


Resolution


El proceso de caza mediante la plataforma SECDO se basa en la consulta de la base de datos para los comportamientos anormales de los hosts de la organización. Utilice los ejemplos siguientes para buscar puntos de partida para las investigaciones:
  • Un proceso de comunicación con servidores DNS de Google (excluyendo svchost y navegadores)
  • Un proceso de comunicación con dominios. ru/. cn (excluyendo navegadores y Skype)
  • Un proceso de comunicación con dominios. info/. XYZ/. BIZ (excluyendo navegadores y Skype)
  • Conexiones entrantes directamente desde Internet
  • Rundll32. exe comunicación con dominios que no son de Microsoft
  • Un proceso que se ejecuta desde la papelera de reciclaje
  • Un proceso que se ejecuta con una extensión doble (. doc. exe, etc.)
  • Un proceso sin firmar que se ejecuta desde un directorio Temp
  • Un proceso comienza con el sistema operativo desde el directorio de usuarios o el directorio Temp y sólo se puede encontrar en un extremo
  • Un proceso modifica el archivo hosts
  • Un proceso que escribe nuevos valores en la ejecución/ejecución una vez que las claves reg
  • Un proceso que ejecuta SchTasks. exe con un argumento ' Create '
  • Un proceso que ejecuta ' WMIC Shadowcopy ' o ' vssadmin'
  • Un proceso que ejecuta netsh
  • Un proceso que funciona uso neto
  • Cambios de proceso configuración de certificado en el host (agregar certificado a la certstore)
  • El proceso diferente de inetcpl. cpl (dll) cambia la configuración del proxy en el host
  • Proceso intente deshabilitar el UAC en el host
  • Proceso diferente del navegador leer los archivos de historial del explorador
  • Proceso intente identificar el host en el que se ejecuta.
  • Proceso distinto de los archivos index. dat o Chrome dB de acceso al explorador.
  • Wscript o CSCRIPT ejecutando un script VB/JS desde un directorio Temp o el directorio de usuarios
  • PowerShell ejecutando código Base64
  • PowerShell se comunica con un destino en Internet
  • Proceso de Office (Winword. exe, etc.) con un hijo cmd/PowerShell/Wscript/cscript
  • Creación de archivos en disco con el parshe * Decrypt*. html o * Decrypt*. txt
  • Conexiones salientes sobre los puertos 20/21/22/23
  • CMD \ PowerShell \ Wscript que se ejecuta desde Winword \ Excel
  • DLL cargado desde un lugar diferente a system32
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOtCAK&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail