¿Estás visitando desde Bolivia?
Ingresá a Linware Bolivia ⯈
Continuar en Linware Bolivia ⯈
×
¿Qué estás buscando?
BUSCAR!
INICIO
NOSOTROS
imMail MagicSpam Zimbra Xinuos SUSE Bitrix24 Nakivo Parallels Proxmox Veeam Kaspersky OnlyOffice VMware
PRODUCTOS ▾
SOLUCIONES
BLOG
CONTACTO
BLOG
Ingeniería práctica de seguridad: detección con estado
Publicada el 14/07/2020

La ingeniería de detección en Elastic es tanto un conjunto de principios confiables, o metodologías, como una colección de herramientas efectivas. 

Estados de detección

La forma más rápida de comenzar puede no ser siempre la mejor, y los nuevos analistas tienden a saltar directamente a los detalles posteriores a la explotación, mapeando las fuentes de datos disponibles y los fragmentos lógicos. Pocos consideran que el estado de una técnica puede influir en la visibilidad. Los siguientes tres estados ilustran un enfoque centrado en las operaciones:

  • Estado de creación : relacionado con la detección de actividad sospechosa o crítica en el momento de la configuración o preparación (por ejemplo, creación o modificación de un nuevo Run keyvalor de registro para detectar nuevos programas persistentes)
  • Estado de tiempo de ejecución : relacionado con la detección de actividad sospechosa o crítica en el momento de la ejecución, que puede ser el resultado de un proceso automatizado (por ejemplo, después de agregar un programa a la HKLM RunOnceclave, se ejecutará como un proceso secundario RunOnce.exeen el inicio del sistema)
  • Estado de limpieza : un tipo especial de estado de tiempo de ejecución relacionado con la detección de métodos activos y pasivos para cubrir pistas (archivos, eliminación del registro y finalización del proceso son ejemplos de telemetría necesaria; por ejemplo, eliminar startupentrada)

Muchas organizaciones encargadas de crear la lógica de detección se centran en un estado de creación de eventos determinado, aunque a menudo se pasan por alto las siguientes limitaciones.

  • Habrá lagunas de detección de tácticas, técnicas y procedimientos (TTP) conocidos en la ejecución. Es probable que esté lidiando con la lógica de detección del estado de creación creada para estos TTP, lo que significa que solo está encontrando este comportamiento después del hecho.
  • Habrá lagunas de detección para las técnicas utilizadas por los atacantes que son diligentes para ordenar su presencia, ya que las operaciones de seguridad tienden a centrarse en detectar técnicas en las primeras etapas de una intrusión.
  • La telemetría, los datos y la lógica requeridos para una técnica pueden ser diferentes para cada estado y requieren habilitar una nueva telemetría o cambiar las configuraciones existentes.

La aplicación práctica de este concepto es más efectiva para detectar técnicas en categorías tácticas que se centran en resultados predecibles como persistencia, evasión de defensa (por ejemplo, tipo de memoria anormal y protección para la inyección de código) y comando y control (tráfico de red de proceso inusual).

Informe completo Blog Elastic

Ir al Blog
Contacto en Bolivia
La Paz
Tel-Fax +591 800 105 120
Email: info@linware.bo
Síganos en
Copyright © 2020 LINWARE