• Home
  • Guia de regras de correlação

Guia de regras de correlação

Este repositório contém um conjunto abrangente de regras, designado para reforçar a segurança de sua organização através da detecção de vários tipos de atividades suspeitas e possíveis ameaças. Cada regra é categorizada para facilitar uma navegação e uma abordagem estruturada à detecção de ameaças. Ao utilizar as regras deste pacote, você pode melhorar significativamente sua habilidade de detectar e responder a incidentes de segurança, garantindo defesas mais robustas contra uma ampla faixa de ameaças cibernéticas.

Attacker tool

Estas regras detectam a presença e o uso de ferramentas de ataque conhecidas.

WinPeas DetectionMimiKatz DetectionSharpShares DetectionBadPotato DetectionBloodhound DetectionSharpView DetectionSafetyKatz DetectionSharPersist DetectionSharpZeroLogon DetectionSharpDump DetectionSafetyDump DetectionVulnRecon DetectionPrintSpoofer DetectionSharpHound DetectionSharpUp DetectionSprayKatz DetectionMetasploit DetectionHashcat DetectionPetitpotam DetectionRubeus DetectionCrackmapexec DetectionSweetPotato DetectionJohn The RipperKerbrute DetectionHydra Detection

Processo suspeito

Estas regras identificam processos suspeitos que talvez indiquem atividade maliciosa.

Spoolsv Spawning Rundll32Tentativa excessiva de desabilitar serviçosUso excessivo de TaskkillPacote Office está gerando MSHTAWindows está mascarando o Explorer como processo filhoGeração do processo de execução do Wsmprovhost LOLBASComando Ryuk Wake on LANAdicionar ou definir exclusão do Windows DefenderDesabilitar o monitoramento de segurança

Processo parental suspeito

Estas regras detectam processos entre pais e filhos suspeitos para identificar ataques em potencial.

Suspicious parent spawning autochkSuspicious parent spawning fontdrvhostSuspicious parent spawning dwmSuspicious parent spawning ConsentSuspicious parent spawning tiworkerSuspicious parent spawning runtimebrokerSuspicious parent spawning searchindexerSuspicious parent spawning searchprotocolhostSuspicious parent spawning dllhostSuspicious parent spawning smssSuspicious parent spawning csrssSuspicious parent spawning wininitSuspicious parent spawning winlogonSuspicious parent spawning lsassSuspicious Parent Spawning lsaIsoSuspicious parent spawning LogonUISuspicious parent spawning servicesSuspicious parent spawning svchostSuspicious parent spawning spoolsvSuspicious parent spawning taskhost

Processo filho suspeito

Estas regras identificam processos filho suspeito gerado por processos parentais específicos para detectar possíveis malwares.

SearchProtocolHost Spawning Suspicious Childtaskhost Spawning Suspicious Childcsrss Spawning Suspicious Childautochk Spawning Suspicious Childsmss Spawning Suspicious Childwermgr Spawning Suspicious Childconhost spawning suspicious ChildExcel Spawning Windows Script Host Office Product Spawning Windows Script Host

Detecção “Living-Off-The-Land”

Estas regras detectam uso incomum de ferramentas de sistema como PowerShell e WMI para identificar ataques ocultos.

Modificação do grupo local de contas privilegiadasRoubo de credenciais por meio do Procdump ou do comsvcsLinha de comando do PowerShell com codificação suspeitaExecução suspeita de CertOCCriação de arquivo suspeito com ColorcplExecução suspeita de ConfigSecurityPolicyComando Certreq suspeito para fazer download ou uploadServiço de cópia de sombra de volume excluído usando VSSADMIN ou wmicIgnorar o UAC via CMSTPIgnorar os controles de segurança.Comando Certutil suspeito
Home » SIEM

Prêmios e reconhecimentos

ManageEngine é reconhecida no Quadrante Mágico de 2024 da Gartner para SIEMEscolha dos Clientes Gartner Peer Insights para SIEM

2022 Gartner SIEM mq

Recursos

Suporte

Secure your IT infrastructure with a cloud SIEM solution

Soluções por setor

Soluções relacionadas