Postagens

Intergração: SentinelOne - Wazuh - Jira

Imagem
  SentinelOne SentinelOne é uma solução de EDR que vem se destacando ao longo do tempo, por ser uma ferramenta que proporciona uma experiência incrível aos analistas de SOC. Com ela é possível ter uma  visibilidade completa dos endpoint, investigações de um ataque, além de proporcionar um maravilhoso recurso de rollback dos arquivos que foram criptografado por qualquer tipo de ransomware, ou seja, umas vez o agente instalado no endpoint e caso ocorra um ataque ransomware que criptografa todos os arquivos, com o SentinelOne é possível recuperar 100% dos arquivos criptografados. Wazuh Wazuh é uma plataforma de segurança que vem ganhando espaço nas grandes empresas por ser uma solução flexível, robusta e o melhor de tudo open source. A plataforma disponibiliza diversos módulos como: Endpoint Security Threat Intelligence Security Operations Cloud Security É possível realizar integrações com diversas soluções de mercado e realizar respostas a incidentes de forma automatizada. Jira Jira é um
Postar um comentário
Leia mais

Desafio DIFR - Conti Ransomware

Imagem
Alguns funcionários da minha empresa informaram que não estão conseguindo acessar o serviço de email do Outlook. O administrador do sistema de Exchange reportou que não está conseguindo acessar a central de administração. Após algumas checagens, o administrador encontrou alguns arquivos Readme no servidor. Como atuou diretamente no time de IR, fui designado a investigar o incidente. O time conseguiu coletar uma imagem forense do servidor usando o Redline, logs do servidor Splunk e uma captura de pacote com wireshark. Vamos às análises! Através dos arquivos Readme encontrado no servidor, identifiquei que o problema no Exchenge se tratava de um ataque Ransomware conforme evidencia abaixo: O Ransomware que comprometeu o ambiente é o CONTI. Essa ameaça é observada desde 2020 e acredita-se ser distribuída por um grupo sediado na Rússia. Após identificar a causa raiz da indisponibilidade do sistema de email, os próximos passos é analisar os logs do splunk, Redline e pcap para entender o veto
1 comentário
Leia mais