10 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a siem.
Pesquisadores da Unit 42 documentam como atacantes abusam de AWS CloudTrail e Google Cloud Logging para esconder atividades e monitorar vítimas. Técnicas incluem desabilitar logs, excluir buckets e redirecionar dados para infraestrutura controlada.
CISOs estão desacoplando dados de logs dos SIEMs para reduzir custos e melhorar a governança. A mudança exige planejamento cuidadoso para manter a visibilidade e conformidade.
A Microsoft passou a oferecer o Sysmon como recurso nativo no Windows 11 Insider Preview (build 26300.7733, KB5074178). A funcionalidade vem desativada por padrão, exige desinstalar a versão legada e permite configuração via XML; grava eventos no Windows Event Log para integração com SIEMs.
CVE‑2025‑64155, uma injeção de comando não autenticada no serviço phMonitor do FortiSIEM, está sendo explorada ativamente. Honeypots detectaram tentativas, há PoC público e Fortinet publicou versões corrigidas para múltiplas linhas do produto.
Technical details and a public exploit were published for a critical command injection flaw in Fortinet's FortiSIEM. A remote unauthenticated attacker could execute commands or code; the source does not list affected versions or vendor mitigations.
Pesquisa da Horizon3.ai, relatada pelo Cyber Security News, descreve CVE‑2025‑64155: uma cadeia em FortiSIEM que permite injeção de argumentos via phMonitor, escrita arbitrária em /opt/phoenix/bin (ex.: phLicenseTool), execução como admin e escalada a root por sobrescrita de cronjobs. O relatório inclui versões afetadas, recomendações de atualização e indicadores de compromisso em /opt/phoenix/log/phoenix.logs.
Compilação das recomendações do Cyber Security News com checklist para proteger redes corporativas: controles de perímetro (firewall, VPN, IDPS), controle de acesso (MFA, RBAC), proteção de dados (criptografia, backups), endpoints, monitoramento (logs, SIEM) e políticas. Guia prático, sem novos incidentes ou CVEs.
Resumo: O levantamento enfatiza o papel do OSINT na inteligência de ameaças: lista ferramentas (Shodan, SpiderFoot, Maltego, TheHarvester), detalha automação via APIs, integração com SIEM e ressalta limites legais como GDPR e necessidade de políticas formais.
Kaspersky detalha metodologia para avaliar eficácia de SIEMs: problemas comuns incluem inventário de fontes desatualizado, coletores inativos, normalização frágil e baixa cobertura de regras. Recomenda‑se auditoria contínua e integração com TI.
Artigo da SecurityWeek defende defesas centradas em TTPs para detectar padrões comportamentais (privilege escalation, credential theft, lateral movement) antes de fases finais como criptografia ou exfiltração. O texto defende complementaridade entre TTPs e IOCs.