ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 1 min de lectura · Avanzado

ChatGPT para Ciberseguridad Defensiva Blue Team - Capítulo N.°2: Inhibit System Recovery (T1490)

Detección de Inhibit System Recovery (T1490) usando YARA, Sigma, Elasticsearch, Splunk y QRadar.

Detección de Inhibit System Recovery (T1490) usando YARA, Sigma, Elasticsearch, Splunk y QRadar. Cubre comandos de desactivación de recuperación de Windows (vssadmin, wmic, wbadmin, bcdedit).

Secciones

  • Introducción
  • Desarrollo:
    • Regla YARA
    • Regla Sigma
    • Elasticsearch watcher con alertas email
    • Consulta Splunk con sendalert
    • Consulta QRadar AQL SELECT
  • Conclusión
  • Fuentes

Bloques de código incluidos

  • Regla YARA
  • Regla YAML Sigma
  • JSON Elasticsearch watcher
  • Consulta SPL Splunk
  • Consulta AQL QRadar

Nota: Para el contenido completo con código, visitar la URL original en Medium.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo