Splunk query-k a böngészők védelméért
A webböngészők számos különböző APT-k gyakori célpontjai. Az olyan eszközök, mint a Redline Malware vagy a behatolásvizsgálati eszközök, mint a SharpChrome vagy a SharpChromium olyan érzékeny adatokat lopnak el, mint a cookie-k és a mentett bejelentkezési adatok, és sokan mások olyan böngészőbővítmények telepítését célozzák meg, amelyek lehetővé teszik az adatok kiszivárgását vagy más böngészővel kapcsolatos kihasználásokat. Ráadásul a böngészővel való visszaélésre vonatkozó észlelések létrehozása kihívást jelenthet és tele lehet false pozitív eredményekkel a puszta adatmennyiség miatt, ami elemzői időt pazarolhat, és megakadályozhatja a kulcsfontosságú IOC-k időben történő azonosítását, amelyek megállíthatják a szélesebb körű kompromittálódást. A TrustedSec bejegyzése arra törekszik, hogy a szervezeteket a klasszikus Splunk SPL-lekérdezéseken alapuló, nagy pontosságú sablonokkal lássa el, amelyek segítik e tevékenység észlelését. A bejegyzés nem egy átfogó tanulmány az összes telemetriáról, amely az ilyen támadások azonosításához rendelkezésre áll; inkább a legkönnyebben hozzáférhető észlelési eszközökre összpontosít.
