Arquivo de DFIR - Página 3 de 6

Hunting Pass-The-Ticket (PtT)

20 de setembro de 2023 Daniel Donda 0

O famoso ataque ao Active Directory chamado “Pass the Ticket” (PtT) é uma técnica de ataque usada pelos adversários para elevação de privilégio e movimentação lateral.O PtT é um método de autenticação em um sistema […]

Investigando falhas e sucessos de logon

11 de setembro de 2023 Daniel Donda 1

Falhas de logon podem representar diversas situações do dia a dia como um usuário legitimo usando o seu dispositivo para trabalhar, ou aquele que voltou de férias e que sem querer digitou a senha errada, […]

Desvendando segredos através dos Metadados Digitais

1 de agosto de 2023 Daniel Donda 4

Neste artigo: O que são metadados Metadados são informações ou dados que fornecem detalhes sobre outros dados. Eles descrevem características, propriedades ou atributos que são utilizados para organização, busca, indexação e outros recursos. Em outras […]

LOLBins e o System Monitor (Sysmon)

16 de fevereiro de 2023 Daniel Donda 0

LOLBins (Living Off The Land Binaries) são binários ou utilitários legítimos do sistema operacional e outras ferramentas confiáveis que são usados pelos atacantes para executar atividades maliciosas em uma tentativa de evitar a detecção de soluções de segurança. […]

Resposta a Incidentes de Segurança Cibernética

26 de janeiro de 2023 Daniel Donda 0

Resposta a incidente de cibersegurança é o conjunto de atividades e processos que são realizados para detectar, analisar e responder a incidentes de segurança cibernética. Isso inclui a identificação de ameaças, a coleta de evidências, […]

Threat Hunting – Regras SIGMA

20 de janeiro de 2023 Daniel Donda 0

Sigma é uma linguagem de regras para detectar eventos de segurança, é uma ferramenta opensource para análise de registros de segurança. Ela permite que os usuários escrevam regras de detecção de intrusão em uma linguagem […]

Sysmon no Sentinel com Azure Monitor Agent (AMA)

20 de dezembro de 2022 Daniel Donda 0

O Sysmon faz parte do pacote Sysinternals e pode ser usado para obter logs importantes durante um hunting ou investigações. Neste artigo quero demonstrar como receber os importantes logs do Sysmon usando o novo Azure […]

Filtrar logs do Windows enviado para o Microsoft Sentinel

20 de dezembro de 2022 Daniel Donda 0

Recentemente eu escrevi um artigo sobre como receber os logs do AD on-premises no Microsoft Sentinel usando o Azure Monitor Agent (AMA) que permite usar regras de coleta de dados, onde você define quais dados deseja […]

Hunting 4688

18 de dezembro de 2022 Daniel Donda 0

O evento de segurança 4688 é gerado sempre que um novo processo é iniciado. Analisando o Windows Logging Attack Matrix é possível verificar que o evento 4688 cobre as táticas de: A partir da versão […]

Logs do AD on-premises no Microsoft Sentinel

16 de dezembro de 2022 Daniel Donda 0

O Active Directory local (on-premises) ainda é muito usado. Com diz o @reprise99 “Atacar e defender o Active Directory é um assunto tão amplo que é basicamente uma especialidade dentro da própria segurança cibernética“. Você […]

DFIR

Hunting Pass-The-Ticket (PtT)

Investigando falhas e sucessos de logon

Desvendando segredos através dos Metadados Digitais

LOLBins e o System Monitor (Sysmon)

Resposta a Incidentes de Segurança Cibernética

Threat Hunting – Regras SIGMA

Sysmon no Sentinel com Azure Monitor Agent (AMA)

Filtrar logs do Windows enviado para o Microsoft Sentinel

Hunting 4688

Logs do AD on-premises no Microsoft Sentinel

Cloud Summit Cerrado 2026

O que mudou no Advanced Hunting do Defender

Resumo das Notícias de Cibersegurança

GreenPlasma: 0day de elevação de privilégio no Windows

YellowKey: Bitlocker Bypass Vulnerability