Recentemente, fiz um artigo demonstrando a exploração de uma vulnerabilidade de escalação de privilégios em servidores Windows com o serviço do Active Directory. A falha foi notificada na CVE-2021-42278/42287. No mesmo artigo, deixei disponível uma regra de detecção hospedada no repositório github da Elastic Security, porém, atendendo a alguns pedidos, resolvi criar esse post rápido mostrando como criar uma regra no Elastic SIEM com base nas informações coletadas no artigo anterior. O objetivo é agilizar o processo de detecção e assim mitigar maiores danos.
Nenhum comentário:
Postar um comentário