În acest capitol, ne vom concentra pe detectarea activității ransomware utilizând logurile Sysmon în Splunk. Scopul acestei lecții este de a înțelege cum operează ransomware-ul, cum interacționează cu sistemul și cum putem căuta indicatori de compromitere (IOCs) în Splunk.

• Până la finalul acestui capitol, vom putea:
• Identifica execuțiile suspecte de procese.
• Detecta conexiunile de tip Command-and-Control (C2).
• Găsi notele de răscumpărare create de ransomware.
• Monitoriza tentativele de ștergere a backup-urilor.
• Detecta tehnici de injectare a proceselor.
• Identifica alterarea instrumentelor de securitate.
• Descoperi named pipes utilizate pentru criptare