{ "alerts": { "PROTO-01": { "title": "{} comunicazione in uscita dalla rete locale a {}.", "description": "Il protocollo {} è comunemente utilizzato nelle reti interne. Verificare se l'host {} ha sfruttato altri avvisi, fattore che potrebbe indicare un possibile comportamento dannoso." }, "PROTO-02": { "title": "{} connessione a {} tramite una porta superiore o uguale a {}.", "description": "Sono state rilevate {} connessioni a {} tramite la porta {}. L'utilizzo di una porta non standard a volte può essere associato ad attività dannose. È consigliabile verificare se questo host ha una buona reputazione esaminando altri avvisi ed effettuando una ricerca in Internet." }, "PROTO-03": { "title": "Sono state generate comunicazioni HTTP dirette all'host {}", "description": "Il dispositivo ha effettuato uno scambio con l'host {} utilizzando HTTP, un protocollo non criptato. Anche se questo comportamento non è dannoso in sé, è raro rilevare comunicazioni HTTP generate da applicazioni per smartphone in esecuzione in background. Controllare la reputazione dell'host effettuando una ricerca in Internet." }, "PROTO-04": { "title": "Sono state rilevate comunicazioni HTTP dirette all'host {} su una porta non standard ({}).", "description": "Il dispositivo ha effettuato uno scambio con l'host {} utilizzando HTTP, un protocollo non criptato sulla porta {}. Questo comportamento è decisamente insolito. Controllare la reputazione dell'host effettuando una ricerca in Internet." }, "PROTO-05": { "title": "Il server {} non è stato risolto da nessuna query DNS durante la sessione", "description": "Questo indica che il server {} probabilmente non è stato risolto da nessun nome di dominio o che la risoluzione è già stata memorizzata nella cache dal dispositivo. Se l'host viene visualizzato in altri avvisi, controllarlo." }, "IOC-01": { "title": "È stata stabilita una connessione a {} ({}) con contrassegno {}.", "description": "L'host {} è stato esplicitamente inserito nella blacklist per attività dannose. Probabilmente il dispositivo è compromesso e deve essere esaminato più a fondo da professionisti della sicurezza IT." }, "IOC-02": { "title": "Comunicazione a {} con il CIDR {} con contrassegno {}.", "description": "Il server {} è ospitato in una rete nota per l'hosting di attività dannose. Nonostante questo comportamento non sia dannoso in sé, è necessario verificare se l'host è menzionato anche in altri avvisi. In caso di dubbi, cercare l'host in Internet per scoprire se è legittimo o meno." }, "IOC-03": { "title": "È stata effettuata una richiesta DNS a {} con contrassegno {}.", "description": "Il nome di dominio {} visualizzato nell'acquisizione è stato esplicitamente contrassegnato come dannoso. Questo indica che il dispositivo è potenzialmente compromesso e deve essere esaminato a fondo." }, "IOC-04": { "title": "È stata effettuata una richiesta DNS a {} con contrassegno {}.", "description": "Il nome di dominio {} visualizzato nell'acquisizione è stato esplicitamente contrassegnato come Tracker. Questo indica che una delle app attive esegue la geolocalizzazione dei movimenti dell'utente." }, "IOC-05": { "title": "È stata effettuata una richiesta DNS al dominio {} che è un servizio Free DNS.", "description": "Il nome di dominio {} utilizza un servizio Free DNS. Questo tipo di servizio è comunemente utilizzato durante le operazioni di criminali informatici o autori di attacchi commissionati da stati esteri. L'utilizzo di questo tipo di servizio da parte di un'applicazione in esecuzione in background è molto sospetto e richiede ulteriori indagini." }, "IOC-06": { "title": "È stata effettuata una richiesta DNS al dominio {} contenente un dominio di primo livello sospetto.", "description": "Il nome di dominio {} utilizza un dominio di primo livello sospetto ({}). Anche se non dannoso, questo dominio di primo livello non generico viene utilizzato regolarmente durante le operazioni di criminali informatici o autori di attacchi commissionati da stati esteri. Controllare questo dominio effettuando una ricerca tramite un motore di ricerca Internet. Se altri avvisi sono correlati all'host, è necessario considerare questo elemento molto sospetto." }, "IOC-07": { "title": "Nella comunicazione a {} è stato rilevato un certificato associato ad attività {}.", "description": "Il certificato ({}) associato a {} è stato esplicitamente contrassegnato come dannoso. Questo indica che il dispositivo è potenzialmente compromesso e necessita di un'analisi forense." }, "IOC-08": { "title": "È stata effettuata una richiesta HTTP a {} con contrassegno {}.", "description": "Il nome di dominio {} visualizzato nell'acquisizione è stato esplicitamente contrassegnato come dannoso. Questo indica che il dispositivo è potenzialmente compromesso e deve essere esaminato a fondo." }, "IOC-09": { "title": "È stata effettuata una richiesta HTTP al dominio {} che è un servizio Free DNS.", "description": "Il nome di dominio {} utilizza un servizio Free DNS. Questo tipo di servizio è comunemente utilizzato durante le operazioni di criminali informatici o autori di attacchi commissionati da stati esteri. L'utilizzo di questo tipo di servizio da parte di un'applicazione in esecuzione in background è molto sospetto e richiede ulteriori indagini." }, "IOC-10": { "title": "È stata effettuata una richiesta HTTP al dominio {} contenente un dominio di primo livello sospetto.", "description": "Il nome di dominio {} utilizza un dominio di primo livello sospetto ({}). Anche se non dannoso, questo dominio di primo livello non generico viene utilizzato regolarmente durante le operazioni di criminali informatici o autori di attacchi commissionati da stati esteri. Controllare questo dominio effettuando una ricerca tramite un motore di ricerca Internet. Se altri avvisi sono correlati all'host, è necessario considerare questo elemento molto sospetto." }, "ACT-01": { "title": "Il dominio {} utilizza un server dei nomi sospetto ({}).", "description": "Il nome di dominio {} utilizza un server dei nomi che è stato esplicitamente contrassegnato come associato ad attività dannose. Molti criminali informatici e autori di attacchi commissionati da stati esteri utilizzano questo tipo di registrar poiché sono ammessi criptovalute e pagamenti anonimi. È consigliabile indagare su questo dominio e sull'applicazione in esecuzione associata eseguendo un'analisi forense del telefono." }, "ACT-02": { "title": "Il dominio {} è stato creato di recente ({} giorni fa)", "description": "Il nome di dominio {} è nuovo. Anche questo non è intrinsecamente dannoso, è abbastanza comune per gli aggressori impostare una nuova infrastruttura per ogni campagna, che può portare all'uso di nomi di dominio appena registrati." }, "SSL-01": { "title": "Connessione SSL eseguita su una porta non standard ({}) a {}", "description": "Non è comune rilevare connessioni SSL generate da smartphone tramite porte non standard. Anche se questo può essere del tutto legittimo, è consigliabile controllare la reputazione di {} prestando attenzione al record WHOIS, al sistema autonomo associato e alla data di creazione, nonché effettuando una ricerca in Internet." }, "SSL-02": { "title": "Una connessione SSL a {} utilizza un certificato gratuito.", "description": "I certificati gratuiti, come Let's Encrypt, sono ampiamente utilizzati dai server di comando e controllo associati a insediamenti dannosi o pagine Web di phishing. È consigliabile controllare l'host associato a questo certificato, prestando attenzione al nome di dominio e alla data di creazione o verificandone la reputazione in Internet." }, "SSL-03": { "title": "Il certificato associato a {} è autofirmato.", "description": "L'utilizzo di certificati autofirmati è una consuetudine per l'infrastruttura degli autori degli attacchi. È consigliabile controllare l'host {} associato a questo certificato, prestando attenzione all'eventuale nome di dominio, al record WHOIS e alla data di creazione, nonché verificandone la reputazione in Internet." }, "SSL-04": { "title": "Un certificato contiene il nome di dominio {}, classificato come {}", "description": "Uno dei certificati scambiati contiene il nome di dominio {}. Questo nome di dominio è stato esplicitamente classificato come dannoso. Il tuo dispositivo è decisamente compromesso e dovrebbe essere esaminato ulteriormente da un team di professionisti." }, "ADV-01": { "title": "Controllare gli avvisi per {}", "description": "Controllare la reputazione dell'host {}, che sembra di natura dannosa poiché ha sfruttato {} avvisi durante la sessione." }, "SNORT-01": { "title": "Regola Suricata attivata: {}", "description": "È stata attivata una regola di rilevamento della rete. È probabile che il dispositivo sia stato compromesso o che presenti comportamenti sospetti." } }, "report": { "numbers": [ "uno", "due", "tre", "quattro", "cinque", "sei", "sette", "otto", "nove" ], "suspect_title": "Comunicazioni sospette", "uncat_title": "Comunicazioni non categorizzate", "whitelist_title": "Comunicazioni inserite nella whitelist", "protocol": "Protocollo", "domain": "Dominio", "dst_ip": "Indirizzo IP di destinazione", "dst_port": "Numero della porta di destinazione", "device_name": "Nome dispositivo", "device_mac": "Indirizzo MAC dispositivo", "report_generated_on": "Rapporto generato in data", "capture_duration": "Durata acquisizione", "packets_number": "Numero di pacchetti", "capture_sha1": "SHA1 acquisizione", "report_for_the_capture": "Rapporto relativo all'acquisizione", "report_footer": "Questo rapporto è stato generato automaticamente da un dispositivo Tinycheck. Per eventuali domande, segnalazioni di bug o feedback, contattare tinycheck@kaspersky.com.", "high_msg": "Sembra che il dispositivo sia compromesso poiché sono presenti {} avvisi con priorità elevata.", "moderate_msg": "Sono presenti {} avvisi con priorità moderata, è possibile che il dispositivo sia compromesso. Esaminarli con attenzione.", "low_msg": "Sono presenti solo {} avvisi con priorità bassa da controllare.", "none_msg": "Sembra tutto a posto, non sono presenti avvisi. Controllare eventuali comunicazioni non categorizzate." } }