117 lines
9.2 KiB
JSON
117 lines
9.2 KiB
JSON
{
|
|
"alerts": {
|
|
"PROTO-01": {
|
|
"title": "Comunicação {} externa à rede local para {}.",
|
|
"description": "O protocolo {} é comumente usado em redes internas. Verifique se o host {} acionou outros alertas que possam indicar um possível comportamento malicioso."
|
|
},
|
|
"PROTO-02": {
|
|
"title": "Conexão {} a {} para uma porta maior ou igual a {}.",
|
|
"description": "Conexões {} foram detectadas por {} usando a porta {}. O uso da porta não padrão é comumente associado a atividades maliciosas. É recomendado verificar se esse host tem uma boa reputação verificando outros alertas e pesquisando-o na internet."
|
|
},
|
|
"PROTO-03": {
|
|
"title": "Comunicações HTTP foram realizadas com o host {}",
|
|
"description": "O dispositivo foi conectado ao host {} por meio de HTTP, um protocolo não criptografado. Mesmo que esse comportamento, por si só, não seja malicioso, é incomum que comunicações HTTP sejam estabelecidas por meio de aplicativos móveis em segundo plano. Verifique a reputação do host pesquisando-o na Internet."
|
|
},
|
|
"PROTO-04": {
|
|
"title": "Comunicações HTTP foram detectadas pelo host {} por meio de uma porta não padrão ({}).",
|
|
"description": "O dispositivo foi conectado ao host {} por meio de HTTP, um protocolo não criptografado na porta {}. Esse comportamento é incomum. Verifique a reputação do host pesquisando-o na Internet."
|
|
},
|
|
"PROTO-05": {
|
|
"title": "O servidor {} não foi resolvido por nenhuma consulta de DNS durante a sessão",
|
|
"description": "Isso significa provavelmente que o servidor {} não foi resolvido por nenhum nome de domínio ou a resolução já foi armazenada pelo dispositivo. Se o host aparecer em outros alertas, verifique-os."
|
|
},
|
|
"IOC-01": {
|
|
"title": "Uma conexão foi estabelecida com {} ({}) e marcada como {}.",
|
|
"description": "O host {} foi explicitamente bloqueado devido a atividades maliciosas. O dispositivo provavelmente foi comprometido e precisa ser analisado com cuidado por profissionais de segurança de TI."
|
|
},
|
|
"IOC-02": {
|
|
"title": "Comunicação com {} com o CIDR {} marcado como {}.",
|
|
"description": "O host {} está hospedado em uma rede que é conhecida por atividades maliciosas. Mesmo que o comportamento, por si só, não seja malicioso, é necessário verificar se outros alertas são gerados para esse host. Em caso de dúvidas, pesquise esse host na internet para verificar sua autenticidade."
|
|
},
|
|
"IOC-03": {
|
|
"title": "Uma solicitação de DNS foi feita para {}, marcado como {}.",
|
|
"description": "O nome de domínio {} visto na captura foi explicitamente marcado como malicioso. Isso indica que o dispositivo provavelmente foi comprometido e precisa ser analisado com cuidado."
|
|
},
|
|
"IOC-04": {
|
|
"title": "Uma solicitação de DNS foi feita para {}, marcado como {}.",
|
|
"description": "O nome de domínio {} visto na captura foi explicitamente marcado como um Tracker. Isso indica que um dos aplicativos ativos está rastreando sua localização."
|
|
},
|
|
"IOC-05": {
|
|
"title": "Uma solicitação de DNS foi feita para o domínio {}, que é um DNS gratuito.",
|
|
"description": "O nome de domínio {} está usando um serviço de DNS gratuito. Esse tipo de serviço é comumente usado por cibercriminosos ou agências de inteligência estatais no exercício de suas funções. É muito suspeito que aplicativos em execução em segundo plano usem esse tipo de serviço e isso deve ser analisado com cuidado."
|
|
},
|
|
"IOC-06": {
|
|
"title": "Uma solicitação de DNS foi feita para o domínio {}, que contém um TLD (domínio de nível superior) suspeito.",
|
|
"description": "O nome de domínio {} está usando um TLD suspeito ({}). Mesmo não sendo malicioso, esse TLD não genérico é frequentemente usado por cibercriminosos ou agências de inteligência estatais. Analise a reputação do domínio pesquisando-o na internet. Se outros alertas forem observados, considere esse host como muito suspeito."
|
|
},
|
|
"IOC-07": {
|
|
"title": "Um certificado associado a atividades de {} foi encontrado na comunicação para {}.",
|
|
"description": "O certificado ({}) associado a {} foi explicitamente marcado como malicioso. Isso indica que o dispositivo provavelmente foi comprometido e precisa de uma análise forense."
|
|
},
|
|
"ACT-01": {
|
|
"title": "O domínio {} está usando um servidor de nomes suspeito ({}).",
|
|
"description": "O nome de domínio {} está usando um servidor de nomes explicitamente marcado como associado a atividades maliciosas. Muitos cibercriminosos e agentes de inteligência estatais usam esse tipo de registradores porque isso permite pagamentos com criptomoedas e anônimos. É recomendável investigar esse domínio e o aplicativo em execução por meio de uma análise forense do telefone."
|
|
},
|
|
"ACT-02": {
|
|
"title": "O domínio {} foi criado recentemente ({} dias atrás).",
|
|
"description": "O nome de domínio {} é novo. Mesmo que isso não seja intrinsecamente malicioso, é bastante comum que os invasores configurem uma nova infraestrutura para cada campanha, o que pode levar ao uso de nomes de domínio recém-registrados."
|
|
},
|
|
"SSL-01": {
|
|
"title": "Conexão SSL feita em uma porta não padrão ({}) para {}",
|
|
"description": "Não é comum ver conexões SSL a partir de dispositivos móveis usando portas não padrão. Mesmo que a conexão pareça ser autêntica, é recomendável analisar a reputação de {} verificando pesquisando na internet o registro de domínio, o sistema autônomo associado e a data de criação."
|
|
},
|
|
"SSL-02": {
|
|
"title": "Uma conexão SSL com {} está usando um certificado gratuito.",
|
|
"description": "Certificados gratuitos, como o Let's Encrypt, são amplamente usados por servidores de comando e controle associados a arquivos maliciosos ou páginas de phishing. É recomendável analisar o host associado a esse certificado verificando o nome de domínio, a data de criação ou pesquisando sua reputação na internet."
|
|
},
|
|
"SSL-03": {
|
|
"title": "O certificado associado a {} é autoassinado.",
|
|
"description": "O uso de certificados autoassinados é comum na infraestrutura de invasores. É recomendável analisar o host {} que está associado a esse certificado verificando o nome e o registro de domínio (se houver), a data de criação e sua reputação na internet."
|
|
},
|
|
"SSL-04": {
|
|
"title": "Um certificado contém o nome de domínio {}, categorizado como {}",
|
|
"description": "Um dos certificados trocados contém o nome de domínio {}. Este nome de domínio foi explicitamente classificado como malicioso. Seu dispositivo está definitivamente comprometido e deve ser investigado por uma equipe profissional."
|
|
},
|
|
"ADV-01": {
|
|
"title": "Verifique os alertas para {}",
|
|
"description": "Verifique a reputação do host {}, este parece ser malicioso, pois acionou alertas para {} durante a sessão."
|
|
},
|
|
"SNORT-01": {
|
|
"title": "Regra do Suricata acionada: {}",
|
|
"description": "Uma regra de detecção de rede foi acionada. É provável que o dispositivo tenha sido comprometido ou apresente comportamento suspeito."
|
|
}
|
|
},
|
|
"report": {
|
|
"numbers": [
|
|
"um",
|
|
"dois",
|
|
"três",
|
|
"quatro",
|
|
"cinco",
|
|
"seis",
|
|
"sete",
|
|
"oito",
|
|
"nove"
|
|
],
|
|
"suspect_title": "Comunicações suspeitas",
|
|
"uncat_title": "Comunicações não categorizadas",
|
|
"whitelist_title": "Comunicações permitidas",
|
|
"protocol": "Protocolo",
|
|
"domain": "Domínio",
|
|
"dst_ip": "Endereço IP do dst",
|
|
"dst_port": "Número da porta do dst",
|
|
"device_name": "Nome do dispositivo",
|
|
"device_mac": "Endereço MAC do dispositivo",
|
|
"report_generated_on": "Relatório criado em",
|
|
"capture_duration": "Duração da captura",
|
|
"packets_number": "Número de pacotes",
|
|
"capture_sha1": "Captura SHA1",
|
|
"report_for_the_capture": "Relatório da captura",
|
|
"report_footer": "Este relatório foi gerado automaticamente por um dispositivo Tinycheck. Em caso de dúvidas, relatório de erros ou comentários, envie uma mensagem para tinycheck@kaspersky.com.",
|
|
"high_msg": "O dispositivo parece estar comprometido porque você tem {} alerta(s) crítico(s).",
|
|
"moderate_msg": "Você tem {} alerta(s) moderado(s), seu dispositivo pode estar comprometido. Analise-os com cuidado.",
|
|
"low_msg": "Você tem apenas {} alerta(s) leve(s), não deixe de verificá-los.",
|
|
"none_msg": "Tudo parece estar bem, zero alertas. Não deixe de verificar comunicações não categorizadas, se houver."
|
|
}
|
|
}
|