A Splunk introduziu o PLoB (Post-Logon Behaviour Fingerprinting and Detection) em um mundo onde as credenciais comprometidas continuam sendo o principal vetor de acesso inicial em mais da metade dos incidentes de segurança cibernética, conforme observado no relatório Cisco Talos IR Trends para o primeiro trimestre de 2025 e apoiado pelo Relatório de Investigações de Violação de Dados da Verizon, que mostra 22% das violações vinculadas ao abuso de credenciais.
Essa ferramenta inovadora tem como alvo a janela crítica pós-logon para identificar atividades anômalas indicativas de uso indevido de credenciais, com o objetivo de detectar ameaças antes que os adversários se incorporem profundamente às redes.
Desenvolvido para combater Ameaças persistentes avançadas (APTs) que aproveitam credenciais legítimas para acesso prolongado não detectado, o PLoB integra modelagem baseada em gráficos, incorporações de IA e pesquisas de similaridade vetorial para aprimorar a busca de ameaças em estágio inicial, posicionando-a como uma camada complementar às detecções existentes baseadas em regras, baseadas em comportamento e orientadas por IA que muitas vezes ignoram as técnicas de “Living off the Land” (LoL).
Arquitetura Técnica
O PLoB começa com a ingestão de logs de segurança brutos do Splunk ou de sistemas SIEM semelhantes, transformando-os em um banco de dados gráfico Neo4j que captura relacionamentos intrincados entre usuários, hosts, sessões e processos.
Essa abordagem centrada em grafos muda os defensores de listas de eventos lineares para narrativas relacionais, permitindo consultas que espelham o pensamento adversário, como rastrear árvores de processo de eventos de logon.
A partir desse modelo, o PLoB gera impressões digitais comportamentais, resumos de texto concisos enfatizando a novidade nos comandos, o ritmo de execução sugerindo automação e anomalias estruturais, como a geração excessiva de processos.
Essas impressões digitais são então convertidas em vetores de 3072 dimensões usando o modelo text-embedding-3-large da OpenAI, que codifica nuances semânticas para representação comportamental precisa.
Armazenadas no banco de dados vetorial Milvus, essas incorporações facilitam pesquisas eficientes de similaridade por meio de similaridade de cosseno, pontuando sessões de 0 a 1 para identificar outliers (pontuações abaixo de 0,92 para comportamentos únicos) e clusters (pontuações acima de 0,99 para padrões suspeitamente repetitivos, indicativos de ataques com script).
A eficácia do sistema decorre da engenharia refinada de impressões digitais que amplifica sinais críticos, abordando falhas iniciais em que atividades maliciosas de LoL se misturavam com tarefas administrativas benignas.
Ao antecipar elementos suspeitos, como novos executáveis ou tempos rápidos, as incorporações distinguem melhor as ameaças sutis, com limites ajustados para equilibrar a sensibilidade contra falsos positivos em meio ao descompasso de dados.
As sessões anômalas são analisadas posteriormente por agentes de IA, incluindo aquelas baseadas no modelo Foundation Sec da Cisco e no GPT-4o da OpenAI, que recebem prompts sensíveis ao contexto adaptados aos tipos de anomalias com foco na exclusividade para outliers ou repetição para clusters para gerar avaliações de risco estruturadas e raciocínio em Formato JSON.
Preenchendo lacunas nas defesas tradicionais
Ao contrário das detecções convencionais que falham em ameaças novas ou automatizadas devido à dependência de linhas de base ou dados de treinamento, o foco leve do PLoB na atividade pós-logon imediata fornece insights rápidos sem dados históricos extensos.
Esse pipeline de gráfico para vetor não apenas acelera as investigações, mas também oferece suporte à busca e visualizações proativas, desafiando a noção de que os defensores estão confinados a listas enquanto os invasores exploram os gráficos.
De acordo com o relatório, a iniciativa da Splunk, informada por desafios e colaborações de dados do mundo real, ressalta a necessidade de ferramentas adaptativas no gerenciamento de riscos generalizados de credenciais, conforme ecoado no relatório M-Trends 2025 da Mandiant, observando que as credenciais roubadas superam o phishing em 16% dos vetores iniciais.
À medida que as organizações lidam com a evolução das táticas de APT, o PLoB oferece uma estrutura escalável e aberta para o aprimoramento da comunidade, reduzindo potencialmente os tempos de permanência e mitigando violações em ambientes de alto risco.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça