Desvendando Ameaças Através de Logs de WAF: A Perspectiva de um Threat Hunter

Os logs de WAF são frequentemente negligenciados na caça a ameaças, apesar de cada requisição precisar passar por eles. Defensores podem buscar padrões potenciais de reconhecimento, como o uso de métodos HTTP não-padrão em páginas públicas, exposição de endpoints auxiliares de CMS, enumeração sistemática em múltiplos sites e anomalias baseadas em infraestrutura, como nós de saída TOR. O artigo também apresenta queries KQL para detecção prática de ameaças.