Copilotul tău de securitate — prietenos și expert — care nu doar răspunde: scrie reguli, scripturi, playbook-uri și face forensics, totul ancorat în mediul tău real.
Răspunsuri la întrebări de securitate, ancorate în threat-intel-ul propriu și în scanul tău, cu citarea sursei — nu „păreri” generice.
Cod de securitate defensiv, gata de folosit, pe mediul tău: reguli de detecție (Sigma/YARA/Suricata), scripturi de hardening/remediere, config firewall, interogări SIEM (KQL/SPL).
title: Detectare utilizare SMBv1 (EternalBlue-risk)
logsource: { product: windows, service: smb }
detection:
sel: { EventID: 0x72 } # SMB1 Negotiate
condition: sel
level: highProceduri pas-cu-pas pe tip de incident (ransomware, phishing, gazdă compromisă…), pe ciclul NIST/SANS, cu comenzi — pașii de izolare marcați „review înainte de execuție”.
1. DETECTARE — confirmă alerta, delimitează sfera (host-uri, VLAN). 2. IZOLARE — [review] izolează portul pe switch; blochează IOC pe firewall. 3. ERADICARE — elimină persistența, resetează credențialele expuse. 4. RECUPERARE — restaurează din backup curat; monitorizează re-infectarea. 5. LECȚII — raport + reguli de detecție noi.
Reconstruiește o cronologie din artefacte, găsește cauza-rădăcină, extrage IOC-uri — cu integritate: marchează ce e dovedit vs. dedus. Nu fabrică.
Cronologie (dovedit din jurnal): 01:59:16 jurnal tăiat abrupt, fără shutdown → PIERDERE CURENT (dovedit) 02:01:26 boot → repornire (dovedit) Cauză probabilă (dedus): senzor inline fără bypass → segment mort ~2 min.
Exclusiv defensiv (exploit/malware/atac = refuzat). Cod cu „review înainte de rulare”, fără auto-execuție pe sistemele tale. Fără credențiale în cod. AI cu supraveghere umană (EU AI Act).