Anar al contingut principal
Adaptive Threat Detection

Intel·ligència des de la primera línia,
no des d'un feed.

DEFION és la font, no l'intermediari. La nostra intel·ligència es fonamenta en telemetria pròpia del SOC, centenars de casos DFIR i 40+ fonts especialitzades d'amenaces.

Sense llistes genèriques de butlletins. El que oferim: context per al teu sector, IoCs accionables per al teu SOC i briefings estratègics per a la direcció.

Cobertura d'amenaces en xifres

40+
Fonts d'amenaces
Internes i externes, monitoritzades 24/7
30+
Grups de ransomware
Seguiment actiu, inclosos TTPs
34
Publicacions
Recerca i anàlisis pròpies
24/7
Cobertura d'intel·ligència
Sense punts cecs, sense llacunes
Cobertura de monitorització

Què monitoritzem per a tu

No tens capacitat per fer el seguiment de cada font d'amenaces tu mateix. Nosaltres ho fem i et lliurem només el que és rellevant per al teu entorn i sector.

CVEs i vulnerabilitats

Saps quins nous CVEs s'estan explotant activament i si el teu programari o maquinari és vulnerable. No tots els CVEs són crítics; nosaltres filtrem per explotabilitat real en l'entorn.

Grups de ransomware

Tens visibilitat sobre els 30+ grups de ransomware actius que seguim: TTPs, perfils de víctimes, estratègia de rescat i infraestructura. Sap si el teu sector és en el punt de mira.

Actors APT

Coneixes els actors patrocinats per estats que operen als Països Baixos, Bèlgica i Espanya. De NOBELIUM a APT28: rastrejem campanyes i les vinculem a tècniques MITRE ATT&CK.

Amenaces OT i ICS

El teu entorn OT no és a cegues. Monitoritzem amenaces específiques per a protocols industrials i entorns ICS/SCADA, inclòs nou programari maliciós que interromp processos de producció.

Dark web i filtracions

Saps quan el nom de la teva organització, credencials o dades internes apareixen en fòrums de la dark web. Monitoritzem activament els brokers d'accés inicial i plataformes de venda de dades.

Intel·ligència sectorial

Reps intel·ligència filtrada pel teu sector: finances, administració pública, sanitat, indústria o tecnologia. Els feeds genèrics generen soroll; el context sectorial genera acció.

Actualitat

Intel·ligència recent

Setmana 15, 2026: tres amenaces actives que estem monitoritzant en aquest moment i per a les quals hem publicat regles de detecció i IoCs.

Ransomware CRITIC 17 de juliol de 2026

PLAY ransomware actiu a la UE: Andorra Life (sanitat) i AG Scholtes (fabricacio NL) confirmats victimes en 24 hores. Alerta per a Catalunya i Espanya.

El grup de ransomware PLAY ha reclamat tres victimes europees en un sol cicle de 24 hores: AG Scholtes (fabricacio, Paises Baixos), Andorra Life (sanitat, Andorra) i Svensk Direktreklam (serveis empresarials, Suecia). Aquesta expansio simultanea en tres paisos europeus demostra que PLAY te capacitat operativa activa a tota la UE. La proximitat geografica d'Andorra Life, una empresa del Principat d'Andorra, a Catalunya i Espanya fa que aquest incident sigui especialment rellevant per a organitzacions catalanes. PLAY empra com a vector d'acces inicial vulnerabilitats en RDP i VPN sense pedacar, seguides de moviment lateral (T1083), exfiltracio de dades (T1041) i xifratge (T1486). Accio: activar alertes MDR per a clients del sector sanitari i de fabricacio; verificar indicadors de compromis de PLAY (CISA AA23-352A); revisar la seguretat d'acces RDP i VPN; validar la deteccio de moviment lateral en entorns de produccio. MITRE ATT&CK: T1486, T1083, T1041.

RansomwarePLAYCAESEUADNLSESanitatFabricacioT1486T1083T1041
CVE CRITIC 17 de juliol de 2026

NCSC-2026-0239: SonicWall SMA1000 dos zero-days activament explotats. CVE-2026-15409 (SSRF, CVSS 9.8) i CVE-2026-15410 (injeccio de codi AMC, CVSS 9.8). Pedacar ara.

L'avis NCSC-NL NCSC-2026-0239 [H/H] confirma dos zero-days activament explotats en els dispositius SonicWall SMA1000, tots dos ara qualificats amb CVSS 9.8. CVE-2026-15409 es un Server-Side Request Forgery (SSRF) no autenticat a la interficie Work Place, que permet a un atacant sense credencials sondear xarxes internes i emetre sol·licituds en nom del dispositiu. CVE-2026-15410 es una injeccio de codi post-autenticacio a la Consola d'Administracio del Dispositiu (AMC) que habilita l'execucio de comandes del sistema operatiu. Totes dues vulnerabilitats estan confirmades com a activament explotades en entorns reals. SonicWall SMA1000 es una plataforma d'acces remot ampliament desplegada en entorns empresarials; un dispositiu compromes proporciona acces directe a la xarxa interna. Accio: pedacar SonicWall SMA1000 a la versio disponible mes recent immediatament; revisar els registres d'acces per a patrons SSRF anomals; notificar a tots els clients amb desplegaments SonicWall SMA1000 i realitzar una verificacio d'IoCs. MITRE ATT&CK: T1190, T1059.

CVESonicWallSMA1000ZeroDayNCSC-NLSSRFInjeccioCodiActivamentExplotatESEUCAVPNAccesRemotT1190T1059
CVE ALT 17 de juliol de 2026

NCSC-0242 Firefox: cadena RCE en Firefox 152.0.6 amb codi exploit ja public. Actualitzar a la versio corregida de forma immediata.

L'avis NCSC-0242 alerta sobre una cadena d'explotacio de Remote Code Execution (RCE) en Mozilla Firefox versio 152.0.6 i anteriors. El factor critic d'aquesta vulnerabilitat es que el codi d'explotacio ja es public (exploit-in-the-wild): qualsevol actor de les ciberamenaces pot descarregar i executar el exploit, la qual cosa redueix drasticament el temps de reaccio per als defensors. Firefox es un dels navegadors mes utilitzats en entorns corporatius i educatius a Catalunya i Espanya. Una vulnerabilitat RCE en un navegador pot ser explotada a traves de pagines web malicioses, correus phishing amb contingut HTML o scripts injectats en llocs web legítims. Accio: actualitzar Mozilla Firefox a la versio mes recent en tots els endpoints de forma immediata; desplegar l'actualitzacio via GPO o gestio de vulnerabilitats per a flotes empresarials; verificar que Firefox esta incloc en les polítiques de gestio continua de vulnerabilitats. MITRE ATT&CK: T1189 (Drive-by Compromise), T1059 (Command Execution).

CVEFirefoxMozillaRCEExploitPublicNCSC-NLCAESEUBrowserEndpointsT1189T1059
Producció de coneixement

Recerca i informes

DEFION publica en dos nivells. Profunditat tècnica per als equips de seguretat. Context estratègic per a la direcció.

Tècnic

  • Anàlisis en profunditat de CVEs i puntuacions de explotabilitat
  • Reversals de programari maliciós i anàlisis de comportament
  • Regles de detecció KQL per a Microsoft Sentinel
  • Informes tècnics de Pwn2Own i conferències
  • Mapatge MITRE ATT&CK per campanya
Anar a Research Labs ›

Estratègic

  • Informes mensuals de amenaces per al CISO
  • Anàlisis sectorials per indústria i regió
  • Mapes de calor MITRE ATT&CK a nivell organitzatiu
  • Briefings a clients sobre campanyes actives
  • Informe trimestral del panorama d'amenaces NL/UE
Anar a Research Labs ›
Destinataris

Per a qui és rellevant?

La Intel·ligència d'Amenaces no és només per a analistes de SOC. Cada perfil de seguretat es beneficia de la informació adequada en el moment oportú.

CISO

  • Briefing mensual de amenaces per a la direcció
  • Avaluació de riscos per sector i normativa
  • Base d'evidències per a inversions en seguretat

Analista de SOC

  • Feeds de IoCs llests per usar al teu SIEM
  • Regles de detecció KQL per campanya
  • Profunditat tècnica per amenaca i TTP

Director de TI

  • Visibilitat de vulnerabilitats en el teu entorn
  • Priorització de pedaços segons explotabilitat
  • Visió general de amenaces actives al teu sector

Incident Responder

  • IoCs i regles YARA amb context enriquit
  • Mapatge de TTPs per atribució i contenció
  • Briefings sectorials ràpids davant campanyes actives
Oferta de productes

Productes d'intel·ligència

Des de publicacions d'accés lliure fins a anàlisis d'amenaces específiques per al client. Tria el nivell que s'adapta a la teva organització.

Per a tothom

Accés lliure

  • Blog: anàlisis tècniques i informes de amenaces
  • Informe trimestral del panorama d'amenaces NL/UE
  • Actualitzacions de CVEs i avisos de pedaços
  • Publicacions de Research Labs
Anar a Research Labs ›
Més triat
Inclòs amb MDR

Clients MDR

  • Briefings de amenaces setmanals personalitzats
  • Feeds de IoCs directament al teu SIEM o EDR
  • Regles de detecció KQL per campanya
  • Notificació directa davant amenaces crítiques
  • Mapa de calor MITRE ATT&CK per trimestre
Més sobre MDR ›
Sol·licitud necessària

A mida

  • Anàlisi d'amenaces específica per al client
  • Briefing sectorial per a la teva indústria
  • Escaneig de dark web per nom d'organització i credencials
  • Avaluació d'exposició a amenaces imminents
Contactar ›
Preguntes freqüents

FAQ Intel·ligència d'Amenaces

Què és la Intel·ligència d'Amenaces i per què la necessito?
La Intel·ligència d'Amenaces és la recol·lecció, l'anàlisi i la contextualització sistemàtiques d'informació sobre amenaces rellevants per a la teva organització. Sense ella, reacciones als incidents quan ja han passat. Amb ella, saps quins atacants estan actius al teu sector, quines vulnerabilitats s'estan explotant i com pots preparar-te. DEFION tradueix dades d'amenaces en brut en punts d'acció concrets per al teu equip de seguretat.
Quina és la diferència entre intel·ligència estratègica i operacional?
La intel·ligència estratègica és per al CISO i la direcció: anàlisi de tendències, informes sectorials i el panorama d'amenaces a nivell directiu. La intel·ligència operacional és per al SOC i l'equip de seguretat: feeds d'IoCs, regles de detecció KQL, signatures YARA i anàlisis tècniques de programari maliciós o campanyes concretes. DEFION lliura ambdues capes, adaptades al destinatari.
En què es diferencia DEFION Threat Intelligence d'un feed comercial?
Els feeds comercials agreguen fonts públiques i afegeixen poc context. DEFION combina 40+ fonts internes i externes amb telemetria pròpia del SOC, dades de casos DFIR i anàlisis específiques per sector. Els nostres analistes afegeixen context a cada alerta: què significa per al teu sector, quines accions calen i quines regles de detecció s'apliquen.
Amb quina rapidesa publiqueu davant una campanya activa o un zero-day?
Per a un zero-day crític o una campanya activa, habitualment publiquem una primera anàlisi en 24 a 48 hores. Els clients MDR reben una notificació directa amb IoCs i regles de detecció. Per a incidents complexos com atacs a la cadena de subministrament, s'elabora un briefing més detallat en 72 hores. Prioritzem la rapidesa sense sacrificar la precisió.
Puc contractar Threat Intelligence sense MDR?
Sí. Les nostres publicacions gratuïtes estan disponibles per a tothom a través del nostre blog i l'informe trimestral. Per a organitzacions que volen una intel·ligència més profunda sense una subscripció MDR completa, oferim opcions personalitzades: anàlisis d'amenaces específiques per al client, briefings sectorials i feeds d'IoCs sota petició. Contacta amb nosaltres per conèixer les possibilitats.

Sol·licita una anàlisi de amenaces

Vols saber quines amenaces estan actives al teu sector i si el teu entorn és vulnerable? Els nostres analistes elaboren una anàlisi específica basada en el teu perfil.

Sense compromisos. Primera anàlisi gratuïta per a organitzacions qualificades.